AI jaagt security aan, kennis blijft achter
Fortinet heeft zijn 2025 Security Awareness and Training Global Research Report gepubliceerd. Hierin wordt beschreven hoe AI het bedreigingslandschap verandert en waarom de cyberweerbaarheid van het personeel nog altijd te wensen overlaat. Het 2025 Security Awareness and Training Global Research Report van Fortinet is gebaseerd op input van 1.850 senior besluitvormers op IT- en security-gebied in alle delen van de wereld, waaronder Nederland. Het rapport geeft aan dat er duidelijk sprake is van verbetering op het gebied van security awareness en laat tegelijkertijd zien op welke punten organisaties vatbaar blijven voor cyberbedreigingen.
Het rapport, gebaseerd op een wereldwijde enquête onder 1.850 IT-besluitvormers (waaronder in Nederland), schechetst een paradoxaal beeld. Bijna 90% van de organisaties ziet dat de opkomst van AI-gebaseerde aanvallen – zoals hyperrealistische phishing en deepfakes – de urgentie van security-trainingen heeft vergroot. Echter, slechts 40% van de managers durft te stellen dat hun personeel ook daadwerkelijk in staat is om deze geavanceerde dreigingen te herkennen en te rapporteren.
De kloof tussen beleid en praktijk
Organisaties proberen de regie terug te pakken door specifiek beleid rondom Generatieve AI (GenAI) in te voeren. Ongeveer de helft van de ondervraagde bedrijven traint werknemers in het veilig gebruik van AI-tools en heeft technische barrières opgeworpen om het delen van gevoelige data met Large Language Models (LLM's) te voorkomen. Toch waarschuwt Fortinet voor een 'uitvoeringskloof': een formeel beleid op papier betekent in de praktijk nog niet dat de risico's op de werkvloer zijn gedicht.
De 'insider' als groeiende zorg
Opvallend is de verschuiving in de motivatie achter security-investeringen. Waar voorheen vooral externe datalekken de drijfveer waren, groeit de aandacht voor het interne risico. Ruim een kwart van de organisaties ziet 'insiderrisico’s' inmiddels als een cruciale reden voor training. De tolerantie voor onveilig gedrag neemt daarbij drastisch af: maar liefst 91% van de besluitvormers pleit voor strengere regels voor medewerkers die herhaaldelijk de mist in gaan bij phishing-simulaties of onjuist omgaan met data.
Training werkt, mits herhaald
Ondanks de uitdagingen is er ook positief nieuws. Bij organisaties die structureel inzetten op training, rapporteert 67% een duidelijke afname van het aantal succesvolle incidenten. De sleutel tot succes lijkt te liggen in de overstap van verplichte 'vinkjes-cursussen' naar een continue security-cultuur.
Toch blijft de uitvoering een struikelblok. Veel werknemers ronden hun trainingen niet volledig af en 70% van de managers vindt het algehele bewustzijnsniveau nog onvoldoende. De oplossing die het rapport aandraagt? Microtraining. Door korte, frequente leermomenten aan te bieden die direct inspelen op de actualiteit, kunnen organisaties de snelheid van cybercriminelen beter bijbenen.
Conclusie: Een gedeelde verantwoordelijkheid
De belangrijkste verschuiving is wellicht cultureel. Security awareness wordt niet langer gezien als een exclusief feestje van de IT-afdeling, maar als een gezamenlijke verantwoordelijkheid. Het doel voor 2026 en daarna is helder: werknemers moeten niet alleen weten dat er gevaar dreigt, maar ook instinctief weten hoe ze veilig moeten handelen in een door AI gedomineerd landschap.
Meer over cybersecurity
Over Witold Kepinski
