AI-governance tijdens Dutch IT GovTech Diner
Geplaatst op: 17 april 2026
Het verhaal over de blinde vlekken in AI-beleid heeft tijdens het Dutch IT GovTech Diner in Sociëteit De Witte zichtbaar veel losgemaakt.
Voor een zaal met vrijwel alle CISO’s van de overheid, aangevuld met CIO’s, CTO’s en andere IT-beslissers uit de publieke sector, hielden Kevin Zwaan en Yuri Bobbert een indringend betoog over de bestuurlijke en organisatorische risico’s van AI. Waar het oorspronkelijke artikel al duidelijk maakte dat AI-governance in de praktijk achterblijft op de technologische ontwikkeling, bleek tijdens het diner vooral hoeveel urgentie dit thema inmiddels heeft gekregen.
Volgens Pierre Kleine Schaars was de respons uitzonderlijk sterk. Hij spreekt van een “fantastische avond” tijdens het Dutch IT Channel GovTech Diner en benadrukt dat Q-Cyber overweldigend veel reacties ontving op het verhaal van Kevin Zwaan en Yuri Bobbert en de schokreactie die hun bijdrage heeft veroorzaakt. Juist de stevige inhoudelijke impact onderstreepte dat het onderwerp niet alleen actueel is, maar ook breed wordt herkend binnen de overheid. In slechts twintig minuten wisten de sprekers een discussie te openen die bij veel aanwezigen duidelijk om meer verdieping vroeg.
Kennisdeling en dialoog
Die behoefte aan een vervolg heeft nu concreet vorm gekregen. Naar aanleiding van de vele reacties is besloten een roundtable te organiseren voor iedereen die meer wil weten over de thematiek rond AI-governance, bestuurlijke verantwoordelijkheid en beheersbaarheid. Daarnaast organiseren Q-Cyber en Anove op 3 juni in Den Haag een deepdive-sessie voor professionals die verder willen ingaan op de gevolgen van deze ontwikkeling. Daarmee krijgt het succes van de bijdrage in Sociëteit de Witte niet alleen een inhoudelijk vervolg, maar ook een praktisch platform voor verdere kennisdeling en dialoog binnen het overheidsdomein.
Registreren?
Meer informatie en registratie voor de deepdive op 3 juni is beschikbaar via de door Pierre Kleine Schaars gedeelde link: registratie deepdive Q-Cyber & Anove.
LLMs als nieuw aanvalsoppervlak
Geplaatst op: 15 april 2026
By Yuri Bobbert and Kevin Zwaan, March 26, 2026
AI gedrag sturen via gewone, alledaagse taal.
Grote taalmodellen (LLM’s) zorgen voor een transformatie van verschillende sectoren, maar de specifieke risico’s die ze met zich meebrengen vragen om een nieuwe aanpak op het gebied van beveiliging en governance. Een baanbrekend artikel, geschreven door Anove-medeoprichter prof. dr. Yuri Bobbert en ethisch hacker Kevin Zwaan van Q-Cyber, laat zien hoe traditionele beveiligingsmaatregelen tekortschieten wanneer het gedrag van AI kan worden gestuurd via gewone, alledaagse taal.
LLM in korte tijd laten radicaliseren
Een recente demonstratie toonde aan hoe een LLM in acht uur tijd kon worden ‘geradicaliseerd’, waarbij veiligheidsbarrières werden omzeild om op grote schaal malware te genereren. Dit was geen zeer technische, in code geschreven software-exploit; het werd bereikt door middel van manipulatie en overreding, waarbij gebruik werd gemaakt van het contextuele leerproces van het model om het zijn beveiligingsprotocollen te laten vergeten, wat een kritieke lacune in AI-beveiliging blootlegde.
