Olympische Winterspelen: sport, medailles én cyberaanvallen
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland.
Published on February 5, 2026
Op deze foto laat een beveiligingsmedewerker van de Olympische Spelen in Parijs uit welke cyber-aanvallen er actueel plaatsvinden. De gebogen pijlen komen van Oost en West richting Parijs.
Onze DATA+ expert en hoofdredacteur Elcke Vels duikt in AI, cyber security en innovatie. In haar ‘What if…’ column verkent ze gedurfde scenario’s buiten de status quo.
De Olympische Winterspelen 2026 komen eraan. Dat betekent niet alleen sport en medailles, maar ook een vergroot risico op cyberaanvallen. Organisaties die betrokken zijn bij de spelen, zoals leveranciers en dienstverleners, kunnen doelwit zijn. In het rapport Cyber Threats to Milan‑Cortina 2026 staan een aantal aanbevelingen voor betrokken partijen om de cyberbeveiliging op orde te krijgen, van zero-trust tot aan AI inzetten. In dit verhaal bespreken we er een aantal met cybersecurity-expert Patrick Jordens.
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.
Wie kunnen er achter cyberaanvallen zitten tijdens de Winterspelen?
“Voor actoren die ontwrichting willen veroorzaken zijn de Spelen bij uitstek de perfecte gelegenheid. Vaak gaat het om overheidsgestuurde acties vanuit bijvoorbeeld Rusland, of andere landen die belang hebben bij ontwrichting. Naast ontwrichting kan het ook gaan om spionage of infiltratie.”
Wat voor organisaties kunnen doelwit worden?
“Er zijn extreem veel organisaties direct betrokken bij de Winterspelen, maar denk ook aan de toeleveringsketen; kleinere mkb-bedrijven die minder goed voorbereid zijn. Elke betrokken organisatie, groot of klein, kan een doelwit zijn. Als je bijvoorbeeld de catering van een olympisch dorp platlegt, haalt dat direct het nieuws.”
Kunnen organisaties van tevoren al veel doen om het risico te verkleinen?
“Jazeker. Kijk maar naar de NAVO-top, waar cyberdreigingen ook een grote rol speelden. Vooraf goed nadenken en scenario’s opstellen helpt enorm. Bij de NAVO-top werden incidenten al van tevoren ingeschat. Tijdens de top gebeurden er wel dingen, maar die konden snel worden geduid omdat ze binnen de geschetste scenario’s pasten. Concrete maatregelen waren bijvoorbeeld: draaiboeken klaarmaken voor specifieke soorten dreigingen. Of geo-blocking: inlogpogingen uit bepaalde landen werden standaard geblokkeerd, behalve via een formele uitzondering. Achteraf meldde de gemeente Den Haag dat ze zo een poging met gestolen inloggegevens hebben kunnen blokkeren.”
Er worden een aantal aanbevelingen gedaan in het rapport, zodat partijen betrokken bij de Spelen zich kunnen voorbereiden. Een daarvan is: zero-trust toepassen. Wat betekent dat?
“Zero-trust betekent: je vertrouwt niemand automatisch. Ook niet als iemand al binnen het netwerk zit. Vroeger werd beveiliging gezien als een kasteel: buiten de muren is er gevaar, binnen is het veilig. Dat model werkt niet meer. In de praktijk betekent zero trust dat gebruikers continu gecontroleerd worden, apparaten steeds opnieuw gevalideerd, en toegang zo beperkt mogelijk is. Je krijgt alleen wat je op dat moment nodig hebt. Alles wordt gelogd en gemonitord. Een goede metafoor is een toegangsbadge in een gebouw: die werkt niet voor het hele pand, maar alleen voor de ruimte waar je op dat moment moet zijn. Zero trust is trouwens geen product dat je even koopt, maar een ontwerpbeginsel — organisatorisch én technisch.”
Een tweede aanbeveling is: runtime-beveiliging toepassen. Kun je dat eens uitleggen?
“Runtime-beveiliging kijkt naar wat er gebeurt terwijl systemen draaien — live dus. Niet vooraf, maar op het moment zelf. Het gaat om het detecteren van afwijkend gedrag; een applicatie die ineens data naar het buitenland stuurt, of een proces dat ’s nachts actief wordt terwijl dat normaal nooit gebeurt. Je kunt het vergelijken met een APK-keuring versus een agent die je aanhoudt omdat je slingert. De APK is vooraf, runtime-beveiliging is ingrijpen op het moment dat iets misgaat.”
Een derde aanbeveling uit het rapport: AI-gestuurde detectie inzetten. Hoe werkt dat?
“Het grote voordeel van AI is patroonherkenning. AI kan afwijkingen en verbanden ontdekken die mensen vaak missen. Tien kleine signalen samen kunnen één grote aanval vormen — en AI kan dat opmerken voordat er echt iets misgaat. Maar let op: AI kan geen bestuurlijke keuzes maken en houdt geen rekening met context. Een voorbeeld uit mijn praktijk: ik ben in contact met een bedrijf waarvan de directeur vaak vanuit China moet inloggen. AI ziet dat verkeer uit China en slaat alarm, terwijl de organisatie weet dat dit in orde is. Die context kan AI niet goed beoordelen. Het is dus een hulpmiddel, geen vervanging voor menselijke regie.”