AI‑gedreven applicaties, plugins en assistants worden steeds gebruikelijker. Een van deze tools is OpenClaw (voorheen Clawdbot en Moltbot), die in korte tijd populair is geworden. Het is een gratis en open‑source autonome AI‑agent ontwikkeld door Peter Steinberger.

De belofte is aantrekkelijk: OpenClaw kan je inbox opschonen, e‑mails versturen, je agenda beheren en andere repetitieve taken uitvoeren. Het kan zelfs doorwerken wanneer jij niet achter je toetsenbord zit. Het voelt bijna alsof je een echte persoonlijke assistent hebt, dus het is niet verrassend dat mensen het graag willen uitproberen.

Toch kleven er – zoals bij veel dingen die te mooi lijken om waar te zijn – directe problemen aan het gebruik van OpenClaw. We willen je waarschuwen voor twee basisrisico’s die belangrijk zijn om te overwegen voordat je OpenClaw of een vergelijkbare agent inzet.

Gemanipuleerde versies van OpenClaw

Er is een groeiende golf aan malafide software die zich voordoet als populaire tools op het internet. Ons Security Operations Center heeft gevallen gezien waarin gebruikers gemanipuleerde versies van de bot download­den, of complete websites bezochten die uitsluitend waren opgezet om OpenClaw te imiteren en gebruikers te misleiden.

Als je besluit te experimenteren met deze agent, is het cruciaal dat je websites of bestandsbronnen vermijdt die niet direct gekoppeld zijn aan de legitieme OpenClaw‑community.

Op basis van onze eigen observaties en onderzoek van andere partijen zoals Malwarebytes raden we het volgende aan:

• Raadpleeg uitsluitend bronnen die gelinkt zijn op https://openclaw.ai en download bestanden alleen van https://github.com/openclaw/openclaw. Bezoek geen discords, GitHub‑repositories of andere bronnen die niet verbonden zijn aan deze officiële pagina’s.
  • Als je een organisatie beheert, blokkeer dan de volgende impersonation‑domeinen:
  o moltbot[.]you
  o clawbot[.]ai
  o clawdbot[.]you
  o github[.]com/gstarwd/clawbot

Risico’s door brede toegangsrechten op OpenClaw

Zelfs als je de correcte agent uit de juiste repository haalt, blijft voorzichtigheid noodzakelijk. Om zijn functionaliteit waar te maken, vereist OpenClaw – net als vergelijkbare agents – extreem ingrijpende permissies.
Om je inbox op te schonen, moet het immers voortdurend toegang hebben tot je communicatie. Om e‑mails te versturen, moet het in staat zijn berichten namens jou te creëren en te verzenden zonder toezicht.

De agent kan daarnaast shell commands uitvoeren, scripts runnen en volledige browser control overnemen. Wanneer een agent met zulke mogelijkheden niet streng wordt begrensd door restrictieve permissiestructuren, is hij per definitie gevaarlijk. Het wordt wat wij een compound risk object noemen.

We gaan niet alle individuele risico’s uitschrijven, maar het zijn er veel. Ze kunnen zowel bewust door een aanvaller misbruikt worden als per ongeluk ontstaan door een storing of gebruikersfout.

De meest noemenswaardige risico’s zijn:

1. Privilege‑amplification en chain‑escalation
2. Massale automatisering van fouten
3. Onvoorspelbaarheid en gebrek aan auditability
4. Ongeautoriseerde data‑toegang en datalekken
5. Gevoeligheid voor prompt‑injection
6. Supply‑chain blootstelling
7. Onbedoelde beleidschendingen
8. Agent‑drift

Security aanbevelingen voor gebruikers van OpenClaw en AI-agents

Individuele gebruikers kunnen met dit soort agents experimenteren, maar moeten dat voorzichtig doen. Houd permissies zo beperkt mogelijk, alleen datgene wat echt nodig is. Vermijd toegang tot gevoelige systemen. Zorg dat alle acties worden gelogd en controleer ze regelmatig. Gebruik menselijke goedkeuring voor handelingen met grote impact. Houd databronnen gescheiden zodat de agent geen informatie kan vermengen of lekken. Monitor afwijkend gedrag of manipulatie van prompts.

Behandel de agent zoals elke krachtige automatiseringstool: pas least privilege toe, isoleer hem en controleer zijn toegangsrechten regelmatig.

Security aanbevelingen voor bedrijven m.b.t. OpenClaw en AI-agents

Organisaties zouden sterk moeten beperken wie autonome agents mag creëren of inzetten. Deze systemen kunnen per ongeluk data benaderen, workflows activeren of acties uitvoeren die gebruikers niet volledig begrijpen. Als iedere medewerker zelf zo’n agent kan opzetten, ontstaat een groot risico op misconfiguraties, data‑exposure en ongeautoriseerde automatisering.