Het aanvalsoppervlak van AI breder is dan alleen code
Het artikel benadrukt dat het aanvalsoppervlak van AI breder is dan alleen code. Het omvat het model, prompts, gebruikersinterfaces, beleid en zelfs de organisatorische context. Wanneer LLM’s worden geïntegreerd in workflows met toegang tot tools, API’s en gevoelige gegevens, vermenigvuldigen de risico’s zich, variërend van het genereren van kwaadaardige inhoud tot het mogelijk maken van grootschalige cyberaanvallen. AI-systemen zijn dynamisch en bestaan uit onderling verbonden componenten die zich snel ontwikkelen. Als gevolg daarvan kan traditioneel beheer geen gelijke tred houden. Statische checklists en eenmalige audits zijn niet voldoende (als ze dat ooit al waren). AI-beheer moet continu, geautomatiseerd en op bewijs gebaseerd zijn.
Volledige artikel
Lees het volledige artikel hier om dieper in te gaan op hoe u de risico’s van AI-implementatie in uw bedrijf kunt beheersen en hoe Anove’s AI Management System en Q-Cyber verantwoorde AI op schaal mogelijk maken. Zoals de auteurs samenvatten: “hoe sneller innovatie gaat, hoe meer governance geautomatiseerd en operationeel moet worden – anders wordt het theater”.
Cyber Research begint waar de pentest ophoudt.
Geplaatst op: 14 april 2026
Over de unieke samenwerking tussen SecureMe2 en Q-Cyber
Een kritische vraag was de basis voor een bijzondere samenwerking tussen twee Nederlandse security-specialisten: Aad van Boven, de gedreven oprichter en CEO van SecureMe2, en Kevin Zwaan, de creatieve Red Teamer van Q-Cyber.
Het begon allemaal tijdens een presentatie van een hardware leverancier. Terwijl de meesten beleefd knikten, kwam Kevin Zwaan met kritische kanttekeningen. Het was geen aanval, maar een observatie die de deur opende voor een goede discussie. In plaats van irritatie ontstond er iets anders. Aad van Boven, een man die zelf houdt van “geen praatjes en geen valse beloften,” herkende direct de waarde van deze openheid. Het interessante en waardevolle gesprek dat daarop volgde was de start van het partnerschap op het gebied van cyber research.
De Wederzijdse Klik
SecureMe2, opgericht in 2016, heeft een duidelijke missie: de digitale wereld veiliger maken met hun slimme Network Intrusion Detection System, Cyberalarm. Dit systeem is het digitale zenuwcentrum voor meer dan 800 bedrijven, waar het 24/7 het netwerkverkeer analyseert op zoek naar afwijkingen. Aad van Boven en zijn team zijn trots op hun product, maar leven niet in een illusie. Ze weten dat de beste verdediging een proactieve is.
Aan de andere kant Q-Cyber, een partij die cybersecurity niet ziet als een muur die je bouwt, maar als een dynamisch, levend organisme. Hun filosofie is er een van anticiperen in plaats van reageren. Ze zijn de partner van vele MSP’s en cybersecurity aanbieders, de onafhankelijke expert die kijkt naar wat er al is en hoe dat beter kan. Hun dienst, ‘Cyber Research’, is het perfecte voorbeeld van deze visie.
De zakelijke relatie werd al snel tweeledig. Terwijl Q-Cyber bepaalde diensten van SecureMe2 afnam, groeide bij Aad van Boven de nieuwsgierigheid. Hij was onder de indruk van de aanpak van Q-Cyber en wilde zijn eigen infrastructuur weleens door hun unieke bril bekijken. Hij vroeg Kevin dan ook eens dieper te kijken in de totale infrastructuur van SecureMe2.
Waar de Paden Ophouden
Wat volgde was geen standaard penetratietest. Het was een diepgaande analyse van de digitale infrastructuur van SecureMe2. Het team van Kevin Zwaan deed precies waar ze goed in zijn: Het bewandelden van nieuwe paden en het testen van protocollen die totaal niet voor de hand liggen. Ze dachten niet als een auditor met een checklist, maar als een cybercrimineel die zoekt naar nieuwe mogelijkheden om ergens binnen te komen.
