Denken we aan security awareness training dan denken we al gauw aan doorzichtige phishing simulaties. Begrijpelijk, want phishing is nog altijd de meest voorkomende aanvalsvorm van cybercriminelen. Maar cybersecurity anno 2025 gaat veel verder dan het herkennen van verdachte e-mails. Criminelen benutten alle mogelijkheden om je organisatie aan te vallen en deze ontwikkelen zich elke dag. In deze blog vertellen we je waarom security awareness zich niet moet beperken tot het vermijden van verdachte links.
De bekende methodes
Hoewel phishingmails nog altijd de populairste methode en vaak de eerste stap zijn voor aanvallers om een voet tussen de deur te krijgen, zijn het niet alleen de verdachte links die we in de gaten moeten houden. Ondertussen heeft phishing verschillende gedaantes aangenomen in een steeds breder wordend dreigingslandschap.
We ontvangen ze ondertussen allemaal met enige regelmaat: sms-berichten die zogenaamd van pakketdiensten, banken of verzekeraars afkomstig zijn. Of de telefoontjes van, ogenschijnlijk normale, 06-nummers die een AI-gegenereerd spraakbericht laten horen. Deze vormen van phishing worden smishing en vishing genoemd en zijn meestal redelijk doorzichtig. Toch gebeurt het nog steeds vaak dat iemand er op in gaat. Want stel je eens voor: je zit al langere tijd op een pakketje te wachten en krijgt dan ineens een sms’je die daar mee te maken lijkt te hebben. Ook een oplettende internetgebruiker kan er een keertje intrappen. Als er van de 1000 berichtjes slechts één succesvol is, dan heeft de aanvaller zijn doel al bereikt.
Iets wat ons SOC in de praktijk ook al vaker is tegengekomen, is het fenomeen Business Email Compromise (BEC). Kortgezegd houdt dit in dat een aanvaller via een phishing mailtje toegang probeert te krijgen tot je e-mailaccount om van binnenuit aan te vallen. Denk daarbij aan een dringend betaalverzoek van de CEO, of het wijzigen van facturatiegegevens bij klanten of partners. Als je meer wilt weten over hoe een BEC aanval in zijn werk gaat, bekijk dan zeker onze video: Business Email Compromise (BEC) in de praktijk – Masero.
Daarnaast vindt er via verschillende kanalen social engineering plaats. Denk bijvoorbeeld aan een connectieverzoek op LinkedIn of Instagram van een nep-profiel, om zo je vertrouwen te winnen en vertrouwelijke informatie te ontfutselen.
Kwetsbaarheden
Dan zijn er ook nog de technische kwetsbaarheden binnen je digitale infrastructuur. Dit zijn de onopgemerkte gaten in je beveiliging, veroorzaakt door bijvoorbeeld achterlopende updates en patches. Ook gebeurt het vaak dat er onzorgvuldig wordt omgegaan met toegangsrechten van medewerkers, en is er bij veel bedrijven sprake van Shadow IT. Zo kunnen er zelfgekozen apps, (AI) tools of cloudoplossingen worden gebruikt buiten het officiële IT-beleid waardoor er geen zicht en grip op is. Onbeveiligde apps kunnen gevoelige data blootstellen aan hackers en soms kan één gemiste update al verregaande gevolgen hebben. Ook kunnen AI– tools onbedoeld vertrouwelijke informatie opslaan of verwerken in een omgeving die niet voldoet aan wet- en regelgeving.
Cultuurverandering
Ook al is het belangrijk om je kennis in het kader van cyberdreigingen regelmatig te voeden, security awareness draait niet alleen om deze kennis. Cybersecurity moet verweven zijn in de bedrijfscultuur, wat inhoudt dat medewerkers zich bewust zijn van de gevaren, vragen hierover durven te stellen, fouten durven toe te geven en dat ze weten hoe er moet worden gehandeld in verdachte situaties. Fouten 100% voorkomen is niet haalbaar, fouten zo snel mogelijk opmerken en oplossen kan wel.
Daarnaast hoort awareness een vast onderdeel te zijn van de hele bedrijfsvoering. Dit betekent dat er duidelijke keuzes moeten worden gemaakt (en worden vastgelegd) met betrekking tot:
- Sterk wachtwoordgebruik en MFA, zonder uitzonderingen
- Het nastreven van een zero-trust securitybeleid
- Afbakening van het gebruik van cloud toepassingen en (AI) tools
- Een sterk verantwoordelijkheidsgevoel in alle lagen van de organisatie
Alleen door security awareness breed te omarmen, kun je het draagvlak creëren dat het verdient binnen je organisatie. Voor een bedrijfscultuur waarin medewerkers actief bijdragen aan de digitale weerbaarheid is het belangrijk om in te zetten op een brede aanpak. Dus ja, regelmatige phishing simulaties zijn hierbij belangrijk, evenals interactieve security trainingen. Het gewenste resultaat kan pas echt worden bereikt als security awareness een vaste plek krijgt aan de directietafel.
Aan de slag
Wil je aan de slag met het versterken van het securitybewustzijn binnen jouw organisatie? We denken graag met je mee. Door middel van een Security Health Check brengen we het huidige beveiligingsniveau binnen je organisatie in kaart, zodat je precies weet waar de pijnpunten zitten en welke kwetsbaarheden verholpen moeten worden. Daarnaast bieden we verschillende vormen van security awareness trainingen, in de vorm van een doorlopend online security awareness programma en interactieve sessies op locatie. Neem contact met ons op voor meer informatie of een vrijblijvende offerte.
© 2023 Masero 