Het is aanzienlijk veiliger om deployment van agents te centraliseren binnen een gecontroleerd team dat verstand heeft van identity‑security, least‑privilege‑principes en monitoring. Daarmee behoudt de organisatie inzicht in wat de agent kan doen en hoe deze zich gedraagt.

Mathis Koch

Security Analist

015 251 36 36

info@pinewood.nl

Waarom Nederlandse (zorg)instellingen nu direct moeten handelen.

Op 11 maart werd de medische tech-gigant Stryker getroffen door een massale cyberaanval. De gevolgen zijn wereldwijd voelbaar: interne Microsoft-omgevingen raakten ontregeld en Windows-apparaten (laptops en telefoons) werden op afstand gewist. De Iraans-gelinkte groep Handala claimt de aanval en zegt 50 TB aan data te hebben buitgemaakt.

Hoewel de exacte methode niet is bevestigd, wijzen alle sporen naar misbruik van Microsoft Intune en Entra ID. Dit incident bewijst: aanvallers hebben geen ransomware meer nodig om een organisatie lam te leggen; toegang tot de beheerlaag is voldoende.

De impact op de Nederlandse zorgketen

Stryker is de ruggengraat van veel moderne ziekenhuizen. Van operatiekamers en IC’s tot de spoedeisende hulp: overal wordt vertrouwd op hun apparatuur en support.

Hoewel de Nederlandse patiëntenzorg op dit moment nog niet direct is geraakt, is de situatie kritiek:

• Logistieke blokkade: Het Europese distributiecentrum in Venlo heeft momenteel geen toegang tot bepaalde systemen. De levering van cruciale medische producten is hierdoor onzeker.
• Ketenrisico: Een hack bij een leverancier is een hack bij een ziekenhuis. Zorg-cybersecurity is keten-cybersecurity.
• Monitoring: Z-CERT adviseert instellingen om alle aan Stryker gekoppelde systemen extra scherp te monitoren.

Belangrijkste adviezen van Pinewood

De ‘Stryker-wipe’ laat zien dat toegang met administratorrechten (zoals Global Admin) fataal is. Wij adviseren Nederlandse organisaties om direct de volgende stappen te nemen:

1. Audit uw beheerrollen onmiddellijk

Ga ervan uit dat beheerrollen gecompromitteerd kunnen zijn. Controleer met hoge prioriteit:

• Conditional Access-beleid: Zijn er onverklaarbare wijzigingen?
• Intune & Entra ID: Controleer apparaat-acties, roltoewijzingen en app-registraties.
• Logging: Stuur alle auditlogs zoals Intune en Entra-ID naar een SIEM voor 24/7 monitoring.
• Compliance‑ en app‑protectiebeleid 

2. Beveilig beheeraccounts (Foutloos)

Eén gecompromitteerde Global Admin kan de hele organisatie wissen.

• Gebruik overal Phishing-resistant MFA.
• Implementeer PIM (Privileged Identity Management) voor ‘just-in-time’ toegang.
• Implementeer Strikt gecontroleerde break‑glass accounts 
• Beheer systemen nooit vanaf onbeheerde (unmanaged) apparaten.

3. Handhaaf strikt ‘Least Privilege’

Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.

• Verwijder verouderde rollen.

• Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.

• Gebruik Protected Actions voor kritieke aanpassingen in de configuratie.
• Beperk wie Intune device actions mag uitvoeren 
• Controleer wie service principals en app‑registraties mag maken 

4. Oefen crisisscenario’s (Beyond Ransomware)

Stryker had continuïteitsplannen, maar de verstoring is alsnog wereldwijd. Oefen specifiek op:

• Tenant-lockout: Wat als beheerders zelf niet meer kunnen inloggen?
• Out-of-band communicatie: Hoe communiceert u als Microsoft Teams/Outlook platligt?
• Handmatige herstelprocessen: Hoe herbouwt u duizenden gewiste apparaten tegelijk?

Belangrijkste Conclusie: > Het overnemen van de identity- en endpoint-managementlaag is de nieuwe frontlinie. Als deze laag valt, mag de patiëntenzorg dat niet doen. Neem cybersecurity serieuzer dan ooit.

Wilt u weten of uw Microsoft-omgeving optimaal is beschermd tegen dit type aanvallen? Neem contact op met Pinewood voor een security audit of advies.

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

De AITOPIA-imitatiecampagne laat zien hoe eenvoudig AI-extensies bedrijven kunnen binnendringen. Je browser is niet langer slechts een hulpmiddel — het is een toegangspoort geworden.

Browserextensies: De nieuwe, onzichtbare aanvalsvector voor malware

De meeste mensen denken bij malware nog steeds aan iets luidruchtigs en opvallends: een verdacht bestand, een phishingmail of een dubieuze download. Maar het dreigingslandschap is veranderd. Een van de snelst groeiende aanvalsvectoren van dit moment verschuilt zich in het volle zicht: browserextensies.