“Op zich logisch,” legt Aad van Boven later uit, “want de cybercrimineel richt zich niet op bekende kwetsbaarheden, maar juist op gebieden waar niemand rekening mee houdt. En dat is precies waar Kevin Zwaan en zijn team aandacht aan hebben besteed.”
De uitkomst was, in de woorden van Van Boven, fantastisch. Niet omdat er schokkende of gapende openingen in de beveiliging werden gevonden – die waren er gelukkig niet. De echte waarde zat in de nuance. De analyse bracht een reeks subtiele, maar belangrijke aandachtspunten aan het licht binnen de cloudomgeving en infrastructuur. Punten die door een standaard pentest, hoe gerenommeerd ook, gemist zouden worden.
Het bevestigde wat Aad van Boven al vermoedde en wat de kern van deze samenwerking blootlegt. “Waar de pentesters ophouden, daar begint Cyber Research van Q-Cyber”, concludeert hij treffend. Het is het verschil tussen controleren of de deuren op slot zijn, en onderzoeken of iemand via het dak, de kelder of een vergeten leiding naar binnen kan.
Een Essentiële Samenwerking
Voor Aad van Boven is het periodiek uitvoeren van een dergelijk diepgaand onderzoek geen luxe, maar een essentieel onderdeel van zijn rol als aanbieder van securityproducten. Het is het ultieme bewijs dat je je eigen visie serieus neemt. De samenwerking met Q-Cyber is dan ook meer dan een transactie; het is een strategisch partnerschap.
Het verhaal van SecureMe2 en Q-Cyber is een krachtig voorbeeld dat echte digitale veiligheid niet alleen in een mooi product verpakt zit, maar juist in het analyseren en van nieuwe wegen die nog niet eerder zijn bewandeld. Om kritische vragen te stellen, in alle openheid en in de gezamenlijke wens om altijd een stap verder te kijken dan wat er daarvoor al was. Q-Cyber noemt dat Cyber Research.
De speeltuin van de Ai Whisperer
Geplaatst op: 13 april 2026
Waar de overheid en het bedrijfsleven Ai zien als een efficiëntieslag, ziet een groeiende community van ethisch hackers het als de nieuwe en vooral intellectuele uitdaging.
Gevaarlijk kun je zeggen, maar je zou ook kunnen zeggen ‘gelukkig maar’. Want zij leggen kwetsbaarheden van Ai bloot waar wij blind voor zijn.
Een uitdaging die smeekt om onder handen te worden genomen
Voor de gemiddelde gebruiker is een Ai-model zoals ChatGPT of Claude een handige assistent. Maar voor een specifieke groep onderzoekers is het een schaakbord. Een uitdaging die smeekt om onder handen te worden genomen.
In deze wereld gaat het niet om het stelen van data of het platleggen van servers met brute kracht. Het gaat om de kunst van de overtuiging. Waar traditionele hackers zoeken naar een vergeten komma in de code, zoeken deze ‘Ai whisperers’ naar de juiste combinatie van woorden.
Een jailbreak is hier een eretitel. Het betekent dat je een AI-model zover hebt gekregen dat het zijn eigen, door de ontwikkelaars ingebouwde guardrails negeert.
Claude werd omgevormd tot een malwarefabriek
Kevin Zwaan, Lead Researcher bij Q-Cyber, is een van de meest prominente figuren in deze beweging. Zijn recente demonstratie, waarbij hij Anthropic’s Claude in acht uur tijd omvormde tot een malwarefabriek, is een schoolvoorbeeld van hoe deze community te werk gaat. Inmiddels zijn ze al zover dat het in de helft van de tijd gaat.
Het was geen exploit. Het was een psychologisch spel. Hij overtuigde het model simpelweg om zijn eigen veiligheidsprotocollen te vergeten.
Voor Zwaan en zijn vakgenoten is dit geen kwaadaardigheid; het is noodzakelijk onderzoek. Ze begrijpen dat als zij een model kunnen overtuigen om malware te schrijven of desinformatie te genereren, kwaadwillenden dat ook kunnen.
