Je grootste cyberrisico zit niet in je software, maar achter het scherm [7 tips]

AI maakt cyberaanvallen slimmer, goedkoper en moeilijker te herkennen. Maar de grootste kwetsbaarheid in jouw organisatie is niet je software. Het zijn de mensen die erdoorheen klikken. Het goede nieuws: dat kun je veranderen. Zonder IT-diploma.

Je ontvangt een e-mail van je bank. De toon klopt, het logo klopt, zelfs je naam staat er correct in. Alleen: de bank heeft je nooit gemaild. Het bericht is gegenereerd door AI, op basis van informatie die gewoon online stond.

Dit soort aanvallen is geen sciencefiction meer. Ze worden dagelijks ingezet tegen bedrijven van elke omvang: de FBI registreerde in 2024 ruim 193.000 meldingen van phishing en vergelijkbare aanvallen, met meer dan 70 miljoen dollar schade. En dat zijn alleen de gemelde gevallen.

Aanvallen werken niet omdat jouw mensen dom zijn, maar omdat ze zijn ontworpen om precies in te spelen op hoe het menselijk brein werkt.

Wat maakt het extra gevaarlijk? Eén verkeerde klik kan leiden tot een datalek, platgelegde systemen, financiële fraude of weken aan herstelwerk. Onderzoek van IBM laat zien dat een gemiddeld datalek voor een klein of middelgroot bedrijf ruim 3 miljoen dollar kost. Maar liefst 60% van de kleine bedrijven die getroffen worden, sluit de deuren binnen zes maanden.

Veel ondernemers reageren hierop met meer technologie: betere virusscanner, strenger wachtwoordbeleid, duurder beveiligingssysteem. Begrijpelijk. Maar onvoldoende. Want de meest geavanceerde firewall ter wereld helpt niet als iemand in jouw team de voordeur openzet.

De oplossing is niet minder technologie: het is meer aandacht voor de mensen die ermee werken.

Aanvallen komen niet alleen via e-mail

Tot een paar jaar geleden waren phishingmails redelijk herkenbaar: slecht Nederlands, vreemde afzenders, generieke aanhef. Inmiddels schrijft AI in seconden een overtuigende e-mail op naam, in de juiste toon, met verwijzingen naar jouw bedrijf of een recente LinkedIn-post.

Maar e-mail is allang niet meer het enige kanaal. Aanvallers benaderen medewerkers steeds vaker via WhatsApp, met deepfake-telefoontjes waarbij de stem van een bekende collega of leidinggevende wordt nagebootst, of via samenwerkingstools als Microsoft Teams en Slack.

Een vals berichtje in een Teams-kanaal van een bekende leverancier trekt veel minder argwaan dan een onbekend e-mailadres.

Tegelijk neemt de druk op medewerkers toe. Ze werken sneller, communiceren via meer kanalen tegelijk, en krijgen dagelijks tientallen berichten die om een reactie vragen. In die context is een verkeerde klik zo gemaakt.

Dit is het paradoxale van de huidige situatie: hoe slimmer de technologie wordt, hoe belangrijker menselijk oordeelsvermogen wordt. Niet minder. Meer technologie vraagt om meer investering in mensen. Niet als moreel punt, maar als simpele business case.

Hoe Copilot en ChatGPT jouw schrijfstijl versterken, ook voor aanvallers

Er is een dimensie van AI-gedreven phishing die weinig mensen kennen, maar die elke ondernemer zou moeten begrijpen.

Tools als Microsoft Copilot, maar ook andere AI-assistenten die in je e-mailomgeving draaien, leren van jouw communicatie. Ze analyseren hoe jij schrijft: je woordkeuze, je manier van aanspreken, hoe formeel of informeel je bent, welke zinsstructuren je gebruikt. Dat maakt ze handig als schrijfassistent.

Maar die patronen zijn ook publiek zichtbaar in wat je online deelt: je website, je LinkedIn-berichten, je nieuwsbrieven, je e-mailhandtekening.

AI werkt als een versterker van bestaande informatie. Een aanvaller die publieke bronnen combineert met gelekte of gestolen communicatiedata, kan jouw schrijfstijl en die van je leveranciers reconstrueren.

Het resultaat: een vervalste e-mail, een nep-Teamsbericht of een deepfake-voicenote die vrijwel niet van echt te onderscheiden is. Geen alarm bij je medewerker, geen twijfel, gewoon een klik.

Dit geldt ook omgekeerd. De AI-tools die jouw leveranciers en klanten gebruiken, leren van hun communicatie met jou. Elke e-mailthread, elk document dat via een AI-assistent loopt, voegt informatie toe aan een patroon dat in verkeerde handen misbruikt kan worden.

Wat dit vraagt van jou als ondernemer: bewustzijn over welke informatie je via welke kanalen deelt, en medewerkers die getraind zijn om ook een ogenschijnlijk vertrouwd bericht kritisch te bekijken. Niet omdat ze wantrouwig moeten zijn, maar omdat ze weten hoe de aanval werkt.

AI werkt als een versterker van bestaande informatie. Een aanvaller die publieke bronnen combineert met communicatiepatronen kan een bericht maken dat vrijwel niet van echt te onderscheiden is.

4 patronen die je herkent als ondernemer

In mijn werk met organisaties zie ik steeds dezelfde patronen terugkomen. Herken jij er één?

Patroon 1: ‘Wij doen de jaarlijkse veiligheidstraining’

Een verplichte e-learning van 20 minuten, eens per jaar afgevinkt. Het geeft een veilig gevoel, maar verandert niets aan gedrag. Het menselijk brein reageert op dreiging in milliseconden, lang voordat je bewust nadenkt. Eenmalige kennis helpt daar niet tegen. Herhaling, context en oefening wel.