Ze worden vrijwillig geïnstalleerd, ogen nuttig en bevinden zich precies in de omgeving waar medewerkers e-mails lezen, SaaS-tools gebruiken, klantgegevens verwerken en steeds vaker met AI-systemen werken.

Case study: Hoe ‘Chat GPT for Chrome’ en andere AI-extensies 900.000 gebruikers misleidden

Een recent onderzoek van OX Security naar twee kwaadaardige Chrome-extensies die zich voordeden als de AI-tool AITOPIA, laat zien hoe gevaarlijk dit is geworden. De volgende extensies zagen er op het eerste gezicht niet verdacht uit:

• Chat GPT for Chrome with GPT 5
• Claude Sonnet & DeepSeek AI
• AI Sidebar with Deepseek, ChatGPT, Claude and more

Ze oogden professioneel, vertrouwd en betrouwbaar; één ervan droeg zelfs het “Featured”-label van Google. Samen werden ze meer dan 900.000 keer geïnstalleerd. Achter dat laagje legitimiteit verzamelden ze echter elke 30 minuten AI-gesprekken, browseractiviteit en sessietokens.

Dit is geen theoretische dreiging meer. Het gebeurt nu binnen echte organisaties. Browserextensies zijn uitgegroeid tot een van de minst gemonitorde maar meest bevoorrechte onderdelen van het enterprise-aanvalsoppervlak. Aanvallers hebben ontdekt dat AI-gerelateerde extensies het perfecte Trojaanse paard zijn om bedrijven op grote schaal binnen te dringen.

Bij Pinewood SOC hebben we vergelijkbare kwaadaardige extensie-activiteit gedetecteerd bij meerdere klanten. In ons rapport Dreiging en Ontwikkelingen van januari 2026 waarschuwden we al voor deze versnellende trend.

Psychologische misleiding: Waarom medewerkers kwaadaardige AI-extensies vertrouwen
De kracht van deze campagne zat niet in technische complexiteit, maar in psychologische misleiding. De aanvallers kopieerden het ontwerp en gedrag van AITOPIA zo nauwkeurig dat gebruikers geen reden hadden om te twijfelen. De extensies leverden precies de AI-sidebarfunctionaliteit die men verwachtte, wat een vals gevoel van veiligheid gaf.

Het “Featured”-label maakte het compleet: voor de gemiddelde gebruiker leek het alsof Google de extensie had goedgekeurd. Zelfs de toestemmingsaanvraag was slim geformuleerd. Gebruikers werd gevraagd om toegang te geven tot “anonieme, niet-identificeerbare analytische gegevens”. In werkelijkheid gaf die toestemming volledige leesrechten op AI-chats en actieve tabbladen. De meeste mensen klikten gedachteloos op “Toestaan”.

De blinde vlek: Waarom traditionele beveiliging extensies mist

Veel organisaties hebben nog steeds sterke endpointmonitoring, maar vrijwel geen zicht op wat medewerkers in hun browser installeren. Deze blinde vlek wordt nu actief uitgebuit. Dit is een nieuwe modus operandi van social engineering: het gericht aanvallen van zeer kleine, specifieke alledaagse digitale subworkflows, in plaats van de traditionele en opvallende aanvalsvectoren.

Wat de extensies daadwerkelijk deden

Na installatie gedroegen de extensies zich zoals verwacht, terwijl ze ondertussen als volwaardige spyware opereerden:

• Elke 30 minuten scanden ze de DOM van ChatGPT- en DeepSeek-pagina’s voor prompts en antwoorden.
• Ze monitorden alle open tabbladen, inclusief URL’s en interne bedrijfslinks.
• Ze onderschepten sessietokens waarmee aanvallers gebruikers konden imiteren zonder wachtwoord of MFA.
• Alle gegevens werden Base64-gecodeerd naar servers van de aanvallers gestuurd.

Waarom dit een directe bedreiging is voor de bedrijfscontinuïteit

De browser is het operationele centrum van moderne organisaties geworden. Het is de plek waar authenticatie plaatsvindt, waar klantgegevens worden ingezien en waar AI-tools worden gebruikt voor strategische beslissingen.

Wanneer een extensie wordt gecompromitteerd, erft de aanvaller alles wat de browser kan zien. Dat omvat vertrouwelijke productplannen, financiële modellen en broncode. Voor leiderschapsteams is de ongemakkelijke realiteit dat één gecompromitteerde browserextensie meer bedrijfsdata kan blootstellen dan een gecompromitteerde laptop.

