16 september 2024 • Cyber security
Dit is een SUPER gedetailleerde Security Awareness Training gids voor 2026.
In dit nieuwe artikel lees je over:
- Het belang van security awareness
- De verschillende soorten Security Awareness Training
- De beste manieren om je organisatie mee te krijgen
- De manieren waarop bekende Nederlandse merken hun medewerkers trainen
Laten we er meteen induiken.
Wat is Security Awareness Training?
Security Awareness Training is een training die medewerkers uitrust om cyberrisico's te herkennen en te vermijden die ze op het werk of in hun persoonlijke leven kunnen tegenkomen. Een goed security training programma vergroot het bewustzijn rondom onderwerpen als phishing, kwaadaardige software (malware), social engineering en andere gevaren van de digitale wereld.
security awareness training kan specifieke beleids- of regelgevingskaders omvatten, zoals NEN7510, of het kan algemener zijn. training kan vele vormen aannemen, van een jaarlijkse opfriscursus tot doorlopend leren dat regelmatig wordt aangeboden.
Waarom is Security Awareness Training zo belangrijk?
Tot 95% van alle hacks en datalekken wordt veroorzaakt door menselijke fouten. Van het klikken op een phishinglink tot het gebruik van zwakke wachtwoorden — fouten gemaakt door mensen liggen vaak aan de basis van cybercriminaliteit. Daarom is het zo cruciaal om je medewerkers te trainen in het herkennen en rapporteren van cyberrisico's.
Het belang van Security Awareness Training is al jaren een veelbesproken onderwerp. Niet elke security professional ziet het als noodzakelijk, omdat ze geloven dat menselijke fouten niet uit te sluiten zijn. Ze geloven in technologische maatregelen om de veiligheid te waarborgen, zelfs wanneer menselijke fouten optreden.
Bij Guardey geloven we in een combinatie van beide. Hoewel het waar is dat training geen veiligheid kan garanderen, begrijpen we dat technologie dat ook niet kan. Er is geen spamfilter ter wereld dat garandeert dat het alle phishingmails zal onderscheppen. Voor dat ene procent phishing dat door je technologische verdediging heen komt, wil je dat je medewerkers zich bewust zijn van de gevaren van phishing.
Er zijn veel cyberrisico's die niet door technologie kunnen worden voorkomen. Denk aan real-life social engineering, waarbij iemand het kantoor binnenkomt en de receptie ervan overtuigt dat hij een aannemer is die toegang nodig heeft tot de servers. Dergelijke situaties kunnen alleen worden voorkomen wanneer iedereen binnen je organisatie een hoog niveau van security awareness heeft.
Een introductie tot veelvoorkomende cyberrisico's
Phishing, vishing, smishing en quishing
Phishing is het gebruik van e-mailberichten om een doelwit aan te vallen. Phishing-e-mails doen zich voor als afkomstig van iemand die het doelwit gewoonlijk zou vertrouwen, zoals een klant of collega, of van een betrouwbare entiteit zoals een bank of online retailer. Soms is het doel van een phishing-e-mail om de ontvanger te verleiden malware te downloaden. Meer algemeen is het echter de bedoeling om gevoelige informatie te verkrijgen, zoals de inloggegevens van het doelwit voor een online bankdienst, of persoonlijk identificeerbare informatie zoals hun burgerservicenummer.

