Phishing herkennen is niet genoeg: waarom bewustwordingstrainingen vaak falen

Veel organisaties hebben een verplichte cybersecurity-training ingericht. Medewerkers krijgen een online module, leren een phishingmail te herkennen, halen een certificaat en dat is het dan, tot de volgende verplichte ronde. Het probleem: dit type training verandert weinig aan het werkelijke risico.

Dat is geen kritiek op het idee van bewustwording. Mensen zijn vaak de eerste verdedigingslinie, en onwetendheid is een reëel risico. Het probleem zit in de uitvoering: veel trainingen zijn ingericht om een vakje af te tikken, niet om gedrag daadwerkelijk te veranderen.

Waarom de standaardaanpak niet werkt

Eenmalige kennis beklijft niet. Een jaarlijkse training waarin iemand leert wat phishing is, zorgt voor kortstondige alertheid. Na een paar weken zakt die alertheid weg, terwijl de dreiging continu aanwezig is. Kennis die niet wordt herhaald of toegepast, verdwijnt.

De training mist context. Veel modules zijn generiek en gaan over phishing in algemene zin, zonder rekening te houden met hoe aanvallen in de praktijk van die specifieke organisatie eruitzien. Een medewerker die leert op “verdachte e-mails” te letten, herkent een goed nagemaakte factuur van een bekende leverancier vaak niet als risico.

Schuld in plaats van leren. Trainingen die vooral gericht zijn op het wijzen naar medewerkers die “fouten maken”, creëren een cultuur waarin incidenten worden verzwegen uit angst voor consequenties. Een medewerker die op een phishinglink heeft geklikt en dat niet meldt uit schaamte, is gevaarlijker dan een medewerker die wel klikt maar het direct meldt.

Aanvallen worden geavanceerder, trainingen niet. Phishingmails zien er steeds professioneler uit. AI-gegenereerde teksten zonder taalfouten, perfect nagemaakte huisstijlen, en steeds vaker spear phishing: gerichte aanvallen op specifieke personen met voorkennis over hun functie of werkzaamheden. Veel standaardtrainingen zijn niet bijgewerkt om deze ontwikkeling te weerspiegelen.

Wat aanvallers daadwerkelijk doen

Het is nuttig om te begrijpen waarom social engineering, het misleiden van mensen in plaats van systemen, zo effectief blijft. Aanvallers maken gebruik van psychologische principes die niet veranderen door een trainingsmodule: urgentie, autoriteit, en de wens om collegiaal en behulpzaam te zijn.

Een e-mail die zogenaamd van de directeur komt en om een spoedoverboeking vraagt, werkt omdat de combinatie van autoriteit en urgentie mensen ertoe aanzet snel te handelen zonder kritisch na te denken. Een telefoontje van iemand die zich voordoet als IT-support en vraagt om even snel in te loggen, werkt omdat mensen geneigd zijn behulpzaam te zijn richting collega’s.

Dit soort aanvallen herkennen vraagt niet om kennis van technische signalen, maar om een ingesleten gewoonte: bij ongebruikelijke verzoeken, hoe legitiem ze ook lijken, een moment pauzeren en verifiëren.

Wat dan wel werkt

Een cultuur van melden, niet van schuld. De belangrijkste verschuiving is het belonen van het melden van verdachte signalen, ongeacht of iemand er zelf op is ingegaan. Een organisatie waar medewerkers zich vrij voelen om te zeggen “ik denk dat ik op iets verkeerds heb geklikt” heeft een aanzienlijk kortere reactietijd bij een daadwerkelijk incident dan een organisatie waar dat wordt verzwegen.

Technische maatregelen als vangnet. Bewustwording is een laag, niet de enige verdediging. E-mailfiltering, multifactorauthenticatie en duidelijke procedures voor het verifiëren van financiële verzoeken vangen op wat training niet voorkomt. Geen enkele organisatie moet volledig vertrouwen op menselijk gedrag als enige beveiligingsmaatregel.

Korte, frequente momenten in plaats van lange sessies. Een kort, terugkerend moment van vijf minuten heeft meer effect op gedragsverandering dan een uitgebreide jaarlijkse sessie. Herhaling in kleine doses beklijft beter dan eenmalige volledige onderdompeling.

De rol van leidinggevenden

Bewustwording wordt sterker als het voorbeeld van boven komt. Een leidinggevende die zelf phishingsimulaties serieus neemt, openlijk meldt als hij twijfelt over een e-mail, en niet uitwijkt naar onveilige werkwijzen om tijd te besparen, zet de toon voor de rest van de organisatie. Beleid dat alleen op papier bestaat maar in de praktijk wordt genegeerd door het management, ondermijnt elke trainingsinspanning.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties bewustwording inrichten op een manier die daadwerkelijk effect heeft: realistische simulaties, een cultuur van melden in plaats van schuld, en trainingen die aansluiten op de werkelijke risico’s van de organisatie. Geen vinkje, maar een structurele verbetering van het menselijke aspect van beveiliging.

Wil je weten hoe weerbaar jouw organisatie werkelijk is tegen social engineering? Neem contact op voor een vrijblijvend gesprek.

Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.

Doe de zelfscan