U bent hier

Organisatie & Leidinggeven
Drukke werknemer zwakste schakel voor cyberdreiging
Voor Organisatie & Leidinggeven

Drukke werknemer zwakste schakel voor cyberdreiging

30 maart 2026

Een werknemer is druk aan het werk als er een professioneel opgemaakte mail binnenkomt, zonder spelfouten en van een vertrouwde afzender. Even later belt iemand van IT. De werknemer moet een inlogpoging goedkeuren, anders wordt zijn account geblokkeerd. Het klinkt allemaal logisch, dus waarom zou hij het níet doen?

Grofweg op bovenstaande wijze gingen bij een grote telecomprovider onlangs nog miljoenen accounts de deur uit. De aanvallers kwamen niet binnen via een technisch lek; ze overtuigden werknemers om zelf de deur open te doen. Firewalls, encryptie en multifactorauthenticatie doen namelijk wat ze moeten doen, maar ze zijn slechts zo sterk als de werknemer die eromheen wordt geleid. Hackers weten dat, dus spelen ze in op autoriteit, tijdsdruk en de menselijke neiging om behulpzaam te zijn. Generatieve AI heeft de lat voor aanvallers hierbij nog behoorlijk verlaagd (artikel). Foutloze phishingmails zijn geen kunst meer. Deepfake-stemmen die klinken als een leidinggevende ook niet. De mail vol spelfouten uit exotische oorden is allang vervangen door iets waar zelfs een scherpe werknemer twee keer over moet nadenken.

Alertheid is een conditie

Veel organisaties behandelen cybersecuritytraining als een compliance-vinkje. Een jaarlijkse sessie, beleid gedocumenteerd, en klaar. Het probleem is niet de training zelf, maar dat alertheid een conditie is. En conditie verslechtert zonder onderhoud. Na één training is iedereen scherp: phishingmails worden herkend, verdachte verzoeken gemeld. Drie maanden later? De waan van de dag heeft het weer overgenomen: nieuwe collega’s worden niet bijgepraat, procedures voelen als vanzelfsprekend. En precies op dát moment hoeft er maar één werknemer een vergissing te maken.

Korte, frequente momenten van aandacht

Dat iemand succesvol een trainingsmodule heeft afgerond, betekent nog niet dat hij op een drukke werkdag ook de juiste keuze maakt. Die situatie test iets anders: reflexen, instinct en gewoonte. En gewoonte bouwt een organisatie niet op met één jaarlijkse sessie. Korte, frequente momenten van aandacht die ook nog aansluiten op actuele dreigingen, houden het onderwerp ‘cyberveiligheid’ levend zonder werknemers te overweldigen. Simulaties voegen hierbij iets toe wat trainingen alleen niet kunnen: ze testen gedrag zoals het echt is, onder werkdruk, op een gewone werkdag. Ze laten werknemers zien waar de zwakke plekken zitten, voordat een aanvaller dat doet.

Meest waardevolle beveiligingslaag

Werknemers moeten patronen leren herkennen voordat ze handelen. Organisaties die dat voor elkaar krijgen, bouwen aan een bedrijfscultuur waarin alertheid de norm is en niet een uitzondering. Dat vraagt om herhaling, zichtbaarheid en het besef dat een voorbereide werknemer de meest waardevolle beveiligingslaag voor de organisatie is. Vergeet hierbij niet te meten. En meten betekent dus niet alleen hoeveel werknemers de module hebben afgerond, maar hoe hun kennisniveau over cybergevaar zich over de tijd ontwikkelt en waar de gaten zitten.

Dit nieuwsartikel is geschreven door Joey Pernot, content manager bij Netpresenter.