17 miljoen apparaten. Aangestuurd vanuit servers in Nederland.
Vorige week ontmantelden de Nederlandse politie en het NCSC het Asocks-botnet. Één van de grootste cybercrime-infrastructuren die ooit vanuit Nederland werd geopereerd.

Routers, camera's, laptops, smartphones, IoT-apparaten. Gewone apparaten van gewone gebruikers en bedrijven, jarenlang ingezet als doorgeefluik voor aanvallers die op afstand de controle overnamen.

Het opvallende: de eigenaren hadden er geen idee van.
Geen gehackte systemen met zichtbare schade. Geen alarmbellen. Gewoon een router die 's nachts iets meer verkeer verstuurde dan normaal.
Dat is precies wat dit soort aanvallen zo gevaarlijk maakt, en waarom ze zo lang onopgemerkt blijven.

Het NCSC benadrukte het nog maar eens: slecht beveiligde apparaten zijn te vaak het startpunt.
Software-updates die worden uitgesteld. Standaardwachtwoorden die nooit zijn vervangen. Apparaten die wel op het netwerk zitten, maar niet in beeld zijn bij de mensen die verantwoordelijk zijn voor beveiliging.
Dat laatste is precies het risico dat NIS2 adresseert onder asset management. Je kunt geen grip hebben op wat je niet in beeld hebt.

Welke apparaten zitten er in jouw netwerk? Wie beheert ze? Wanneer zijn ze voor het laatst gepatcht? Staan ze geregistreerd?
Geen retorische vragen. Dit zijn de vragen die toezichthouders ook stellen. En steeds vaker ook de vragen die auditors meenemen in hun beoordeling.

De Asocks-zaak is een goede herinnering dat cyberweerbaarheid begint bij het simpele: weten wat je hebt, en weten wie ervoor verantwoordelijk is.