En nu? Stappen om het security-risico te beperken

Browserextensies zijn software die draait binnen je meest gevoelige omgeving. Neem de volgende stappen:

1. Controleer op de genoemde extensies: Zoek naar Chat GPT for Chrome with GPT 5, Claude Sonnet & DeepSeek AI of AI Sidebar op de browsers van medewerkers.
2. Centraal beheer: Dwing centrale browser policies af en gebruik een allowlist voor toegestane extensies.
3. Monitor rechten: Beoordeel de rechten van extensies met dezelfde zorgvuldigheid als andere bedrijfssoftware.
4. Schoonmaak: Verwijder ongebruikte extensies; ook inactieve extensies behouden hun rechten.

Als er iets niet pluis voelt, is de veiligste stap om de extensie te verwijderen, cookies te wissen en opnieuw in te loggen op kritieke accounts om gestolen sessies ongeldig te maken.

Bronnen

• Google Chrome-extensies stelen ChatGPT-gesprekken van slachtoffers – Security.NL
• Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
• Malicious Chrome Extensions Steal ChatGPT Conversations

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

Door: Mathis Koch, Security Analist bij Pinewood

ICC reageert op geopolitieke druk met open-source strategie

De discussie over de afhankelijkheid van Amerikaanse software wint in Europa snel aan terrein. De beslissing van het Internationaal Strafhof (ICC) om de Microsoft 365 suite te vervangen door open-source software trok wereldwijd aandacht. Deze suite vormt immers de basis voor vrijwel alle dagelijkse werkzaamheden binnen het hof, van documentverwerking tot samenwerking. De keuze was niet enkel pragmatisch, maar een directe reactie op zorgen over inmenging door buitenlandse staten in gerechtelijke processen.

Deze bezorgdheid werd gevoed door de Amerikaanse sancties tegen meerdere ICC‑functionarissen in zaken die betrekking hadden op Benjamin Netanyahu en Yoav Gallant. Amerikaanse technologiebedrijven mochten geen bestaande contracten meer uitvoeren, waardoor de ICC-functionarissen tijdelijk geen toegang kregen tot cruciale digitale diensten. De impact van dergelijke maatregelen toont aan hoe kwetsbaar instellingen zijn wanneer hun digitale infrastructuur afhankelijk is van leveranciers buiten de Europese jurisdictie.

Waarom Europa nu kiest voor digitale soevereiniteit

Het besluit van het ICC staat niet op zichzelf. In Oostenrijk stapt het Bundesheer over van Microsoft Office naar LibreOffice. In de Duitse deelstaat Schleswig‑Holstein migreert het openbaar bestuur structureel naar open‑source oplossingen, aansluitend bij eerdere stappen in de Franse stad Lyon. Ook de Europese private sector zoekt in toenemende mate naar soevereine alternatieven voor zowel officesoftware als clouddiensten. De Deense overheid is nog verder gegaan en heeft Microsoft 365 volledig afgeschaft op alle publieke apparaten, waarmee zij een duidelijk signaal afgeeft over digitale autonomie.

Deze ontwikkeling is illustratief voor een bredere verschuiving waarbij geopolitiek en bedrijfsvoering steeds sterker met elkaar verweven raken. Wanneer kritieke infrastructuur, zoals de rechtsstaat, defensie en het openbaar bestuur, afhankelijk is van niet‑EU‑leveranciers, ontstaan directe risicos zodra geopolitieke spanningen oplopen. Digitale soevereiniteit draait in deze context om controle: over software supply chains, datastromen en strategische afhankelijkheden. Open‑source en Europese alternatieven worden daarom steeds vaker gezien als manieren om deze controle te herwinnen.

De beveiligingsparadox van digitale soevereiniteit

Tegelijkertijd introduceert het loslaten van grote commerciële platforms nieuwe uitdagingen. Grote leveranciers beschikken over een gigantische capaciteit op het gebied van onderhoud, security patching, threat monitoring en incident response. Kleinere open‑source projecten en Europese technologiebedrijven kunnen dat tempo vaak niet bijbenen, waardoor meer verantwoordelijkheid voor beveiliging terechtkomt bij overheden en gespecialiseerde Europese cybersecurity‑partners.

De dreigingen waarmee Europa wordt geconfronteerd maken dit extra complex. State‑sponsored actors professionaliseren in hoog tempo en richten zich steeds vaker op overheid, infrastructuur en vitale sectoren. Cybercrime, digitale sabotage en vormen van cyber warfare zijn inmiddels structurele risico’s. Hierdoor ontstaat een dubbel dilemma: enerzijds de strategische kwetsbaarheid door de afhankelijkheid van buitenlandse cloud‑ en softwareleveranciers, en anderzijds de operationele kwetsbaarheid die kan ontstaan wanneer organisaties overstappen op minder robuuste of minder volwassen alternatieven.