In het onderzoek dat Zwaan samen met prof. dr. Yuri Bobbert publiceerde, wordt dit fenomeen socio-technische manipulatie genoemd. Het is de erkenning dat AI-veiligheid niet langer uitsluitend een wiskundig of technisch probleem is, maar een psychologisch en taalkundig vraagstuk.
De reflex van veel organisaties is om deze experimenten met argusogen te bekijken. Maar we hebben deze community harder nodig dan ooit. De overheid en het bedrijfsleven integreren LLM’s in hoog tempo in kritieke processen. Zonder de onorthodoxe, creatieve en soms ronduit dwarse blik van hackers zoals Zwaan, bouwen we een digitale infrastructuur op een fundament van vals vertrouwen.
De experimenteerdrift van deze community is geen bedreiging; het is onze beste verdedigingslinie. Zij vinden de gaten voordat de echte aanvallers dat doen.
In een wereld waar AI steeds meer beslissingen neemt, is de vraag niet óf een model gemanipuleerd kan worden, maar wie het als eerste ontdekt.
Lees het volledige onderzoek van Yuri Bobbert en Kevin Zwaan hier: https://lnkd.in/ew-9p2DU
Automatische pentest is geen pentest
Geplaatst op: 7 april 2026
Waarom een automatische pentest geen pentest is; een MSP-perspectief
Als Managed Service Provider (MSP) draag je een enorme verantwoordelijkheid voor de digitale veiligheid van je klanten. In de zoektocht naar efficiëntie en snelheid wordt vaak gegrepen naar geautomatiseerde security tools. Een veelgehoorde uitspraak van een van onze MSP-klanten slaat echter de spijker op zijn kop: “Een automatische pentest is GEEN pentest.”
Daarmee doelen zij op het feit dat een pentest die uitsluitend is gebaseerd op automatisering, fundamentele beperkingen heeft. Hieronder leggen wij uit waarom een automatische pentest alleen niet voldoende is en waarom de hedendaagse hacker altijd een stap voor blijft op geautomatiseerde pentesten en vulnerability scans.
De illusie van veiligheid
Geautomatiseerde pentestsen en vulnerability scanners hebben absoluut hun waarde. Ze zijn uitstekend geschikt voor het controleren van de basis hygiëne van een IT-omgeving. Ze scannen razendsnel op bekende kwetsbaarheden, ongepatchte software en veelvoorkomende misconfiguraties en legacy issues.
Echter, de sleutelwoorden hier zijn ‘bekende kwetsbaarheden’. Geautomatiseerde tools zoeken uitsluitend naar kwetsbaarheden die al in hun database staan, kwetsbaarheden die door de meeste securitybedrijven vaak al zijn dichtgelegd en beschermd. Ze missen de context en creativiteit om verder te kijken dan de oppervlakte. Een geautomatiseerde tool kan aantonen dat een systeem kwetsbaar is, maar zal niet proberen om via die kwetsbaarheid dieper in het netwerk door te dringen (pivoting) of complexe logische fouten in bedrijfsapplicaties te misbruiken. En als ze dit al doen, doen ze het met bekende aanvalsvectoren die OG-hackers allang niet meer gebruiken. Er wordt geen gebruik gemaakt van de allerlaatste, dagelijks veranderende technieken die hackers gebruiken om een systeem binnen te dringen, zoals nu bijvoorbeeld de ‘Living of the Logic’ methode die weer een stap verder gaat dan ‘Living of the Land’ en waar ook menselijke handelingen en zwakheden worden gebruikt om binnen te komen bij een partij.