Vishing is een soortgelijke aanval waarbij gebruik wordt gemaakt van spraak- en videogesprekken, terwijl bij smishing sms’jes en tekstberichten worden ingezet. Spear phishing is een aanval die gericht is op een specifieke persoon, zoals een topmanager of iemand met toegang tot het IT-systeem. In deze gevallen gebruikt de hacker vaak social engineering om het slachtoffer het gevoel te geven dat het bericht echt is. Quishing verwijst naar het gebruik van QR-codes waarmee slachtoffers worden misleid om kwaadaardige websites te bezoeken of geld rechtstreeks naar criminelen over te maken.
Malware
Malware is kwaadaardige software die wordt verspreid door cybercriminelen. Het kan individuele computers en andere apparaten, of complete netwerken infecteren. Er zijn veel verschillende soorten malware. Hier zijn enkele voorbeelden:
Virussen
Virussen zijn zelfreplicerende programma's die zijn ontworpen om schade aan een systeem te veroorzaken, gegevens te verwijderen of verdere kwetsbaarheden te introduceren die kunnen worden misbruikt.
Trojaanse paarden
Trojaanse paarden zijn programma's die vermomd zijn als legitieme software, maar schade aan een systeem veroorzaken. Trojaanse paarden blijven vaak lange tijd onopgemerkt op computersystemen, stelen informatie en sturen deze naar cybercriminelen. Een veelvoorkomend type Trojaans paard is een keylogger. Deze registreert alle toetsaanslagen die op een geïnfecteerde computer worden ingevoerd, waardoor mogelijk wachtwoorden en andere gevoelige informatie worden onthuld. Dit kan vervolgens worden gebruikt voor verdere misdrijven, zoals datadiefstal en identiteitsdiefstal.
Ransomware
Een ander veelvoorkomend type malware is ransomware. Ransomware is malware die is ontworpen om losgeld van het slachtoffer te verkrijgen. Meestal versleutelt ransomware alle bestanden op een computersysteem of netwerk, en vraagt vervolgens losgeld van het slachtoffer in ruil voor de middelen om ze te ontsleutelen.
De geëiste losgelden zijn vaak erg hoog, soms veel meer dan het slachtoffer ooit kan betalen. Zelfs als het losgeld wordt betaald, is er geen garantie dat de aanvaller de ontsleutelingssleutels zal verstrekken. In veel gevallen zijn de versleutelde bestanden voorgoed verloren. In de afgelopen jaren zijn er veel spraakmakende ransomware-aanvallen geweest, zoals de aanval van 2023 op de Britse National Health Service.
Ransomware is internationaal in opkomst, waarbij de omvang van de losgeldbetalingen toeneemt.

