Meer dan de helft van Nederlandse bedrijven kreeg te maken met phishing, wat kun jij doen?

Phishing blijft een groot probleem. Uit recent onderzoek van SIDN blijkt dat 58% van de Nederlandse bedrijven het afgelopen jaar het doelwit was van phishing. Ondanks dat het gevaar erkend wordt, onderneemt een groot deel van organisaties te weinig actie om het risico te reduceren.

Wat laat het onderzoek zien?

  • In de helft van de gevallen ontvingen bedrijven 1 tot 50 phishingmails; bij 19% ging het zelfs om 50 tot 200 pogingen.
  • 45% van de bedrijven beschouwt phishing als een “grote tot zeer grote bedreiging”, maar dat vertaalt zich niet altijd in maatregelen.
  • Slechts 61% heeft spamfilters of beveiligingssoftware ingericht, 45% geeft security-awarenesstrainingen, en slechts 30% voert simulaties of phishingtests uit.
  • Opvallend: 17% van de ondervraagde bedrijven zegt helemaal geen maatregelen te nemen.
  • Wat standaarden betreft (SPF, DKIM, DMARC, BIMI) — die het vervalsen van e-mailadressen tegengaan — is de bekendheid beperkt. SPF scoort het hoogst (58% bekendheid), de rest blijft onder de 50%.
  • Ook komt misbruik van bedrijfsnamen vaak voor: 37% meldt dat hun naam gebruikt is bij phishingacties.
  • Intern beleid is vaak afwezig of verouderd: 28% van de bedrijven heeft geen beleid voor het geval phishing slaagt; 18% heeft wel beleid maar heeft dat niet geüpdatet.
  • Tot slot: 54% van de organisaties onderneemt geen actie richting externe relaties (klanten, partners) om hen bewust te maken van het risico.

Waarom gebeurt dit?

Een belangrijke reden is gebrek aan prioriteit vanuit het management. Sommige bedrijven vinden het instellen van e-mailstandaarden “te ingewikkeld” of te arbeidsintensief, ook al zijn er inmiddels veel professionele hulpmiddelen en ervaring beschikbaar in de markt.

Daarnaast blijft het idee dat phishing een geïsoleerd probleem is, iets dat alleen “ons eigen systeem” raakt.
Maar de impact reikt verder: reputatieschade, vertrouwensverlies, en mogelijke schade bij relaties.

Wat kun je zelf (en binnen je organisatie) doen?

  1. Bescherm je organisatie met goede e-mailbeveiliging, de standaardbeveiliging is vaak niet meer afdoende om geavanceerdere dreigingen op te merken of tegen te houden
  2. Implementeer e-mailstandaarden — zoals SPF, DKIM en DMARC, dit beschermt niet alleen jouw mensen maar ook je relaties
  3. Train medewerkers regelmatig op het herkennen van phishing: gerichte awarenessprogramma’s.
  4. Veranker beleid en update het wanneer nodig — en gok niet op “later”.
  5. Informeer relaties (klanten/leveranciers) over phishingrisico’s en hoe ze zichzelf kunnen beschermen.

Conclusie

De SIDN-cijfers laten zien dat phishing niet ergens “ver weg” is — het is hier en nu, en raakt een meerderheid van organisaties. Wie dit serieus neemt, bouwt niet alleen betere beveiliging, maar versterkt vertrouwen binnen én buiten de organisatie.

Phishing is ook niet alleen meer het vissen naar gebruikersnamen & wachtwoorden, het is het belangrijkste gereedschap wat een cybercrimineel heeft om een organisatie aan te vallen; overnemen van credentials gebeurt daarbij nog steeds vaak maar er worden ook nog steeds ransomware-aanvallen gestart via één enkele e-mail.

Bij RiskGuard helpen we je graag om deze stappen concreet te maken. Neem gerust contact op als je wil sparren over jouw volgende stap in phishingpreventie.