Actor

Een actor in cybersecurity is een persoon, groep of entiteit die betrokken is bij cyberactiviteiten, of dat nu offensief of defensief is. De term wordt het vaakst gebruikt voor threat actors of dreigingsactoren: de partijen achter cyberaanvallen, van individuele cybercriminelen tot door staten gesponsorde hackersgroepen. Het begrijpen van verschillende actortypen is essentieel voor het opstellen van risicobeoordelingen en het prioriteren van beveiligingsmaatregelen. Een organisatie die voornamelijk doelwit is van financieel gemotiveerde criminelen heeft een fundamenteel ander risicoprofiel dan een organisatie die interesse wekt bij statelijke actoren met geopolitieke motieven.

Het dreigingslandschap is de afgelopen jaren significant complexer geworden. In 2025 was er intensieve activiteit van staatsgesteunde groepen uit China, Rusland, Iran en Noord-Korea, elk met hun eigen motivaties, capaciteiten en doelwitten. Tegelijkertijd professionaliseren cybercriminele groepen zich steeds verder, met ransomware-as-a-service modellen, gespecialiseerde rollen binnen criminele ecosystemen en eigen klantenservice voor slachtoffers die losgeld willen betalen. Het onderscheiden en begrijpen van deze actortypen helpt je om gerichte verdedigingsstrategieen te ontwikkelen die aansluiten bij de dreigingen die daadwerkelijk relevant zijn voor je organisatie.

Wat doet een actor?

De activiteiten van een actor hangen af van het type en de motivatie. Cybercriminelen zijn financieel gemotiveerd en voeren aanvallen uit die direct of indirect geld opleveren: ransomware, business email compromise (BEC), creditcardfraude, cryptomining en het verkopen van gestolen data op darkweb-marktplaatsen. Moderne cybercriminele groepen opereren als bedrijven met eigen HR-afdelingen, klantenservice en affiliateprogramma's waarmee ze hun bereik vermenigvuldigen.

Statelijke actoren voeren cyberoperaties uit in opdracht van of namens een overheid. Hun doelen zijn spionage, sabotage, desinformatie en het verkrijgen van strategisch voordeel op politiek, economisch of militair vlak. Ze beschikken over aanzienlijke middelen, geavanceerde tools en voeren langdurige campagnes uit die maanden tot jaren kunnen duren zonder gedetecteerd te worden. Advanced Persistent Threat (APT) groepen zoals APT34 (gelieerd aan Iran) en APT40 (gelieerd aan China) zijn voorbeelden van door staten gesponsorde actoren die systematisch doelen in specifieke sectoren aanvallen voor het verzamelen van inlichtingen en intellectueel eigendom.

Hacktivisten zijn ideologisch gemotiveerd en voeren aanvallen uit om een politiek of sociaal standpunt te uiten, vaak via website defacements, DDoS-aanvallen of het lekken van gevoelige documenten. Insider threats vormen een aparte categorie: personen met geautoriseerde toegang tot systemen die die toegang misbruiken, bewust of onbewust. Een ontevreden medewerker die gevoelige data steelt of saboteert is een kwaadwillende insider. Een medewerker die per ongeluk gevoelige informatie deelt via een verkeerd geadresseerde e-mail is een onbedoelde insider threat. Volgens CISA zijn de vier hoofdcategorieen van dreigingsactoren: cybercriminelen, hacktivisten, statelijke actoren en insider threats, waarbij elk type een fundamenteel andere verdedigingsbenadering vereist.

Wanneer heb je kennis van actoren nodig?

Kennis van actortypen is essentieel bij het opstellen van een risicoanalyse en het prioriteren van beveiligingsinvesteringen. Als je organisatie actief is in de vitale infrastructuur, de defensie-industrie, de financiele sector of de technologiesector, is de kans groter dat statelijke actoren je als doelwit kiezen. Je moet dan verdedigen tegen geavanceerde technieken, langdurige campagnes en actoren met vrijwel onbeperkte middelen, wat andere maatregelen vereist dan bescherming tegen opportunistische cybercriminelen die zoeken naar laaghangend fruit.

Threat intelligence-diensten leveren informatie over actieve actoren in je sector, hun technieken, tactieken en procedures (TTP's) en hun recente campagnes en doelwitten. Deze informatie gebruik je om je detectieregels aan te scherpen op de specifieke technieken die relevant zijn, je security awareness training te richten op de meest relevante dreigingsscenario's en je incident response plannen af te stemmen op realistische aanvalsscenario's. Onder NIS2 moeten organisaties in de vitale sector aantoonbaar rekening houden met het dreigingslandschap en de actoren die hen kunnen treffen bij het inrichten van hun beveiligingsmaatregelen en het rapporteren over hun risicobeheersing.