Kwaadaardige websites
Kwaadaardige websites, ook bekend als aanvalssites, zijn websites die kwaadaardige code hosten met de bedoeling gebruikers te misleiden om deze naar hun apparaten te downloaden. In sommige gevallen zijn aanvalssites voor dit specifieke doel opgezet. In andere gevallen wordt een legitieme site gekaapt door cybercriminelen die er vervolgens kwaadaardige code in plaatsen. Sommige sites, zogenaamde drive-by aanvalssites, vereisen niet eens dat het slachtoffer op een downloadlink klikt of op enige manier interactie heeft — alleen het bezoeken van de site is voldoende om een onvoldoende beveiligd systeem te infecteren.
Kwaadaardige websites kunnen ook vertrouwde websites imiteren om gebruikers te misleiden hun inloggegevens in te voeren, waardoor criminelen toegang krijgen tot de accounts van slachtoffers.
USB-aanvallen
Verwijderbare media zoals USB-drives kunnen gemakkelijk worden gebruikt als vector voor kwaadaardige code. In sommige gevallen kan een crimineel fysieke toegang krijgen tot de apparaten van een organisatie; vaker laten aanvallers geïnfecteerde USB-sticks achter waar onwetende medewerkers ze kunnen vinden.
Het is triviaal voor een aanvaller om een USB-drive te bemachtigen, voorzien van het logo van de doelorganisatie, of een andere vertrouwde entiteit zoals een klant of vaste leverancier, en deze in de buurt van het pand achter te laten waar deze zal worden opgepakt. Ze rekenen erop dat nieuwsgierige of behulpzame medewerkers de USB-drive in een van de computers op het netwerk van een organisatie steken om de inhoud ervan te controleren. Eenmaal verbonden kan de geïnfecteerde drive zijn payload van malware afleveren.
Merk op dat elk apparaat dat gegevens kan opslaan, kan worden gebruikt voor dit soort aanvallen, inclusief MP3-spelers, digitale camera's en smartphones. Een recent voorbeeld is Sogu, een USB-ondersteunde cyber-spionagecampagne die gericht is op meerdere industrieën.
Al deze aanvallen kunnen verwoestend zijn voor een organisatie. Je kunt de kans op zo'n aanval minimaliseren met de juiste Security Awareness Training voor medewerkers en bedrijfseigenaren. Wanneer het personeel van een organisatie zich bewust is van de risico's en hoe deze te vermijden, veranderen ze van een zwakke schakel in een menselijke firewall.
En de lijst gaat verder
De bovengenoemde cyberrisico's zijn enkele van de meest voorkomende, maar cybercriminelen hebben veel methoden om waardevolle gegevens te stelen. Naarmate de tijd vordert, verbeteren hun methoden en zijn ze moeilijker te herkennen voor het ongetrainde oog. Vooral met de opkomst van AI lijken de verschillende soorten cyberrisico's grenzeloos.
De verschillende soorten Security Awareness Training
Er zijn meerdere manieren om je medewerkers te trainen. Hieronder bespreken we enkele van de meest gebruikte.
Jaarlijkse cursussen
Veel organisaties vertrouwen nog steeds op jaarlijkse trainingen om hun personeel voor te bereiden op het omgaan met cyberrisico's. Jaarlijkse Security Awareness Training voor medewerkers kent twee belangrijke problemen. Ten eerste verandert het digitale dreigingslandschap voortdurend. Nieuwe risico's ontstaan voortdurend, niet slechts één keer per jaar, waardoor jaarlijkse training snel verouderd raakt.

Ten tweede onthouden mensen informatie simpelweg geen heel jaar. Zelfs de meest oplettende leerling zal niet alles wat hij heeft geleerd langer dan een paar maanden onthouden. Dit kennisverval betekent dat de kennis van medewerkers na verloop van tijd onvermijdelijk minder uitgebreid wordt, waardoor ze minder effectief zijn in het vermijden van risico's.
Klassikale training
Klassikale training heeft wel enkele voordelen ten opzichte van andere lesmethoden. Het creëert een afleidingsvrije omgeving waarin cursisten zich kunnen concentreren op de specifieke onderwerpen die ze moeten begrijpen en internaliseren. Klassikale training heeft echter ook aanzienlijke nadelen. Cursisten moeten worden weggehaald bij andere activiteiten, wat betekent dat ze ofwel achterlopen op werktaken, ofwel hun vrije tijd moeten opofferen.

Klassikale training dwingt ook een 'one-size-fits-all' model op aan cursisten, waarbij sommige cursisten zich vervelen of niet uitgedaagd voelen, en anderen verward achterblijven door nieuwe onderwerpen.
Traditionele e-learning
Traditionele e-learning probeert klassikaal leren na te bootsen in een externe omgeving. Lessen worden gegeven via een platform zoals Canvas of Moodle, met behulp van slides en andere media. Er zijn meestal colleges, ofwel vooraf opgenomen of live gegeven door een instructeur. Hoewel traditionele e-learning flexibeler en schaalbaarder is dan klassikaal leren, heeft het enkele van dezelfde nadelen. Leren is vaak passief, met beperkte interactiviteit en ondermaatse betrokkenheid of retentie.
Gamified training
Gamified Security Awareness Training aangeboden door providers zoals Guardey is een moderne oplossing. Het is vergelijkbaar met de aanpak van taalapps zoals Duolingo. In plaats van één keer per jaar veel informatie te krijgen, of losse lessen met beperkte interactie, ontvangen gebruikers een constante stroom van korte, gemakkelijk te verwerken trainingen.

