Odido-hack onderstreept het grootste cyberrisico: de mens
Stel je voor. Een drukke dinsdagochtend. Volle inbox, een deadline voor 12:00, net een kop koffie ingeschonken. Dan komt er een mail binnen: professioneel opgemaakt, geen spelfouten, een vertrouwde afzender. Even later belt iemand van IT. Urgente toon. Ze moet een inlogpoging goedkeuren, anders wordt haar account geblokkeerd. Ze doet het. Waarom niet? Het klinkt logisch, zo schrijf Joey Pernot van Netpresenter in deze blog.
Grofweg op deze manier gingen zo’n 6,2 miljoen Odido-accounts de deur uit. De aanvallers kwamen niet binnen via een technisch lek. Ze overtuigden werknemers om zelf de deur open te doen.
Het kwetsbare punt zit niet in je systeem
Firewalls, encryptie en multi-factor authenticatie doen wat ze moeten doen. Maar ze zijn slechts zo sterk als de werknemer die eromheen wordt geleid. Hackers weten dat. Ze spelen in op autoriteit, tijdsdruk en de menselijke neiging om behulpzaam te zijn.
Generatieve AI heeft de lat voor aanvallers behoorlijk verlaagd. Foutloze phishingmails zijn geen kunst meer. Deepfake-stemmen die klinken als een leidinggevende ook niet. De mail vol spelfouten van de Nigeriaanse prins is allang vervangen door iets waar zelfs een scherpe werknemer twee keer over nadenkt.
Eén keer trainen lost niks op
Veel organisaties behandelen cybersecuritytraining als een compliance-vinkje. Jaarlijkse sessie, beleid gedocumenteerd, klaar. Het probleem is niet de training zelf. Het probleem is dat alertheid een conditie is. En condities verslechteren als je ze niet onderhoudt.
Na een training is iedereen scherp. Phishingmails worden herkend, verdachte verzoeken gemeld. Drie maanden later? De dagelijkse drukte heeft het overgenomen. Nieuwe collega’s zijn niet bijgepraat. Procedures voelen vanzelfsprekend. Stilletjes, zonder dat iemand het doorheeft, is de scherpte weg. En precies op dat moment hoeft er maar één iemand één vergissing te maken.
Weten is één ding. Doen onder druk is iets anders.
Het voltooien van een training bewijst niets. Het bewijst dat iemand een module heeft afgerond, niet dat ze op een drukke dinsdag met een urgente toon aan de telefoon de juiste keuze maakt. Die situatie test iets anders: reflexen, instinct, gewoonten. En gewoonten bouw je niet op met een jaarlijkse sessie.
Frequentie wint het dan ook van intensiteit als het om awareness gaat. Korte, regelmatige micro-learnings die aansluiten op actuele dreigingen houden het onderwerp levend, zonder werknemers te overweldigen. Simulaties voegen iets toe wat trainingen alleen niet kunnen: ze testen gedrag zoals het echt is, onder werkdruk, op een gewone werkdag. Ze laten zien waar de zwakke plekken zitten, voordat een aanvaller dat doet. En meten sluit het af: niet meten hoeveel mensen de module hebben voltooid, maar hoe het kennisniveau zich over de tijd ontwikkelt en waar de gaten zitten.
Van incident naar instinct
De Odido-hack was geen fout van één werknemer. Het was het resultaat van aanvallers die precies wisten hoe ze de menselijke factor konden bespelen, op het juiste moment, met de juiste toon. Dat risico verdwijnt niet met betere technologie. Het verdwijnt als werknemers het patroon herkennen voordat ze handelen.
Organisaties die dat voor elkaar krijgen, bouwen aan een cultuur waarin alertheid de norm is, geen uitzondering. Dat vraagt om herhaling, zichtbaarheid en meten. En om het besef dat een voorbereide werknemer je meest waardevolle beveiligingslaag is.
Door: Joey Pernot, Netpresenter
