AI maakt cyberaanvallen steeds laagdrempeliger en overtuigender – deepfakes en automatische phishing zijn nu binnen handbereik van criminelen.
Bedrijven die medewerkers slechts één keer per jaar trainen, bereiken hetzelfde resultaat als bedrijven die helemaal niet trainen.
Reputatieschade na een datalek is moeilijk te kwantificeren, maar vormt het meest onderschatte risico voor organisaties.
Cyberaanvallen worden steeds geavanceerder, waarbij AI voor criminelen inmiddels een krachtige bondgenoot is die hun aanvallen naar een nieuw niveau tilt. Het is allang niet meer de vraag óf een organisatie slachtoffer wordt, maar wanneer. De menselijke factor speelt bij veel aanvallen een cruciale rol – niet als zwakste schakel, maar als potentieel sterkste verdedigingslinie.
“Ransomware is de nummer één dreiging, gevolgd door business email compromise”, vertelt Martin Kraemer, security awareness advocate bij KnowBe4. “AI maakt toegang tot hackertools voor cybercriminelen veel eenvoudiger en stelt hen in staat hun operaties efficiënter op te schalen. Effectieve cybersecurity vereist daarom een combinatie van mensen, processen en technologie. Je kunt deze elementen niet los van elkaar zien.”
KnowBe4 helpt wereldwijd meer dan 70.000 organisaties bij het opzetten van security awareness programma’s, met als doel medewerkers te trainen in het herkennen van phishing en andere social engineering-tactieken. De vraag die veel beslissers zich stellen: levert die investering eigenlijk wel genoeg op?
Reputatieschade vaak onderschat
Wie de waarde van security awareness training wil berekenen, moet volgens Kraemer naar drie componenten kijken: ontwikkelingskosten, direct productiviteitsverlies en reputatieschade. Vooral die laatste wordt systematisch onderschat.
“Reputatieschade is een enorm probleem dat nog steeds vaak wordt onderschat”, benadrukt Kraemer zonder aarzeling. “Het is niet alleen dat mensen hun ogen sluiten. Het is ook ongelooflijk moeilijk om in te schatten wat de reputatieschade kan zijn. Maar de impact is aanzienlijk.” Hij wijst op een zorgwekkende trend waarbij cyberaanvallen niet alleen gericht zijn op financieel gewin, maar ook op het ondermijnen van vertrouwen in organisaties en zelfs hele sectoren.
“We zien een verschuiving waarbij actoren deels door overheden worden gesteund maar als private groepen opereren. Ze werken voor eigen gewin, maar hun operaties worden getolereerd of zelfs gefaciliteerd door buitenlandse regimes”, legt Kraemer uit. Volgens hem wordt elke verstoring die wordt veroorzaakt verder versterkt via sociale media, wat het vertrouwen in sectoren als energie en gezondheidszorg ondermijnt.
Meetbare resultaten
Het ‘phish-prone percentage’ (PPP) is een belangrijke meetwaarde voor KnowBe4. Het vertegenwoordigt het percentage medewerkers dat slachtoffer wordt van een gesimuleerde phishing-test. Voor organisaties die beginnen met security awareness training ligt dit percentage gemiddeld rond de 35 procent.
“Na drie maanden zien we een significante reductie tot ongeveer 20 procent”, vertelt Kraemer. “Na een jaar continu trainen bereiken de meeste organisaties 3 tot 5 procent. Bij ons eigen bedrijf is het zelfs minder dan 1 procent.” Daarbij benadrukt hij dat maandelijkse trainingen van 10-15 minuten, aangevuld met kortere tussentijdse sessies, het meest effectief zijn. “Uit ons onderzoek blijkt dat van alle phishing-emails die een gemiddelde organisatie ontvangt, ongeveer 20 procent door alle technische beveiligingslagen heen glipt en in de inbox van medewerkers belandt”, vertelt Kraemer. “Door mensen te trainen deze emails te herkennen en er melding van te maken, verbeter je niet alleen hun waakzaamheid, maar genereer je ook intelligence die je emailfilters kan verbeteren.”
Compliance-gedreven trainingen, waarbij organisaties slechts één keer per jaar een training geven om aan regelgeving te voldoen, zijn volgens Kraemer even effectief als helemaal niet trainen. “Naleving is niet hetzelfde als beveiliging. Naleving kan alleen het startpunt zijn van een programma dat daadwerkelijk risico’s wil verminderen.”
Mensfactor niet onderschatten
Een hardnekkig misverstand is dat medewerkers ‘de zwakste schakel’ in security zijn. “We zeggen ook niet dat onze antivirus kapot is als die een virus niet detecteert. Waarom zouden we dan wel zeggen dat onze mensen gerepareerd moeten worden als ze niet alles detecteren?” zegt Kraemer. “In werkelijkheid vormen goed getrainde medewerkers juist je eerste en soms meest effectieve verdedigingslinie. Ze zijn niet het probleem, maar een cruciaal onderdeel van de oplossing.”
Vooral nu AI in toenemende mate wordt ingezet voor het maken van deepfakes, wordt het belang van deze menselijke verdedigingslinie alleen maar groter. “Cybercriminelen kunnen inmiddels volledig vervalste stemmen en video-gesprekken maken die nauwelijks van echt te onderscheiden zijn,” waarschuwt Kraemer. “Waar medewerkers steeds beter worden in het herkennen van phishing-emails, worden ze nu geconfronteerd met telefoontjes en videogesprekken die beangstigend realistisch lijken.”
Hij geeft een praktijkvoorbeeld dat de waarde van goed getrainde medewerkers mooi illustreert. “Een medewerker van Ferrari ontving een telefoontje van iemand die zich voordeed als de CEO. De medewerker werd wantrouwig en herinnerde zich zijn security awareness training. Hij vroeg simpelweg: ‘Vorige week dinsdag dronken we koffie en aan het eind van ons gesprek raadde je me een boek aan. Welk boek was dat?’ De fraudeur had natuurlijk geen antwoord en het telefoontje eindigde op dat moment.”
Een investering die verder gaat dan compliance
Voor organisaties die worstelen met het verkrijgen van budget voor security awareness training, adviseert Kraemer om te kijken naar een volledige risico-inschatting. Een belangrijk extra argument is de persoonlijke aansprakelijkheid onder nieuwe wetgeving. “NIS2 fungeert als sterke drijfveer, vooral voor bestuurders, omdat ze nu aansprakelijk en verantwoordelijk zijn voor de beveiliging van hun organisatie,” benadrukt Kraemer. Zijn advies aan beslissers is daarom helder: “In het huidige dreigingslandschap moet elke organisatie security awareness training implementeren. Niet als een compliance-oefening, maar met het idee om daadwerkelijk risico’s door menselijk gedrag te verminderen. Want terwijl technische maatregelen blijven falen, kunnen goed getrainde medewerkers het verschil maken tussen een afgeslagen aanval of dagenlang stilstaan.”
Dit is een artikel in samenwerking met KnowBe4. KnowBe4 is ’s werelds grootste platform voor security awareness training in combinatie met gesimuleerde phishing-aanvallen. Het Knowbe4-platform helpt organisaties om hun personeel te trainen in het herkennen, rapporteren en voorkomen van phishing-aanvallen, malware, CEO-fraude en andere vormen van cybercrime. Bezoek de website voor meer informatie.