Cyberaanvallen worden steeds slimmer, firewalls steeds beter en software steeds veiliger. Toch blijft één factor opvallend kwetsbaar: de mens. In de praktijk blijkt dat de helft van alle beveiligingsproblemen in Nederland terug te voeren is op menselijk handelen. Denk aan een medewerker die zonder nadenken een QR-code scant, een USB-stick aansluit, een zwak wachtwoord kiest of op een phishinglink klikt. Het lijkt een kleine fout, maar de gevolgen kunnen enorm zijn.
Bekende voorbeelden, zoals de CEO-fraude bij Pathé waarbij miljoenen euro’s naar een nepfirma in Dubai werden overgemaakt, laten zien dat het op ieder niveau kan misgaan. Nog vaker gaat het om incidenten die het nieuws niet halen, maar die voor de getroffen organisaties ingrijpend zijn. Het verschil zit vaak in hoe snel een medewerker het probleem herkent en meldt. Want hoe eerder er actie kan worden ondernomen, hoe kleiner de schade.
Security awareness net zo belangrijk als techniek
Organisaties investeren fors in firewalls, encryptie en antivirussoftware. Maar zonder aandacht voor het gedrag van medewerkers blijven ze kwetsbaar. Security awareness gaat verder dan een eenmalige training. Het draait om routine, herhaling en het creëren van een cultuur waarin collega’s elkaar durven aanspreken op onveilig gedrag.
Toch blijkt dat veel medewerkers beveiligingsregels omzeilen als ze die onhandig vinden. Het gemak wint het nogal eens van veiligheid. Daarom is het essentieel dat bedrijven blijven benadrukken wat de impact van menselijk handelen kan zijn. Herhaling is cruciaal. Stuur reminders, blijf trainen en blijf testen.
Een effectieve methode is het sturen van interne testmails met een phishinglink. Wie erin trapt, krijgt een vervolgtraining. Het blijkt dat zo’n twee derde van de deelnemers na een security awareness-training daadwerkelijk zijn of haar gedrag verandert. Basismaatregelen zoals tweefactorauthenticatie (2FA) zijn daarbij onmisbaar. Het is een eenvoudige stap die het risico op datalekken drastisch verkleint.
Nieuwe dreigingen: AI maakt het gevaarlijker
Phishingmails vol spelfouten zie je steeds minder. Dankzij kunstmatige intelligentie worden cyberdreigingen moeilijker te onderscheiden van betrouwbare communicatie. Denk aan overtuigende deepfakevideo’s of telefoontjes en spraakopnames met een stem die niet van echt te onderscheiden is. Ook ransomware-as-a-service is in opkomst. Cybercriminelen verhuren hun aanvalsmethoden, waardoor minder technisch onderlegde daders eenvoudig kunnen toeslaan.
AI verhoogt het niveau van deze dreigingen aanzienlijk. Aanvallen zijn persoonlijker, geloofwaardiger en moeilijker te herkennen. Een medewerker die een telefoontje krijgt met de vertrouwde stem van de directeur, met de dringende vraag om een betaling te doen, twijfelt zelden. Daarom is het cruciaal dat organisaties duidelijke afspraken maken over wat wel en niet gedaan wordt via e-mail, telefoon of spraakopnames.
Naast bewustwording kan AI worden ingezet als verdedigingsmiddel. Door patronen te herkennen en afwijkingen te signaleren, kunnen slimme systemen helpen aanvallen te blokkeren. Toch blijft het menselijke boerenverstand onmisbaar. Medewerkers moeten weten wanneer ze moeten opletten en vooral wanneer ze even niks moeten doen.
Wet- en regelgeving als katalysator: NIS2
Vanaf 2023 is de Europese NIS2-richtlijn van kracht. Deze verplicht organisaties in cruciale sectoren – zoals energie, zorg, transport, overheid, voedsel en digitale infrastructuur – om hun digitale weerbaarheid structureel te versterken. Voor middelgrote en grote organisaties (meer dan vijftig medewerkers of een omzet boven de tien miljoen euro) betekent dit dat ze zowel technisch als organisatorisch hun beveiliging moeten opschroeven.
De verwachting is dat de Nederlandse Cyberbeveiligingswet, die NIS2 omzet naar nationale regelgeving, in 2026 van kracht wordt. Daarmee komen onder meer controles en boetes, die fors kunnen zijn, in beeld. Voor de nodige organisaties is NIS2 vooral een verplichting, maar het biedt tevens een kans om cybersecurity structureel hoger op de agenda te zetten. Investeren in bewustzijn en maatregelen is nu vaak goedkoper dan een latere boete of een hack.
Uitdagingen voor kleinere organisaties
Niet alleen grote bedrijven lopen risico. Juist kleinere organisaties zijn vaak aantrekkelijk voor hackers, omdat hun beveiliging eenvoudiger te kraken is. Veel ondernemers denken dat hun bedrijf te klein is om interessant te zijn. Hackers richten zich echter niet op de naam of omvang van het bedrijf, maar op data die doorverkocht kan worden.
De drempel om beter te beveiligen hoeft niet hoog te zijn. Begin met basismaatregelen zoals 2FA en zorg dat medewerkers regelmatig getraind worden in het herkennen van risico’s. Ook het samenwerken met een betrouwbare IT-partner kan een groot verschil maken. Belangrijk is dat de basis op orde is: techniek en processen vormen het fundament, bewustwording en gedrag maken het verschil.
Hoewel sommige sectoren, zoals gemeenten en overheden, extra kwetsbaar zijn vanwege de hoeveelheid gevoelige informatie, geldt in feite dat geen enkele branche veilig is. Elke dag worden organisaties aangevallen: van mkb tot multinationals. Niemand ontkomt eraan.
Cybersecurity als gedeelde verantwoordelijkheid
Cybersecurity is geen taak van alleen de IT-afdeling. Het vraagt om een gezamenlijke inspanning van techniek, processen én menselijk gedrag. Door te investeren in kennis, bewustzijn en routine verklein je de kans dat een aanval slaagt. Uiteindelijk kunnen medewerkers, mits goed geïnformeerd en getraind, juist de sterkste schakel in de beveiliging worden.
Ondersteuning door Startel
Startel is in het noorden een opleider die organisaties ondersteunt bij het vergroten van hun digitale weerbaarheid. Startel biedt uiteenlopende trajecten: van technische trainingen zoals Certified Ethical Hacker tot awareness-trainingen voor eindgebruikers en NIS2-opleidingen voor management en CISO’s. Daarbij is het wel van belang om bij de juiste partijen aan te kloppen. In Noord-Nederland is Startel al meer dan 25 jaar de grootste IT-opleider in de regio. Zulke initiatieven laten zien dat er steeds meer aandacht komt voor het combineren van techniek en menselijk gedrag in de beveiligingsaanpak. Meer weten? Kijk op www.startel.nl.