Je grootste cyberrisico zit niet in je software, maar achter het scherm [7 tips]

In dit artikel:

AI maakt phishing en social engineering slimmer, goedkoper en lastiger te herkennen. Met behulp van openbare informatie en modellen die schrijfstijl leren (zoals Copilot of andere e-mailassistenten) kunnen aanvallers in korte tijd zeer overtuigende valse e-mails, nep-Teams-berichten, WhatsApps of deepfake-telefonische verzoeken produceren die persoonlijk en geloofwaardig overkomen.

De schaal en impact zijn groot: de FBI registreerde in 2024 meer dan 193.000 meldingen van phishing-achtige aanvallen met meer dan 70 miljoen dollar schade, en IBM laat zien dat een gemiddeld datalek een klein of middelgroot bedrijf ruim 3 miljoen dollar kan kosten; 60% van die kleine bedrijven sluit binnen zes maanden na een incident. Volgens het Verizon-onderzoek van 2025 speelt de menselijke factor bij ongeveer 60% van de datalekken een rol. Kortom: de grootste kwetsbaarheid is vaak niet de software, maar de medewerker die klikt.

Aanvallers gebruiken niet alleen e-mail. Ze werken via meerdere kanalen — WhatsApp, samenwerkingstools als Teams en Slack, of via deepfakes die de stem van een collega of leidinggevende nadoen. AI versterkt bestaande communicatiepatronen: wie veel op LinkedIn of via e-mail deelt, geeft materiaal weg waarmee aanvallers jouw toon en woordkeuze kunnen imiteren. Ook communicatie tussen jou en leveranciers die via AI-tools loopt, draagt bij aan de beschikbare patronen.

De auteur signaleert vier veelvoorkomende verkeerde aannames binnen organisaties:
- jaarlijkse verplichte e‑learning is onvoldoende om gedrag te veranderen;
- beveiliging wordt afgeschoven op IT terwijl mensen een sleutelrol hebben;
- medewerkers melden verdachte meldingen vaak niet vanwege gebrek aan vertrouwen;
- medewerkers volgen AI- of systeemadviezen te snel blind.

Praktische, direct toepasbare aanbevelingen zonder technische voorkennis:
1) Maak beveiliging tot een regulier teamonderwerp en bespreek concrete voorbeelden;
2) Moedig meldingen aan en creëer psychologische veiligheid;
3) Oefen met gesimuleerde phishingcampagnes om bewustzijn te verhogen;
4) Benoem een intern aanspreekpunt voor AI en vertaal technische risico’s naar de rest van het team;
5) Stel de waardenvraag: zouden we trots zijn als bekend werd hoe we met klantdata en AI omgaan?;
6) Controleer voor elk gebruikt AI‑hulpmiddel wat er met ingevoerde data gebeurt;
7) Hervorm je beveiligingsbudget: investeer meer in mensen, cultuur en training naast technologie.

Kernboodschap: technische maatregelen blijven belangrijk, maar de beste verdediging kweek je in gedrag, leiderschap en cultuur. Technologie bepaalt wat mogelijk is; mensen bepalen wat er daadwerkelijk gebeurt.