Hoe voorkom je dat één verkeerde klik bepalend wordt?

In december 2023 ontving een medewerker van Coaxis, een Franse IT-dienstverlener, een e-mail. De mail zag er legitiem uit. Hij klikte en logde in. Daarmee gaf hij onbewust LockBit, een van de gevaarlijkste ransomwaregroepen ter wereld, toegang tot het netwerk. Wat volgde, raakte 350.000 bedrijven. Niet omdat de technologie faalde, maar omdat op één moment een verkeerde inschatting werd gemaakt.

De mens als aanvalsvector: wat de cijfers zeggen

Elke organisatie heeft te maken met menselijke momenten waarop iets mis kan gaan.  Dat is niet volledig te voorkomen. De vraag is hoe goed je bent voorbereid op dat moment.

Security Navigator 2026 data van Orange Cyberdefense laat zien dat de menselijke factor een steeds grotere rol speelt in cyberincidenten. Voor het eerst vormen interne incidenten de meerderheid: hun aandeel steeg van 47% naar 57% in elf maanden tijd.

Dit zijn geen incidenten waarbij aanvallers door firewalls breken. Vaker gaat het om situaties waarin aanvallers inspelen op menselijk gedrag. De meest effectieve aanvalsvector kost niets en vereist geen technische expertise. Een overtuigende e-mail op het juiste moment kan al voldoende zijn.

Bewustzijn is niet genoeg

De standaardreactie op phishing is security awareness training. Medewerkers leren verdachte e-mails herkennen, sterke wachtwoorden gebruiken en voorzichtig omgaan met links. Dat is waardevol, maar het is niet voldoende.

Kennis verandert gedrag niet automatisch, zeker niet onder druk. Tegelijkertijd ligtde lat steeds hoger. Door AI is de drempel om een overtuigende phishingmail te maken vrijwel verdwenen. Ook een medewerker die weet hoe phishing eruitziet, kan op een drukke ochtend alsnog op een overtuigende link klikken.

Het NCSC stelt het treffend: organisaties moeten "brilliant at the basics" zijn door de juiste omgeving te bouwen. Een omgeving waarin melden veilig voelt, waarin fouten worden besproken in plaats van bestraft, en waarin systemen zo zijn ingericht dat één verkeerde klik niet direct grote gevolgen heeft.

De organisaties die het beste scoren op menselijke weerbaarheid, hebben niet de meeste trainingen. Zij hebben een cultuur gecreëerd waarin beveiliging een gedeelde verantwoordelijkheid is, geen individueel risico.

Hoe beperk je de schade van een phishingaanval?

Geen enkele organisatie is volledig “klikbestendig”. Wat het verschil maakt, is wat er daarna gebeurt. Drie vragen die die helpen om dat scherp te krijgen:

1. Weet je medewerker wat hij moet doen na een verdachte klik?

De eerste en meest kritieke stap na een verdachte klik is melden. Niet over twee dagen, maar binnen de eerste minuten. Een duidelijk, laagdrempelig meldproces maakt het verschil tussen een beheerste respons en een incident dat ongemerkt escaleert.

Als melden ingewikkeld of risicovol voelt, wordt het vaak uitgesteld en gaat kostbare tijd verloren.

2. Wat gebeurt er in het eerste uur nadat een phishingmail is geopend?

Wie neemt welke beslissing? Wie wordt geïnformeerd? Welke systemen worden geïsoleerd? Organisaties die dit vooraf hebben vastgelegd, zijn beter in staat om snel en gericht te handelen. Wanneer die duidelijkheid ontbreekt, gaat er kostbare tijd verloren op het moment dat die het hardst nodig is.

Een compact incident response plan hoeft geen uitgebreid draaiboek te zijn, maar de eerste stappen moeten vastliggen voordat ze nodig zijn. Lees hier hoe je in vier weken een fundament legt voor je incident response plan.

3. Zijn je systemen ingericht om de schade van één klik te beperken?

Sterke toegangscontrole, segmentatie en detectie helpen om te voorkomen dat één gecompromitteerd account direct toegang geeft tot het hele netwerk. De inrichting van je omgeving bepaalt hoe ver een aanvaller kan komen als hij eenmaal binnen is.

Tegelijk maakt AI aanvallen steeds geloofwaardiger en moeilijker te herkennen. Dat vraagt om omgevingen die niet uitgaan van vertrouwen op basis van locatie of netwerk, maar van continue verificatie. Een Zero Trust-aanpak kan daarbij helpen. Lees meer over een Zero Trust-aanpak.