Samen naar een toekomstbestendige Europese  cyberinfrastructuur

Hier ligt een belangrijke rol voor publiek‑private samenwerking. Europese cybersecurity‑partners, zoals Pinewood met een soeverein SOC, ondersteunen publieke en private instellingen bij het opbouwen van veerkrachtige, soevereine technologiestacks. Dit gebeurt onder meer door het ontwikkelen van gezamenlijke Europese threat‑intelligence‑netwerken, het leveren van grootschalige security monitoring en het versterken van de capaciteit in crisis‑, inlichtingen‑ en cyberdomeinen. Zo kan Europa bouwen aan infrastructuren die niet alleen strategisch onafhankelijk zijn, maar ook bestand tegen toenemende cyberdreigingen.

De zichtbaarheid van organisaties zoals het ICC maakt dit thema urgenter, maar de bredere Europese beweging is al in volle gang. Wanneer Europa erin slaagt open‑source infrastructuur te combineren met sterke governance en structurele investeringen in cybersecurity, kan het daadwerkelijk stappen zetten richting digitale soevereiniteit. Niet als symbolische keuze, maar als essentiële bouwsteen voor strategische onafhankelijkheid in een steeds vijandiger digitaal landschap.

Mathis Koch

Security Analist

015 251 36 36

info@pinewood.nl

In een tijd waarin cyberdreigingen zich razendsnel ontwikkelen en geopolitieke spanningen directe impact hebben op digitale risico’s, wordt één thema steeds belangrijker: digitale soevereiniteit. Voor organisaties die opereren binnen Nederlandse of Europese regelgeving – of die simpelweg maximale controle willen houden over hun data – vormt soevereiniteit geen luxe, maar een strategische noodzaak. In dit artikel beschrijven wij de belangrijkste argumenten voor een soeverein SOC.

Aansluiting op de Nederlandse Digitale Strategie
Digitale autonomie is een van de kernpijlers van de Nederlandse Digitale Strategie (NDS). Een soeverein SOC sluit hier direct op aan door:

• Nationale controle over data te garanderen
• Vendor lock in te voorkomen via open standaarden
• Organisaties te ondersteunen bij compliance voor NIS2, AVG en sectorale normen.

Een soeverein SOC biedt maximale controle over te analyseren logdata en sluit het naadloos aan op de publieke waarden en transparantie eisen van de NDS.

Amerikaanse platformen waarop een SIEM of SOC draait vormen een risico
Veel organisaties denken dat data in Europese datacenters automatisch veilig is onder EU jurisdictie. Dat is helaas niet het geval wanneer de softwareleverancier Amerikaans is. Door extraterritoriale wetgeving blijven deze bedrijven verplicht data te overhandigen aan Amerikaanse autoriteiten — zelfs wanneer de data exclusief in Europa staat.

De US CLOUD Act: extraterritoriale toegang
De US CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan Amerikaanse autoriteiten, ongeacht de locatie van de data. Zelfs als de data zich in een streng beveiligd Europees datacenter bevindt, kan de Amerikaanse overheid deze opvragen.

• De CLOUD Act staat direct op gespannen voet met GDPR en kan Europese privacywetgeving overrulen.
• Amerikaans-juridische analyses tonen aan dat zelfs formele garanties van leveranciers niet uitsluiten dat data aan de VS moet worden verstrekt.
• Het maakt niet uit of servers in Frankfurt, Dublin of Amsterdam staan: data van Amerikaanse bedrijven valt onder Amerikaanse jurisdictie.

Conflict met GDPR en Europese rechtsmiddelen
De CLOUD Act omzeilt procedures zoals MLAT verdragen, die door GDPR worden vereist voor internationale overdrachten. Daardoor ontstaat een juridisch dilemma:
meewerken betekent GDPR schending; weigeren betekent overtreding van Amerikaanse wet.

• Europese toezichthouders bevestigen dat CLOUD Act verzoeken geen rechtmatige basis vormen voor datatransfers vanuit de EU.
• Europese fact checks bevestigen dat CLOUD Act en FISA 702 fundamentele risico’s vormen voor Europese bedrijven.

Impact op SIEM platformen
Veel dominante SIEM platformen — waaronder Microsoft Sentinel, Splunk, Amazon gebaseerde oplossingen en andere Amerikaanse securityproducten — vallen onder deze wetten. Dat betekent dat:

• SIEM logdata, die juist extreem gevoelig is, potentieel opvraagbaar is door Amerikaanse autoriteiten.
• Dataresidency binnen Europa geen bescherming biedt tegen extraterritoriale toegang.
• Afhankelijkheid van Amerikaanse SIEM platformen haaks staat op volledige digitale autonomie.

Vertrouwen, veiligheid en continuïteit
Een soeverein SOC wordt doorgaans bemand door specialisten die gescreend zijn door nationale instanties en vallen onder de nationaal geldende wet- en regelgeving.

