Social engineering grootste cyberdreiging mkb
Uit wereldwijd onderzoek van SANS Institute blijkt dat social engineering - digitale misleiding van medewerkers - het grootste risico vormt voor organisaties. Met de opkomst van AI wordt deze dreiging alleen maar groter. Voor ondernemers betekent dit dat investeren in gedragsgerichte cybersecurity cruciaal is voor bedrijfscontinuïteit.
Volgens het Security Awareness Report 2025 van het SANS Institute beschouwt 80% van de ondervraagde professionals social engineering als het grootste mensgerelateerde risico binnen organisaties. Aanvallen zoals phishing, smishing (via sms) en vishing (via telefoon) worden niet alleen frequenter, maar ook verfijnder, mede dankzij de inzet van kunstmatige intelligentie.
SANS Institute presenteert het Security Awareness Report voor de tiende keer, dit keer onder de naam Embedding a Strong Security Culture. Volgens Lance Spitzner, Technical Director van SANS Workforce Security & Risk Training, is het het meest ambitieuze en omvangrijke rapport tot nu toe: 'Het is zo ontworpen dat het security awareness-professionals in staat stelt niet alleen organisatiebrede gedrags- en cultuurverandering te realiseren, maar ook hun eigen loopbaan verder te ontwikkelen.'
Opvallend is dat naast phishing het onzorgvuldig omgaan met gevoelige gegevens stijgt als risico, gevolgd door het gebruik van zwakke wachtwoorden en gebrekkige authenticatie. Deze verschuivingen onderstrepen de noodzaak voor gerichte gedragsverandering binnen teams.
Waarom AI de dreiging vergroot
Waar AI voor ondernemers veel kansen biedt op het gebied van automatisering en efficiëntie, wordt het ook ingezet door cybercriminelen. Zij gebruiken generatieve AI om geloofwaardige nepberichten of deepfake-audio te maken, waarmee medewerkers worden misleid om inloggegevens of gevoelige bedrijfsinformatie prijs te geven.
Dit verhoogt de druk op organisaties om medewerkers structureel te trainen in het herkennen van digitale manipulatie. Eén kort voorbeeld is niet voldoende, er moet echt extra getraind worden.
Praktische uitdagingen
Veel bedrijven erkennen de noodzaak van bewustwordingsprogramma’s, maar worstelen met de uitvoering. Gebrek aan tijd en personeel blijkt een belangrijke belemmering. Vooral in MKB-omgevingen waar security niet de hoogste prioriteit krijgt, blijft dit een kwetsbaar punt.
Het rapport benadrukt dat AI óók een oplossing kan zijn: door automatisering van trainingsprogramma’s en gepersonaliseerde leerpaden kunnen securityteams hun impact vergroten zonder extra capaciteit in te huren.
Structurele gedragsverandering: wat is er nodig?
Uit de data blijkt dat organisaties met grotere awareness-teams gemiddeld succesvollere programma’s draaien. Voor merkbare gedragsverandering is minimaal 2,8 FTE nodig; voor echte cultuurverandering zelfs 4 FTE of meer. Maar ook met een kleinere bezetting is vooruitgang mogelijk, mits er consistent over meerdere jaren wordt geïnvesteerd in training, herhaling en samenwerking tussen afdelingen.
Voor ondernemers betekent dit dat cybersecurity geen eenmalig IT-project is, maar een doorlopend veranderproces binnen de hele organisatie.
Mensen blijven kwetsbaar
Cyberdreigingen ontwikkelen zich razendsnel en mensen blijven daarbij het meest kwetsbare element. Ondernemers doen er verstandig aan om security niet alleen technisch te benaderen, maar ook organisatorisch. Door bewustwording en gedragsverandering centraal te zetten, bouwen bedrijven aan een veerkrachtige, veilige werkomgeving.
Het volledige rapport van het SANS Institute is gratis beschikbaar voor wie dieper in de cijfers en strategieën wil duiken.
Lees meer