Wat kost kennis over actoren?

Threat intelligence over actoren is beschikbaar in verschillende vormen en prijsklassen. Open-source intelligence (OSINT) via bronnen zoals NCSC-publicaties, CISA-advisories en het MITRE ATT&CK framework is gratis beschikbaar en biedt een solide basis voor het begrijpen van het dreigingslandschap en de technieken die actoren gebruiken. Commerciele threat intelligence platforms zoals Recorded Future, Mandiant en CrowdStrike bieden diepgaandere, sector-specifieke dreigingsanalyses en kosten typisch tussen 25.000 en 150.000 euro per jaar, afhankelijk van de scope, het aantal gebruikers en de gewenste diepgang van de analyse.

Voor organisaties die niet de middelen hebben voor een eigen threat intelligence team, bieden Managed Security Service Providers (MSSP's) en ISACs (Information Sharing and Analysis Centers) gedeelde dreigingsinformatie tegen lagere kosten. Het Nederlandse NCSC deelt actief dreigingsinformatie met organisaties in de vitale sector via het Landelijk Dekkend Stelsel. De investering in actor-kennis verdient zich terug door gerichtere beveiligingsinvesteringen: je besteedt je budget aan maatregelen die beschermen tegen de dreigingen die daadwerkelijk relevant zijn voor je organisatie en sector, in plaats van generieke oplossingen die mogelijk niet aansluiten bij je specifieke dreigingsprofiel.

Actoren en het Nederlandse dreigingslandschap

Het Nederlandse dreigingslandschap wordt gekenmerkt door een mix van actortypen met uiteenlopende motivaties en capaciteiten. Het NCSC en de AIVD waarschuwen regelmatig voor spionageactiviteiten van statelijke actoren uit China en Rusland die zich richten op de Nederlandse overheid, kennisinstellingen en hightech-bedrijven. De Nederlandse financiele sector is een frequent doelwit van cybercriminele groepen die ransomware en BEC-fraude inzetten. Hacktivistische groepen voeren periodiek DDoS-aanvallen uit op Nederlandse overheidswebsites en bedrijven in reactie op geopolitieke gebeurtenissen. Het Cybersecuritybeeld Nederland, jaarlijks gepubliceerd door het NCSC, biedt een actueel overzicht van de dreigingen per actortype en helpt organisaties bij het bepalen van hun risicoprofiel en het prioriteren van hun beveiligingsmaatregelen en investeringen.

Veelgestelde vragen over actoren

Wat is een Advanced Persistent Threat (APT)?

Een APT is een geavanceerde, langdurige cyberaanvalscampagne, typisch uitgevoerd door een door een staat gesponsorde groep met aanzienlijke middelen. APT's richten zich op specifieke doelen met geavanceerde technieken en kunnen maanden tot jaren onopgemerkt in een netwerk aanwezig blijven om systematisch informatie te verzamelen of sabotageactiviteiten voor te bereiden.

Hoe weet ik welke actoren mijn organisatie bedreigen?

Begin met een analyse van je sector, geografie en het type gegevens dat je verwerkt. Organisaties in de vitale infrastructuur trekken statelijke actoren aan. Organisaties met veel klantdata zijn doelwit voor cybercriminelen. Threat intelligence diensten en het NCSC bieden sector-specifieke dreigingsanalyses die je helpen je dreigingsprofiel te bepalen.

Wat is het verschil tussen een statelijke actor en een cybercrimineel?

Statelijke actoren opereren namens een overheid met geopolitieke doelen zoals spionage en sabotage. Cybercriminelen zijn financieel gemotiveerd en opereren onafhankelijk voor eigen gewin. Statelijke actoren hebben doorgaans meer middelen en geduld, terwijl cybercriminelen opportunistischer zijn en snel financieel resultaat zoeken.

Kunnen verschillende actortypen samenwerken?

Ja, de grenzen vervagen steeds meer. Sommige staten werken samen met cybercriminele groepen of gedogen hun activiteiten zolang ze geen binnenlandse doelen aanvallen. Noord-Koreaanse actoren voeren zowel spionage als financieel gemotiveerde aanvallen uit. Ransomware-groepen opereren als bedrijven met affiliates die onder verschillende motivaties kunnen vallen.

Hoe bescherm ik me tegen meerdere actortypen tegelijk?

Implementeer een defense-in-depth strategie met basismaatregelen die tegen alle actortypen beschermen: multifactor authenticatie, netwerksegmentatie, endpoint protection en security awareness training. Voeg daarbovenop actor-specifieke maatregelen toe gebaseerd op threat intelligence over de actoren die het meest relevant zijn voor je specifieke sector en organisatieprofiel.

Zoek een specialist voor dreigingsanalyse via Consultancy & Advies aanbieders op IBgidsNL.