De hedendaagse hacker: jaren vooruit
De realiteit is dat kwaadwillende hackers (cybercriminelen) niet in de war raken van systemen die zijn voorzien van standaard geautomatiseerde tools. Ze opereren vaak jaren vooruit op de methodieken die door defensieve security tools worden gebruikt. Ze combineren verschillende methodes in combinatie met creativiteit en slimmigheden om nieuwe wegen naar binnen te vinden. Vaak zijn dit methodes van de beveiligingsbedrijven zelf waarin functionaliteit wordt omgezet in aanvalstechniek.
Voor deze geavanceerde aanvallers zijn MSP’s de ultieme jackpot. Waarom zou een cybercimineel één enkele organisatie aanvallen als hij of zij via een MSP honderden bedrijven tegelijk kan raken? Een succesvolle aanval op een MSP fungeert als een digitale loper die toegang geeft tot een heel ecosysteem van eindgebruikers.
De “Hackers Love MSPs” realiteit
Het initiatief Hackers Love MSPs benadrukt deze dubbele realiteit treffend. Aan de ene kant staan hackers die van nature ethisch zijn, klaar om MSP’s te helpen hun verdediging te versterken. Aan de andere kant ‘houden’ kwaadwillende cybercriminelen van MSP’s vanwege de zogenaamde vertrouwensval en de schaalbaarheid.
MSP’s verkopen schaalvoordelen, maar diezelfde schaal maakt hen kwetsbaar. Eén zwakke plek betekent onmiddellijke toegang tot de data van talloze klanten. Zoals securityspecialist Q-Cyber het verwoordt: “Het is alsof alle huizen in een wijk dezelfde sleutel hebben – super efficiënt, totdat iemand anders die sleutel in handen krijgt”
De noodzaak van menselijke expertise
Om de geavanceerde methodieken van hedendaagse hackers te het hoofd te bieden, is de menselijke intelligentie en ervaring vereist. Een échte, handmatige pentest of een Red Teaming traject gaat verder waar de geautomatiseerde pentest of scan stopt.
Ethische hackers zijn echte aanvallers. Ze stellen de vraag: hoe kom ik hier binnen? Dit levert inzichten op die je met standaard tools nooit vindt.
Een praktijkvoorbeeld van een MSP illustreert dit perfect: een geautomatiseerde scan markeerde de conditional access policies in overeenstemming met de richtlijnen. Een handmatige analyse door een ethisch hacker bracht echter uitzonderingen voor ongebruikte legacy applicaties en zwak beveiligde administratieve accounts aan het licht—precies de zwakke plekken die een echte aanvaller zou misbruiken.
Daarnaast omvat een handmatige aanpak ook elementen die software niet kan testen, zoals social engineering (het misleiden van medewerkers) en fysieke penetratietesten op locatie.
Conclusie
Een geautomatiseerde test is een uitstekend moment om te verifiëren of de basis hygiëne op orde is, maar het is geen vervanging voor een echte pentest. Het is niet bestand tegen de creatieve, doelgerichte en geavanceerde technieken van de hedendaagse cybercrimineel.
Voor MSP’s, die van full-serviceprovider zijn getransformeerd tot een primair doelwit, is het cruciaal om de rollen om te draaien. Dit vereist een samenwerking met gespecialiseerde security experts die de mindset van de hacker begrijpen en toepassen. Alleen door de inzet van diepgaand, menselijk cyberonderzoek kunnen MSP’s de digitale veiligheid van zichzelf én hun klanten daadwerkelijk garanderen.
Ben je na het lezen van dit artikel toe aan een gesprek met een OG Hacker. Stuur ons dan een DM of bezoek www.Q-Cyber.nl om een afspraak met ons te maken.
MKB-IT kiest voor Q-Cyber
Geplaatst op: 3 april 2026
Waarom MKB-IT koos voor Q-Cyber; samenwerking die versterkt!
Luuk Admiraal, directeur van MKB-IT, aan het woord over de keuze voor Q-Cyber.