Ook het voldoen aan internationaal erkende normen zoals ISO27001, ISAE3402 2 en ISO9001, die aantoonbaar bijdragen aan een betrouwbaar en veilig SOC operating model voegen waarde toe. Een soeverein SOC maakt tenslotte volledige auditability mogelijk: transparante besluitvorming, volledige audittrails en verantwoording op basis van nationale en internationale certificeringen.

Met de NIS2 worden cybersecurity eisen binnen de EU flink aangescherpt. Veel organisaties vallen sinds 2024 of 2025 voor het eerst onder deze wet. Een soeverein SOC helpt organisaties om hun risico’s te monitoren, incidentmelden te borgen en continuïteit van kritieke processen aantoonbaar veilig te stellen wat direct aansluit op de NIS2 standaarden

Conclusie
Vanuit security perspectief is een soeverein SOC geen technische nuance, maar een strategische keuze. Het biedt bescherming tegen extraterritoriale toegang, voorkomt juridische conflicten, ondersteunt compliance met Europese wetgeving en biedt maximale controle over data, detectie en respons.
In een wereld waarin cyberdreigingen grensoverschrijdend zijn, maar wetgeving en verantwoordelijkheden nationaal, is een soeverein SOC dé manier om digitale autonomie, veiligheid en continuïteit te waarborgen — vandaag én in de toekomst.

Het soevereine SOC van Pinewood als antwoord
Het SOC van Pinewood wordt bemand door security analisten, security engineers en threat intel specialisten vanuit de locatie Delft die door de lokale autoriteiten zijn gescreend. Alle SOC-technologie en te analyseren logdata draait on-prem in een private cloud binnen Nederland, gehost bij Fundaments in Enschede. Fundaments onderscheidt zich met een uitgesproken soevereine Cloud-strategie, waarbij data altijd op Nederlandse bodem blijft en volledig wordt gecontroleerd, beheerd en beveiligd volgens de strengste nationale en Europese wet- en regelgeving.

Het SOC-platform worden geleverd vanuit meerdere geografisch gescheiden Tier3+ datacenters in Nederland en zijn gecertificeerd volgens toonaangevende normen, waaronder ISO 27001, NEN 7510 en ISAE 3402. Hierdoor valt te analyseren loggingdata nooit onder buitenlandse jurisdictie, wat essentieel is voor sectoren met strenge regulering zoals overheid, zorg en vitale infrastructuur.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Auteur: Siddharth Jethwani, Security Analist

Tijdens een recente advanced threat-huntingoperatie ontdekte het Pinewood Security Operations Center een nieuwe phishingcampagne die rondgaat binnen bedrijven in de voedingsproductie- en transportsector. Hoewel de e-mail op het eerste gezicht legitiem lijkt, onthult een nadere blik meerdere klassieke rode vlaggen én een slim vermomde poging tot het stelen van inloggegevens.

Wat hebben we gevonden?

De phishingpoging komt binnen als een e-mail die lijkt te gaan over het delen van een document. Dit viel direct op:

• Afzenderadres: xxxx@xxxx.com (anoniem gemaakt)
• Weergavenaam afzender: Doc Portal
• Onderwerpregel: Een combinatie van de bedrijfsnaam + “Document.pdf” + drie willekeurige karakters (bijv. Pinewood Document.pdf JiT)
• Kwaadaardige URL:
  o Voorbeeld: https://companyname[.]cubiertasnfumbe[.]com/ext
  o Bijvoorbeeld: https://pinewood.cubiertasnfumbe[.]com/ogfVmrrii9

De mismatch tussen het e-mailadres van de afzender en de getoonde naam is op zichzelf al verdacht. Maar het echte gevaar begint zodra een slachtoffer op de link klikt. Tot nu toe zijn twee verschillende tactieken waargenomen.

Tactiek 1
Wanneer de ontvanger de URL opent, komen ze terecht op een schijnbaar onschuldige webpagina waarop staat dat het account is suspened en dat ze contact moet opnemen met hun hosting provider:

Als de gebruiker vervolgens op “contact your hosting provider” klikt, worden ze doorgestuurd naar een pagina die zorgvuldig is nagemaakt om te lijken op een legitiem Outlook-inlogscherm:

Deze pagina is ontworpen om gebruikers hun Microsoft-inloggegevens te ontfutselen.

Tactiek 2
Wanneer de gebruiker op de phishinglink in de e-mail klikt, komen ze op de volgende pagina terecht:

Deze pagina lijkt sterk op een legitieme SharePoint-omgeving. Gebruikers worden gevraagd hun inloggegevens in te voeren.
Zodra zij dit doen en klikken op “continue with Microsoft SharePoint”, worden ze doorgestuurd naar een PWP-presentatie:

Ook hier worden gebruikers in een vals gevoel van veiligheid gelokt. Beide tactieken leiden uiteindelijk tot hetzelfde doel: het stelen van login-gegevens die onmiddellijk in handen van de aanvallers komen.
Een enkele klik kan voldoende zijn om de mailbox van een medewerker te compromitteren, gevoelige bedrijfsinformatie bloot te leggen of aanvallers toegang te geven tot bredere bedrijfsomgevingen.