Met Guardey krijgen gebruikers een wekelijkse challenge die ze in ongeveer 3 minuten kunnen voltooien. Tijdens een challenge leren ze over cyberrisico's zoals phishing, malware, zwakke wachtwoorden en AI. Door goed te presteren tijdens challenges, kunnen ze punten scoren voor het leaderboard van de organisatie. Vriendelijke competitie tussen collega's heeft bewezen gebruikers betrokken te houden.
Door de leerervaring te gamificeren, raken gebruikers intrinsiek gemotiveerd om te blijven deelnemen. Of dat nu is om de toppositie op het leaderboard te bereiken, hun 'hot streaks' van opeenvolgende gespeelde weken voort te zetten, of simpelweg om hun eigen high score te verbeteren.
Hoe je je organisatie enthousiast krijgt voor Security Awareness Training
Je hebt besloten dat gamified learning de ideale oplossing is voor de security training behoeften van je organisatie. Je hebt een aantal goede producten gevonden die aan al je eisen voldoen. Nu komt het moeilijkste deel: je organisatie overtuigen om een nieuwe training oplossing te adopteren.
Mensen zijn misschien terughoudend om de stap te zetten naar gamified security training om verschillende redenen. Je zult veel vragen moeten beantwoorden. Wat is security awareness? Hoe profiteert de organisatie hiervan? Mensen die al een jaarlijkse cybersecurity training hebben doorstaan, denken misschien dat ze niets te winnen hebben bij doorlopende training. Managers en directieleden denken misschien dat hun personeel te slim is om in een phishing-e-mail of een mysterieuze USB-stick op de parkeerplaats te trappen. Hier zijn enkele ideeën die kunnen helpen mensen te overtuigen en mee te krijgen.
Organiseer een security awareness week: een leuk en boeiend security awareness evenement kan mensen enthousiast maken over cybersecurity en hen nieuwsgierig maken naar meer.
Voer een spear phishing simulatie uit: Een realistische spear phishing simulatie die gericht is op belangrijke individuen kan helpen aantonen dat iedereen in je organisatie kwetsbaar kan zijn.
Nodig een gastspreker uit: Een expert spreker kan mensen effectiever overtuigen dan abstracte informatie. Dit kan een slachtoffer van cybercriminaliteit zijn, een security expert, of zelfs een ethische "white hat" hacker.
Hoe Nederlandse organisaties aan security awareness training doen
Hier zijn enkele voorbeelden van Nederlandse organisaties die succesvol Security Awareness Training hebben geïmplementeerd voor hun medewerkers.
EyeOn

EyeOn is een specialist in forecasting en planning, en helpt internationale bedrijven bij het beheren van supply chain uitdagingen. EyeOn is verantwoordelijk voor een groot deel van de data van hun klanten, die veilig moet worden verwerkt. Ze hebben een gamified cybersecurity training oplossing geadopteerd om ervoor te zorgen dat hun personeel de uitdaging aankon en om hun security af te stemmen op de ISO27001 certificeringseisen.
Ze introduceerden het nieuwe training programma onder medewerkers met wat zij een security awareness week noemden. “We begonnen elke dag met een interview van 15 minuten en noemden dat de safety catch-up. Elke dag had een specifiek thema. De eerste heette ‘from desk to destination’. Dit ging allemaal over security maatregelen tijdens het reizen, zoals het gebruik van een privacy screen, het veilig opbergen van je laptop, enzovoort. Een ander thema ging over vertrouwelijke data, wat we ‘how to not get in trouble with the SEC’ noemden.”
Priore