“In de snel veranderende wereld van IT is security geen bijzaak, het is de kern van wat we doen. Als Managed Service Provider (MSP) dragen we een enorme verantwoordelijkheid voor de digitale veiligheid van onze klanten. Jarenlang hebben we, zoals veel collega-bedrijven, ons best gedaan om met de stroom mee te gaan. We boden een breed scala aan diensten aan, en security was daar een onderdeel van. Maar eerlijk is eerlijk, het is een vak apart. Een onmetelijk diep en complex vakgebied dat je er niet ‘even bij doet’.
We merkten dat we tegen de grenzen van onze eigen expertise aanliepen. De cyberwereld van vandaag is niet meer te vergelijken met die van tien of zelfs een jaar geleden. De traditionele aanpak, vaak gebaseerd op de gedachte ‘dit is hoe we het altijd al deden’, volstaat simpelweg niet meer. We zagen dat voor veel MSP’s, inclusief wijzelf, de uitdaging steeds groter werd ten opzichte van de steeds geavanceerdere methoden van aanvallers. Dat was het moment dat wij proactief op zoek zijn gegaan naar een geschikte oplossing.
Onze zoektocht naar een echte securitypartner bracht ons bij Q-Cyber. Wat ons direct aansprak, was hun filosofie van volledige onafhankelijkheid. Ze zijn niet getrouwd met een specifiek merk software of hardware. In plaats daarvan kijken ze naar wat er al is bij een klant en hoe ze dat, met de juiste expertise, kunnen optimaliseren tot een robuust geheel. Dit was een verademing in een markt waar je vaak in het ecosysteem van één leverancier wordt getrokken.
Uniek model
Maar de doorslaggevende factor was hun unieke model van collectieve intelligentie. Het idee dat we niet alleen de expertise van het kernteam van Q-Cyber krijgen, maar ook toegang hebben tot een community van meer dan 1000 ethische hackers, was voor ons een gamechanger. Dit zijn de mensen die aan de wieg staan van nieuwe aanvalsmethoden. Zij zien de zwakke plekken die een geautomatiseerde scan of een standaardconfiguratie nooit zal vinden. Neem zoiets als conditional access; het correct instellen daarvan vereist een diepgaand begrip dat verder gaat dan een handleiding of standaard script geleverd door een ander. Het vereist de blik van een kenner, van een hacker, die kan beoordelen of het netwerk echt is ingericht zoals dat zou moeten.
Door de samenwerking met Q-Cyber kunnen wij ons als MKB-IT weer focussen op waar wij het best in zijn: het leveren van uitmuntende IT-diensten en support. De security hebben we overgedragen aan de specialisten. Q-Cyber monitort continu, jaagt proactief op kwetsbaarheden en zorgt dat we voldoen aan de steeds strengere regelgeving. Ze geven ons de gemoedsrust die we nodig hebben, en die we nu ook kunnen doorgeven aan onze klanten.
De keuze voor Q-Cyber was een strategische beslissing om onze eigen dienstverlening te versterken en toekomstbestendig te maken.
Kevin Zwaan en Pierre Kleine Schaars, security experts bij Q-Cyber, over hun bevindingen.
“Wat bij MKB-IT vooral opviel, waren de conditional access policies,” vertelt Kevin Zwaan. “Op het eerste gezicht leek alles goed geregeld, maar bij nadere inspectie zagen we uitzonderingen voor legacy applicaties die al jaren niet meer gebruikt werden. Administratieve accounts hadden niet de strengste beveiligingsregels. Dit zijn precies de zwakke plekken die een aanvaller zou misbruiken, maar die een geautomatiseerde scan als ‘conform richtlijnen’ niet zou markeren.
Pierre Kleine Schaars vult aan: “Het verschil tussen ‘voldoet aan de richtlijnen’ en ‘daadwerkelijk weerbaar’ is enorm. Onze community van hackers denkt als een echte aanvaller en stelt de vraag: hoe kom ik hier binnen? Dat levert inzichten op die je met standaard tools nooit vindt. We hebben de kwetsbaarheden in kaart gebracht en samen met MKB-IT aangepakt, maar we blijven monitoren – want de dreiging evolueert elke dag.”