Hoe Blijf Je Veilig?

Om jouw organisatie te beschermen, raden we het volgende aan:

• Blokkeer of onderdruk e-mails van vera.indino@realigro.com via je threat-intelligence- of e-mailbeveiligingstools.
• Herinner medewerkers eraan alert te blijven op afwijkende afzendernamen, onverwachte documentverzoeken en URL’s die niet overeenkomen met bekende bedrijfsdomeinen.
• Moedig medewerkers aan verdachte e-mails te melden bij het securityteam in plaats van erop te klikken.
• Sluit je aan op het Pinewood Security Operations Center (SOC).

Phishingcampagnes zoals deze worden steeds geavanceerder, maar met bewustzijn en sterke detectiemaatregelen kan een organisatie een stap voor blijven.
Blijf waakzaam!

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

Bij Pinewood bouwen we aan een veilige, betrouwbare en soevereine digitale toekomst, volledig in lijn met de principes van de Nederlandse Digitale Strategie (NDS). Als 100% Nederlandse cybersecurityspecialist zetten wij digitalisering in ten dienste van mens, maatschappij en publieke waarden.

1. Digitale soevereiniteit & soevereine cloud

Pinewood opereert volledig vanuit Nederland met een soeverein Security Operations Center (SOC) en een private cloudomgeving waarin alle data binnen Nederlandse grenzen blijft.
Onze SIEM‑technologie draait in onze eigen private cloud via Fundaments in Enschede, waardoor data nooit onder buitenlandse jurisdictie valt.

Deze architectuur sluit naadloos aan op de NDS‑pijler digitale autonomie en geeft organisaties maximale controle over hun gegevens.

2. Veiligheid, betrouwbaarheid en continue borging van kwaliteit

Pinewood volgt aantoonbaar de hoogste nationale en internationale normen voor kwaliteit en informatiebeveiliging. Wij zijn gecertificeerd volgens:

ISO27001 – internationaal erkende norm voor informatiebeveiligingsmanagement
ISO9001 – kwaliteitsmanagement en structurele procesverbetering
ISAE 3402‑2 – jaarlijkse externe audit op procesbeheersing en betrouwbaarheid

Deze certificeringen onderbouwen onze bijdrage aan de NDS‑doelstelling: een veilige en betrouwbare digitale infrastructuur voor Nederland.

3. Privacy‑ en security‑by‑design

Wij passen security‑ en privacy‑by‑design toe in al onze diensten:

Proactieve risicoanalyses
Strikte naleving van AVG en BIO
Technische maatregelen zoals encryptie, netwerksegmentatie, threat intelligence en 24/7 monitoring

Hiermee dragen wij bij aan de NDS‑principes rondom vertrouwen, digitale veiligheid en publieke waarden.

4. Publieke waarden en transparantie

Wij zijn transparant in besluitvorming, verantwoordingsplicht en audittrail‑opbouw, mede ondersteund door onze ISO9001‑processen.

Onze diensten zijn ontworpen om organisaties te helpen voldoen aan wet‑ en regelgeving en maatschappelijke eisen, zoals NIS2, AVG en sectorale normen zoals NEN7510.

5. Open & interoperabel

Pinewood werkt vendor‑agnostisch en maakt gebruik van open standaarden, API‑gebaseerde architectuur en technologie‑onafhankelijke SIEM‑platformen. Dit voorkomt afhankelijkheid van één leverancier en ondersteunt een toekomstbestendige digitale infrastructuur.

Conclusie

Pinewood geeft op een aantoonbare, transparante en toekomstbestendige manier invulling aan de Nederlandse Digitale Strategie.
Door soevereine cloud, onze sterke certificeringen, security‑ en privacy‑by‑design, en vendor‑agnostische architectuur maken wij Nederland digitaal veiliger — vandaag én in de toekomst.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Met trots kondigen we aan dat Interstellar cybersecurityspecialist EightFence heeft overgenomen. Door de expertise van EightFence kunnen we onze klanten nu nóg beter ondersteunen in hun securitybehoeften, met 24/7 beveiligingsmonitoring en toonaangevende oplossingen.

Voor cybersecurityorganisatie Pinewood, onderdeel van de Interstellar Group, is dit een mooie stap. Pinewood CEO Sebastiaan Kors, zegt hierover: “Deze overname past perfect in onze strategie om aan de toenemende vraag te voldoen om Microsoft-technologie te ondersteunen vanuit ons Security Operations Center in Delft. Binnen de groep beschikken we nu met zo’n 100 security professionals over een sterke focus op securitymonitoring en -adviesdiensten.” Hetzelfde geldt voor het securityaanbod van het label RawWorks dat ook onderdeel is van de Interstellar Group. Met de verschillende strategieën op het gebied van cybersecurity samengevoegd, is de Interstellar Group in staat om klanten ongeacht hun wensen en behoeften, te voorzien van de juiste oplossing.

