De duurste fout op kantoor voelt als tijdwinst

Je gebruikt hetzelfde wachtwoord voor je bank, je mail en die bezorgapp van twee jaar geleden. Dat voelt praktisch, totdat het misgaat. Volgens een analyse van Cybernews van 19 miljard gelekte wachtwoorden was 94% van de blootgestelde inloggegevens al gecompromitteerd door precies dat patroon: hergebruik. Slechts 6% was uniek. De rest was voorspelbaar en in minder dan een seconde te kraken.

Dit is maar een van de vijf korte routes die medewerkers elke dag nemen. Los van elkaar lijken ze onschuldig. Samen kosten ze organisaties gemiddeld ongeveer €1,12 miljoen per phishinggedreven incident, als je de US$ 1,29 miljoen grof omzet naar euro’s. In Nederland, waar de digitale volwassenheid hoog is maar de afhankelijkheid van online systemen net zo goed, is dat een ongemakkelijke combinatie.

Het echte risico zit in gewoontes

Het Nederlandse NCSC legt uit dat MFA het voor cybercriminelen veel moeilijker maakt om toegang te krijgen tot accounts, systemen en gevoelige gegevens. Op de pagina over passkeys stelt het NCSC bovendien dat phishing daarmee vrijwel kansloos wordt. Dat is een nuttige nuchtere reminder: veel schade ontstaat niet doordat organisaties geen techniek hebben, maar doordat ze goede techniek half gebruiken.

Cyberveilig gedrag blijft daarom geen IT-project, maar organisatiegedrag. Juist daar gaat het vaak mis. Niet spectaculair, wel consequent.

Eén wachtwoord te veel gebruikt, en alles beweegt mee

De gemiddelde gebruiker beheert ongeveer 191 online accounts. Voor elk account een uniek wachtwoord onthouden is onrealistisch, dus mensen gaan stapelen. Onderzoek van Bitwarden, aangehaald door CinchOps, laat zien dat 85% van de gebruikers wachtwoorden hergebruikt op meerdere sites. Meer dan de helft verwerkt ook nog eenvoudig te raden informatie, zoals een geboortedatum of de naam van een huisdier.

Het probleem is niet alleen dat zo’n wachtwoord zwak kan zijn. Het probleem is vooral dat één lek meteen meerdere systemen raakt. Bij Dropbox werden 60 miljoen credentials buitgemaakt doordat één medewerker een werkwachtwoord hergebruikte. Een aanvaller hoeft je organisatie dan niet eerst actief open te breken. Een al rondzwervend wachtwoord is vaak genoeg. En wie denkt dat een wachtwoordmanager dit in zijn eentje oplost, mist dat sessiekaping inmiddels ook opgeslagen credentials kan omzeilen.

Phishing wint omdat de klik sneller is dan het denken

Volgens onderzoek van Proofpoint, geciteerd door Bright Defense, ligt de mediaan tussen het ontvangen van een phishingmail en het klikken op de link op 21 seconden. Dat is kort genoeg om op automatisme te handelen en te lang om het nog pech te noemen.

De benchmarkstudie van KnowBe4 uit 2025, gebaseerd op 14,5 miljoen gebruikers in 62.400 organisaties, laat zien dat 33,1% van de medewerkers vatbaar is voor phishing en social engineering. In de zorg is dat zelfs 41,9%. Daar komt nog bij dat 82,6% van de phishingmails inmiddels AI-gegenereerde inhoud bevat, waardoor de toon overtuigender wordt. Training helpt wel degelijk: de vatbaarheid kan binnen een jaar met 86% dalen. Alleen behandelen veel organisaties awareness nog steeds als een jaarlijkse verplichting in plaats van als gedragsprogramma.

MFA uitstellen is meestal gewoon een open deur

MFA blokkeert 99% van de accountovernames die met phishing samenhangen. Toch had 76% van de organisaties die getroffen werden door business email compromise geen phishingresistente MFA ingevoerd. Dat is begrijpelijk en onverstandig tegelijk. MFA voelt als extra gedoe, dus de invoering schuift op.

Daar staat tegenover dat aanvallers precies zoeken naar accounts waar die extra stap ontbreekt. En zelfs standaard-MFA is niet altijd genoeg. Adversary-in-the-middle-aanvallen, waarbij sessiecookies worden gestolen, stegen in 2024 met 146%. Daarom lopen AI-aanvallen inmiddels voor op je securityteam en kunnen ze in minder dan 30 minuten opschalen. FIDO2-beveiligingssleutels blijven voorlopig de sterkste verdediging tegen dit type aanval.

Persoonlijke apparaten maken de omweg naar binnen korter

Hybride werken heeft van laptops, telefoons en tablets volwaardige toegangspunten gemaakt. Maar BYOD betekent in de praktijk vaak ook: je neemt je eigen kwetsbaarheden mee. 28% van de cybersecurityprofessionals noemt zwakke wachtwoorden op persoonlijke apparaten de slechtste beveiligingsgewoonte in remote werken.

Dat is logisch. Privé-apparaten missen vaak endpointdetectie, versleutelde opslag of strak patchbeheer. Ze hangen aan openbare wifi, delen bluetooth met onbekende apparaten en mixen werk met privé. Het NCSC wijst op zijn pagina over mobiele apparatuur expliciet op het belang van beheer om bedrijfsgegevens te beschermen. Dat klinkt saai, maar precies daarin zit het verschil tussen controle en gemakzucht.

Het delen van een login sloopt je hele toegangsmodel

“Stuur even de login” is misschien de gevaarlijkste normale zin op kantoor. Tot 30% van de datalekken in organisaties komt voort uit het delen van wachtwoorden, hergebruik van credentials of phishing. Zodra een wachtwoord in chat, mail of op een briefje verschijnt, valt het buiten de beveiliging die de organisatie juist probeerde op te bouwen.

De oplossing is niet ingewikkeld: rolgebaseerde toegang, single sign-on en tijdelijke rechten nemen de noodzaak weg om wachtwoorden te delen. Het financiële plaatje is evenmin subtiel. Een gemiddeld datalek kost wereldwijd ongeveer €3,86 miljoen wanneer je US$ 4,44 miljoen omzet naar euro’s. Organisaties die maandelijks phishing simuleren, hardware-MFA afdwingen en overstappen op passkeys zien de vatbaarheid volgens KnowBe4 dalen van 33% naar 4,1% in twaalf maanden. De vraag is dus niet of medewerkers deze shortcuts nemen. Dat doen ze. De vraag is of je de schade blijft behandelen als ongeluk, terwijl het eigenlijk gedrag is.