Van phishing tot datalek: menselijk handelen blijft het grootste cyberrisico 

Miljoenen gedupeerden en massa’s gevoelige klantgegevens op straat: datalekken kunnen leiden tot grootschalige reputatie- en bedrijfsschade. Met name menselijke kwetsbaarheid vormt een structureel risico. Medewerkers delen soms onbedoeld gevoelige informatie of vallen ten prooi aan social-engineering-aanvallen. Hoe kun je je als organisatie hiertegen beschermen?

Vermoeidheid, werkdruk of routinegedrag kunnen ertoe leiden dat medewerkers fouten maken. Dat varieert van het per ongeluk delen van gevoelige informatie tot het reageren op overtuigende phishingmails. In ernstiger gevallen weten criminelen zich stapsgewijs toegang te verschaffen tot interne systemen. Dat bleek recent bij een grote telecomorganisatie, waar een hackersgroep met een combinatie van phishing en impersonatie toegang kreeg tot miljoenen klantgegevens. 

Menselijke factor als toegangspoort

Medewerkers werden misleid om hun inloggegevens prijs te geven, waarna de aanvallers telefonisch contact opnamen en ook de tweestapsverificatie wisten te omzeilen. Het incident laat zien hoe social engineering in de praktijk werkt: niet door techniek rechtstreeks te doorbreken, maar door kwetsbaar gedrag uit te buiten. Door zich voor te doen als interne autoriteit (‘ik ben van IT’) en tijdsdruk te creëren, werden medewerkers ertoe gebracht beveiligingsmaatregelen zelf terzijde te schuiven.

Social engineering is effectief omdat het inspeelt op normale menselijke reflexen: willen helpen, gehoor geven aan autoriteit en snel problemen oplossen. Veel mensen zijn zich nauwelijks bewust van dit automatische gedrag, wat hen kwetsbaar maakt voor manipulatie. Een datalek van deze omvang ontstaat zelden door één technische fout, maar veel vaker door menselijk handelen. 

Alert zijn is niet genoeg

Hoewel veel organisaties investeren in technische maatregelen zoals firewalls, Multi Factor Authentication (MFA) en netwerksegmentatie, is dat vaak niet voldoende. Het incident laat zien dat beveiliging staat of valt met de combinatie van techniek (data), processen en gedrag:

• Wie mag waar bij en is toegang daadwerkelijk nodig?
• Hoe worden medewerkers getraind om te herkennen wanneer iemand zich voordoet als interne collega of IT-medewerker?
• Wat gebeurt er als iemand belt ‘van IT’?
• Wie krijgt een melding bij afwijkend dataverkeer of het massaal uitlezen van systemen?

Effectieve beveiliging vraagt om een integrale aanpak waarin mens, technologie en procedures samenkomen. Awareness-trainingen, duidelijke protocollen voor supportverzoeken, periodieke controles van toegangsrechten en scenario-oefeningen (zoals red teaming) zijn daarbij geen luxe, maar randvoorwaarden.

Beveiliging structureel versterken

De gevolgen van dit soort aanvallen reiken verder dan alleen reputatieschade of herstelkosten. Gestolen persoonsgegevens vormen brandstof voor vervolgfraude, gerichte phishing en identiteitsmisbruik. De maatschappelijke en politieke druk op (vitale) organisaties neemt dan ook sterk toe. Nieuwe Europese regelgeving, zoals NIS2-richtlijn, verplicht organisaties aantoonbaar werk te maken van cyberweerbaarheid. Bestuurders kunnen daarbij persoonlijk aansprakelijk worden gehouden wanneer zij tekortschieten in hun zorgplicht. 

Investeren in preventie

Dit datalek als gevolg van social engineering is helaas geen uitzondering. Het is een symptoom van een bredere ontwikkeling waarin criminelen steeds vaker kiezen voor de weg van de minste weerstand: de menselijke factor. Voor bestuurders en securityprofessionals ligt hier een duidelijke opdracht: niet alleen reageren op incidenten, maar structureel investeren in preventie, governance en bewustwording. Want hoe degelijk en geavanceerd systemen en processen ook zijn ingericht, uiteindelijk is een organisatie zo sterk als haar zwakste schakel.