EightFence gaat voor de volgende Fase

EightFence heeft een stevige positie in de markt ingenomen als Microsoft Managed Security Service Provider met cybersecurityspecialisten die vanuit het 24×7 Security Operations Center in Rotterdam opereren. Dit heeft geresulteerd in het opbouwen van een klantenbase in sectoren zoals de overheid en financiële sector. Deze sectoren stellen hoge eisen aan cybersecurity, vanwege reguleringen zoals NIS2, DORA en BIO.

Tim de Vries, CEO van EightFence, verklaart: “EightFence heeft in de korte periode van drie jaar een snelle groei gerealiseerd. Als verfrissende partner in cybersecurity bieden we branchespecifieke state-of-the-art beveiliging voor organisaties wereldwijd. Zowel cloud als on premises, en op continue 24×7 basis. Aanvallers werken namelijk niet van negen tot vijf. De ambitie van Interstellar om Managed Security Service Provider en Microsoft partner of the Year te worden, sluit naadloos aan bij de ambities van EightFence.”

Meer informatie voor de pers:

Over de Interstellar Group

Met een focus op productiviteit, infrastructuur en security ondersteunt de Interstellar Group middelgrote organisaties bij het verbeteren en stabiliseren van hun IT-omgevingen. Het bedrijfsmodel van de Interstellar Group is uniek. De IT Services Provider bestaat uit een managed services provider (MSP) onder de naam Interstellar en drie specialistische IT-bedrijven: Pinewood (cybersecurity), RawWorks (productiviteit) en Fundaments (missiekritische cloud-based processen). Deze drie organisaties opereren als autonome, strategische partners die toegevoegde waarde bieden aan zowel hun eigen klanten, als die van de MSP Interstellar. Door het samenbrengen van managed services en unieke, individuele expertise, worden waardevolle combinaties gecreëerd. Met maatwerk voor iedere klant. Sinds de oprichting in 2021, als onderdeel van investeringsmaatschappij Quadrum Capital werkt de Interstellar Group met ruim 700 medewerkers vanuit elf locaties door het hele land. Voor meer informatie, kijk op Interstellar of op LinkedIn.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Op 8 oktober heeft Pinewood de ISAE3402 type-2 assurance verklaring ontvangen van audit bureau Accoris. ISAE3402 is de norm voor o.a. Managed Security Service Providers zoals Pinewood en geeft een antwoord op de risico’s en uitdagingen die gerelateerd zijn aan outsourcing door assurance over risicomanagement en interne beheersing. Met deze verklaring is aangetoond dat bij Pinewood de genomen maatregelen volgens de geldende normen is geborgd.

Volgens Sebastiaan Kors (CEO bij Pinewood): ‘’Onze klanten en de markt vragen in toenemende mate naar een dergelijke verklaring omdat zij en hun accountants zekerheid willen hebben dat er geen risico’s zijn wanneer bijvoorbeeld security monitoring is uitbesteed. De vragen van klanten kunnen zijn; ‘Op welke wijze wordt data opgeslagen?’, ‘Hoe wordt omgegaan met change management?’, ‘Voldoet mijn leverancier aan wet- en regelgeving op het gebied van privacy (AVG)?’ Naast deze vragen is er vaak sprake van een wettelijke verplichting voor bedrijven en instellingen om processen die zij outsourcen te beheersen.’’.

Albert Esser (COO bij Pinewood) vult aan: specifiek wordt er bij een ISAE3402 audit goed gekeken naar de opzet van beheerprocessen, het bestaan en de werking hiervan over een specifieke periode. Met deze ISAE3402 type-2 assurance verklaring wordt onafhankelijk bevestigd dat Pinewood voor het beheer van de betreffende processen naar behoren heeft ingericht en dat de gegevens van onze klanten ook in het afgelopen jaar in veilige handen zijn geweest bij Pinewood. Een mooie stap om aan te tonen dat we kwaliteit leveren en doen wat we beloven”.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Tijdens het jaarlijkse Cyber Future Event van Pinewood stonden wij stil bij een korte geschiedenis cybersecurity. Dit mede vanwege het 30 jaar bestaan van Pinewood en dat de geschiedenis ons veel kan leren wat er nu en in de toekomst zich mogelijk af kan spelen.

Ter gelegenheid hiervoor hebben wij een overzicht gemaakt van beruchte hacks, ontwikkelingen in het vakgebied, virussen tot aan ontwikkelingen van vandaag de dag. Dit overzicht kan in hoge-resolutie worden uitgeprint.

Download de hoge-resolutie versie van ‘ De geschiedenis van cybersecurity’.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl