Tijdens de Score Utica Summit op 6 november deelde Erwin Sprengers zijn aanpak. Als commercieel productmanager voor het KPN partnernetwerk vertelde hij hoe hij sterke proposities maakt voor partners, met cybersecurity als speerpunt. Hij stelt één vraag aan de groep: "Wie heeft er wel eens een eindgebruiker gehad of misschien zelf op een verdachte link geklikt?" Meer dan de helft steekt de hand op. Dan volgt zijn tweede vraag: "En wie heeft er toen actie ondernomen om te borgen dat het minder vaak gebeurt?"
De stilte die volgt laat zien dat er nog te weinig wordt gedaan om dit probleem te voorkomen.
Het probleem zit niet in de techniek. Je hebt USB-poorten dichtgezet, antivirus geïnstalleerd, servers beveiligd en firewalls neergezet. Toch blijft er een risico. En dat risico heeft vaak twee handen en een toetsenbord. Want 90% van alle cyberincidenten begint bij menselijk handelen. Geen technische fout, geen achterdeurtje in je systeem, maar een medewerker die onder tijdsdruk op een linkje klikt dat er net iets te overtuigend uitziet.
Hoe zorg je ervoor dat dit verandert voordat het je organisatie raakt?
De cijfers liegen er niet om. 42% van de Nederlandse bedrijven had vorig jaar te maken met minimaal één cyberaanval. Volgens de politie ligt dat percentage in werkelijkheid vele malen hoger, omdat veel organisaties het niet melden. Te gênant, te ingewikkeld, of te bang voor de reputatieschade.
En phishing? In 2024 ontving 60% van de medewerkers een phishingmail, tegenover 21% in 2023. Die explosieve groei komt niet uit de lucht vallen. Met AI kunnen aanvallers in een oogwenk duizenden overtuigende mails versturen. Het kost hen bijna geen moeite meer.
De waarheid is dat het MKB een makkelijk doelwit is geworden. Grote bedrijven hebben de afgelopen jaren miljoenen geïnvesteerd in beveiliging. Het MKB heeft daar geen tijd en vaak geen budget voor gehad. Ze waren druk met ondernemen. En nu zijn ze kwetsbaar.
Van de getroffen MKB-bedrijven lag 90% minimaal een week plat. Reken eens uit wat het je kost als je een week lang geen zaken kan doen:
Een deelnemer aan de Summit deelt zijn verhaal. Een medewerker krijgt op zijn privé-pc een linkje om iets te betalen voor zijn trouwerij. Lijkt legitiem. Hij klikt. Omdat het niet werkt in zijn privé-omgeving, kopieert hij de link naar de zakelijke omgeving om het daar te proberen. Een paar klikken later is zijn zakelijke account gecompromitteerd. De aanvallers versturen mails naar leveranciers vanuit zijn naam. Het incident response plan moet in werking treden.
Het verhaal eindigt goed omdat de melding snel kwam. Maar wat als hij het niet had gemeld? Wat als hij bang was geweest voor de reactie?
Zoals een deelnemer het verwoordt: "Ik heb altijd geleerd om ook te bedanken." Want als je mensen gaat afstraffen omdat ze op een verkeerde link hebben geklikt, dan gaan ze het niet meer melden. Dan verdwijnt het incident onder de radar en groeit de schade ongemerkt door.
Je kunt USB-poorten dichtzetten en servers beveiligen, maar je bent nooit 100% veilig. Er blijft altijd een risico. Want hoe zit het met die collega die een Word-document opent met klantgegevens, een stuk tekst eruit haalt en dat even laat herschrijven door ChatGPT? Of die medewerker die snel een verdachte link kopieert omdat het handiger werkt?
Dat zijn geen uitzonderingen. Dat gebeurt dagelijks. Zelfs Erwin zelf ziet het binnen KPN. "Ook binnen KPN hebben we security awareness trainingen en ik ben er gelukkig nog nooit ingetrapt. Maar directe collega's van mij wel." De voorbeelden zijn eindeloos. Een uitnodiging voor het kerstfeest van de directeur. Een nieuwe iPhone om te testen. De vraag welke koffiesmaak je wilt in de automaat. Het ziet er allemaal zo vertrouwd uit.
Je kunt mensen niet één keer een training laten volgen en denken dat je klaar bent. Security awareness moet je blijven trainen. Steeds opnieuw. Zoals fietsen, maar dan met een tegenstander die constant verandert.
Wat je moet trainen is dat logische aha-moment. Dat moment waarop je even pauzeert en denkt: Wacht, is dit wel logisch? Ken ik deze afzender? Zit ik hierop te wachten? Klopt deze URL wel?
Want aanvallers worden steeds slimmer. Ze doen iemand na die je kent. Een collega, een leverancier, zelfs je directeur. En met AI worden die mails zo overtuigend dat je het verschil bijna niet meer ziet. Tenzij je getraind bent om die signalen te herkennen.
Tijdens de Summit laat Erwin een voorbeeld zien. Een mail over zijn Microsoft-account dat verwijderd zou worden. "Microsoft Security Alerts.com ziet er best wel legitiem uit," zegt hij. En hij heeft gelijk. Als je niet goed kijkt, trap je erin. Specialisten zien misschien dat de URL net iets anders is, maar de gemiddelde medewerker onder tijdsdruk? Die klikt.
Daar helpt een tool als Trustlayer bij. Het is een cloudoplossing die je medewerkers het hele jaar door traint met phishingsimulaties en microtrainingen. Geen dagenlange cursussen waar niemand tijd voor heeft, maar korte filmpjes van vijf minuten met concrete voorbeelden en directe feedback.
Het mooie is dat het werkt met een werkwijze die je van tevoren plant. Je hoeft er niet dagelijks mee bezig te zijn. De tool stuurt automatisch phishingmails, wijst trainingen toe en houdt bij wie wat heeft gedaan. En cruciaal: het geeft je inzicht. Waar gaat het fout? Welke medewerkers hebben extra aandacht nodig? Welke afdelingen scoren risicovol?
Wat je daarmee wint:
Een HR-medewerker heeft andere trainingen nodig dan iemand op finance. En iemand die regelmatig op een verkeerde link klikt, krijgt gerichte extra trainingen om die specifieke zwakte aan te pakken.
Trustlayer verstuurt willekeurig phishing-tests naar je medewerkers. DHL meldt dat er nog een pakketje voor je ligt. Je Google-account wordt verwijderd. Microsoft Security Alert. Allemaal mails die binnenkomen en die je mensen continu blijven trainen. En als iemand klikt? Dan krijgt de beheerder dat te zien. Niet om te straffen, maar om inzicht te krijgen waar extra training nodig is.
Je krijgt dashboards die laten zien wie waar op klikt, welke trainingen zijn voltooid en waar de risico's liggen. Je kan een plan bouwen die een heel jaar doorlopen. De tool stelt zelfs een kalender voor. Iedere keer opnieuw. Die plan-do-check-act cirkel. Je komt iedere keer weer terug. Niet door naming en shaming, maar door inzicht.
Voor sommige organisaties komt daar nog een extra laag bij. NIS2-wetgeving dwingt bepaalde sectoren om aan te tonen dat ze cyberveilig werken. En als je in een leveranciersketen zit van zo'n bedrijf, dan moet jij dat ook kunnen aantonen.
Opeens is security awareness geen nice-to-have meer, maar een harde eis. Je moet kunnen laten zien dat je medewerkers getraind zijn, dat je phishingsimulaties draait, dat je incidenten bijhoudt en verbetert. Trustlayer biedt die rapportage. Het geeft je de compliance-ondersteuning die je nodig hebt om aan te tonen dat je het serieus neemt.
Wanneer je medewerkers continu getraind worden, verandert de manier waarop ze met verdachte mails omgaan. Ze herkennen signalen sneller. Ze pauzeren voordat ze klikken. Ze melden verdachte mails zonder angst voor straf. En dat maakt het aanvallers een stuk moeilijker om binnen te komen.
Want een phishingmail herkennen, dat kun je leren. Vragen stellen voordat je klikt, dat kun je automatiseren in je gedrag. En een cultuur waarin mensen zich veilig voelen om een fout te melden, die kun je creëren.
Voor jou ontstaat er overzicht dat je anders mist. Je ziet waar de risico's zitten en waar je moet bijsturen. Je bent niet meer afhankelijk van geluk en hoop dat het goed gaat. Je hebt inzicht, controle en medewerkers die weten wat ze moeten doen.
Je kunt tools kopen, maar een veiligheidscultuur moet je bouwen. Dat begint met erkennen dat security niet alleen een IT-vraagstuk is, maar een gedragsvraagstuk. Dat je medewerkers niet je zwakste schakel zijn, maar je eerste verdedigingslinie. Als je ze traint, als je ze de ruimte geeft om fouten te melden, als je ze continu blijft bijscholen, dan maak je het aanvallers een stuk moeilijker.
De vraag is niet óf je organisatie een keer geraakt wordt, maar wanneer. En of je er dan klaar voor bent.
Kijk voor oplossingen op https://www.score-utica.nl/security