Priore biedt accountancy- en belastingadviesdiensten. Met de verantwoordelijkheid voor gevoelige financiële informatie van klanten, is cybersecurity van vitaal belang voor hen. Priore wilde te allen tijde een hoog niveau van security awareness onder zijn personeel handhaven. Daarom stapten ze over van een jaarlijkse cybersecurity cursus naar een oplossing die continu leren bood: Guardey.
“80% van de organisatie begon direct actief deel te nemen na de eerste introductie-e-mail. Na een maand of twee gebruikte iedereen, op 1 of 2 mensen na, Guardey elke week. Dit kwam allemaal door intrinsieke motivatie en het begrip van het belang van security awareness. Er zijn geen incentives zoals een maandelijkse prijs of iets dergelijks, dus dat kunnen we altijd nog proberen als de deelname mocht afnemen.”
Konot

KONOT is een onderwijsstichting die onderwijs verzorgt via 22 Nederlandse basisscholen. De organisatie had een Security Awareness Training oplossing nodig die hen in lijn bracht met de GDPR. Omdat ze al het doelwit waren geweest van meerdere mislukte cyberaanvallen, had KONOT een training product nodig dat hun personeel te allen tijde geïnformeerd en bewust zou houden. Ze adopteerden Guardey om doorlopende training en evaluatie aan te bieden en zo consistente security awareness te waarborgen.
KONOT heeft Guardey onlangs uitgerold, en de eerste feedback van de gebruikers komt nu binnen. “De eerste feedback die we hebben ontvangen is enthousiast. Guardey maakte ze echt competitief, wat een goed teken is,” zegt Martijn. “Het is erg toegankelijk, wat ik waardeer. Een enkeling was minder enthousiast over het concept van training awareness voordat we begonnen, maar we zullen dat binnenkort met hen evalueren.” Frieda vervolgt: “Ik ben helemaal geen gamer, maar ik merkte ook dat ik steeds nieuwe uitdagingen aanging. Het is heel gemakkelijk om door de vragen heen te komen.”
Delta Wines

Delta Wines is een wijngroothandel. Toen hun verzekeraar het belang van Security Awareness Training en de aanstaande NIS2-richtlijn benadrukte, ondernam de CEO van Delta Wines actie. Om iedereen mee te krijgen, werd een phishing simulatie uitgevoerd die voor veel mensen een waardevolle wake-up call was. Nadat veel medewerkers in de overtuigende e-mail waren getrapt, stonden ze zeer open voor aanvullende training.
“We krijgen veel positieve feedback. Veel medewerkers beginnen direct met de nieuwe wekelijkse challenge zodra ze de e-mail ontvangen dat deze klaarstaat. Sommigen zijn serieus teleurgesteld als ze een vraag fout hebben. Het heeft meerdere interne discussies over security op gang gebracht, wat geweldig is.”
Gezamenlijke Brandweer Amsterdam

Gezamenlijke Brandweer Amsterdam is een grote brandweer, belast met incident response in een industrieel gebied van Amsterdam. Als een brandweer slachtoffer wordt van een cyberaanval, kunnen de gevolgen catastrofaal zijn. De afdeling moest ook voldoen aan de NIS2-vereisten. Teamleider Raymond Pikee wilde een terugkerende training oplossing die leuk en boeiend zou zijn.
In het leaderboard kunnen de brandweerlieden zien hoe goed ze presteren vergeleken met collega's, wat de interne competitie stimuleert. “We zijn een competitief stel, dus dat is een leuke toevoeging. Deze gamification elementen maken het leuk om Guardey te spelen, wat ons ook helpt de informatie te onthouden.”
Hoe je begint met het implementeren van Security Awareness Training
Nu je de basis van Security Awareness Training begrijpt, kun je beginnen met het zoeken naar een training provider die het beste bij je wensen past.
Bij Guardey bieden we gamified Security Awareness Training aan die gericht is op het betrokken houden van gebruikers gedurende lange periodes. Door gebruik te maken van een leaderboard, achievements, hot streaks en andere gamification elementen, krijgen gebruikers een gevoel van vriendschappelijke competitie wat de participatie stimuleert.
Start een gratis proefperiode van 14 dagen
Probeer Guardey's gamified Security Awareness Training platform gratis uit.
Start gratis proefperiode