Patroon 2: ‘Beveiliging is een IT-ding’

Als ondernemer delegeer je beveiliging aan je IT-leverancier of systeembeheerder. Begrijpelijk, maar onvolledig. Volgens het Verizon Data Breach Investigations Report 2025 is bij 60% van alle datalekken de menselijke factor betrokken, via phishing, gestolen inloggegevens of een fout.

Technologie lost dat niet op. Eerder schreef ik over hoe dit patroon bredere AI-implementaties raakt.

Patroon 3: ‘We melden incidenten niet’

Mensen melden iets verdachts pas als ze zeker weten dat het fout is, of helemaal niet. Onderzoek van de Inspectie SZW laat zien dat een minderheid van medewerkers problemen meldt: de voornaamste reden is gebrek aan vertrouwen in de reactie van de organisatie.

Diezelfde drempel bestaat bij beveiligingsincidenten. Daardoor wordt schade groter dan nodig. De drempel om te melden is een cultuurvraagstuk. Dat herkende ik eerder.

Patroon 4: ‘We vertrouwen blind op het systeem’

AI-tools en beveiligingssoftware geven adviezen en meldingen, en mensen volgen die op zonder kritisch te kijken. Onderzoek toont aan dat mensen AI-adviezen systematisch minder kritisch beoordelen dan menselijke adviezen, zelfs als dat in hun nadeel werkt.

In beveiliging is dat gevaarlijk: systemen maken ook fouten, en de mens die klakkeloos het vinkje zet is geen echte controle.

De meest geavanceerde firewall helpt niet als iemand in jouw team de voordeur openzet.

7 concrete tips om morgen mee te starten

Geen IT-kennis vereist, wel leiderschapswil:

Tip 1: Bespreek beveiliging als teamonderwerp, niet als IT-onderwerp

Neem beveiliging eens per kwartaal op in je teamoverleg. Niet technisch, maar praktisch: wat zijn recente voorbeelden van verdachte berichten? Heeft iemand via WhatsApp of Teams iets vreemds ontvangen? Die gesprekken bouwen bewustzijn zonder dat je een cursus hoeft in te kopen.

Tip 2: Maak melden normaal, niet spannend

Zeg expliciet tegen je team: ‘Als je twijfelt, meld het. Altijd. Zonder gevolgen.’ En geef zelf het goede voorbeeld door te vertellen wanneer jij iets verdachts hebt ontvangen. Psychologische veiligheid is de goedkoopste beveiligingsinvestering die er bestaat. Hoe je die ruimte als leider creëert, beschreef ik in dit artikel.

Tip 3: Oefen met een nep-phishingmail

Er bestaan tools waarmee je een gesimuleerde phishingmail naar je eigen team kunt sturen. Niet om mensen te betrappen, maar om te laten zien hoe geloofwaardig ze zijn. Een oefening zegt meer dan tien theoriepresentaties. Vraag je IT-leverancier of hij dit kan faciliteren.

Tip 4: Benoem iemand als AI-aanspreekpunt

Er is vast iemand in jouw team die AI-tools begrijpt en goed met mensen kan communiceren. Geef die persoon een formele rol: aanspreekpunt voor vragen over AI-tools en beveiliging en schakel tussen de IT-leverancier en de rest van het team. Die vertaalfunctie is goud waard en wordt bijna nooit formeel belegd.

Tip 5: Stel je team de waardenvraag

Vraag jezelf en je team: als morgen uitlekt hoe wij omgaan met klantdata en AI-tools, zijn we daar trots op? Dat is een betere leidraad voor beleid dan welke compliance checklist dan ook. Begin bij je waarden, niet bij de wet.

Tip 6: Controleer je AI-tools op datagebruik

Welke AI-tools gebruikt jouw team? ChatGPT, Copilot, een AI-assistent in je boekhoudsoftware? Check voor elke tool: wat gebeurt er met de data die je invoert? Wordt die gebruikt om het model te trainen? Klantgegevens of bedrijfsinformatie horen niet in een publieke AI-tool, maar dat weet je pas als je ernaar vraagt.

Tip 7: Bekijk je beveiligingsbudget eens anders

Hoeveel procent van wat je aan beveiliging uitgeeft, gaat naar technologie? En hoeveel naar mensen: training, bewustzijn, cultuur? In de meeste MKB-organisaties is die verhouding 90/10. Probeer die balans te verschuiven. Niet door minder te investeren in technologie, maar door meer te investeren in mensen. Meer over wat er nodig is om die balans te verschuiven, lees je hier.

Wil je weten hoe bewust jouw organisatie omgaat met AI en de risico’s die daarbij horen? Met een AI-Readiness Scan breng je in kaart waar je staat en wat de volgende stap is. Dat kan als startpunt voor een traject of gewoon als nulmeting.

De sterkste beveiliging bouw je niet in, je kweekt hem

De organisaties die het beste bestand zijn tegen AI-gedreven dreigingen zijn niet per se die met de duurste software. Het zijn de organisaties waar mensen weten wat ze doen, durven te melden wat ze zien, en begrijpen waarom het ertoe doet.

Dat vraagt geen technisch budget. Dat vraagt leiderschap: de bereidheid om te investeren in wat je niet in een dashboard kunt afvinken. Vertrouwen, begrip, cultuur.

De organisaties die het beste bestand zijn tegen AI-dreigingen zijn niet die met de duurste software, maar die waar mensen weten wat ze doen en durven te melden wat ze zien.

Technologie bepaalt wat er mogelijk is. Mensen bepalen wat er gebeurt.