“Vermijd klikken op verdachte links” blijft falen: Waarom traditionele cybersecuritytraining niet genoeg is (en wat wél werkt)
Londen, 13 maart 2025 – Het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk heeft vandaag een blogpost gepubliceerd waarin de aanhoudende ineffectiviteit van traditionele cybersecuritytraining wordt benadrukt, met name de nadruk op het vermijden van het klikken op verdachte links. Ondanks jarenlange inspanningen om gebruikers te instrueren over de gevaren van phishing en malware, blijven mensen nog steeds slachtoffer worden van online aanvallen.
“We hebben jaren besteed aan het hameren op het idee dat gebruikers ‘niet op verdachte links’ moeten klikken,” aldus een anonieme bron binnen het NCSC. “Maar de realiteit is dat dit simpelweg niet genoeg is. Criminelen worden steeds slimmer en hun tactieken steeds geavanceerder. We moeten onze aanpak heroverwegen.”
De kern van het probleem: Waarom traditionele training tekortschiet
De blogpost wijst op verschillende redenen waarom de traditionele “vermijd klikken op links”-benadering tekortschiet:
- Phishing is complexer geworden: Aanvallen zijn niet langer gebaseerd op duidelijke grammaticale fouten of verdachte URL’s. Ze zijn nu vaak overtuigend nagemaakt en nauwelijks te onderscheiden van legitieme communicatie.
- Sociale engineering speelt een cruciale rol: Criminelen gebruiken psychologische manipulatie, zoals urgentie, angst of autoriteit, om gebruikers te verleiden tot het klikken op links of het delen van informatie.
- Context is alles: Een link die in de ene context veilig is, kan in de andere context schadelijk zijn. Gebruikers moeten in staat zijn om kritisch na te denken over de context van een link voordat ze erop klikken.
- Vermoeidheid en afstomping: Gebruikers worden overspoeld met waarschuwingen en informatie over cybersecurity, waardoor ze minder alert en vatbaarder worden voor fouten.
- De menselijke factor: Uiteindelijk zijn mensen feilbaar. Zelfs met de beste training kunnen ze onder druk of in stressvolle situaties fouten maken.
Wat dan wel? Een nieuwe aanpak voor cybersecurity awareness
De blogpost van het NCSC suggereert dat een effectievere aanpak voor cybersecurity awareness zich moet richten op de volgende punten:
- Focus op gedragsverandering, niet alleen informatieverstrekking: Training moet gericht zijn op het aanleren van praktische vaardigheden en het ontwikkelen van goede cybersecurity-gewoonten. Dit kan bijvoorbeeld door middel van gesimuleerde phishing-campagnes en interactieve oefeningen.
- Creëer een cultuur van cybersecurity: Het is belangrijk om een organisatiecultuur te bevorderen waarin cybersecurity wordt gezien als ieders verantwoordelijkheid. Dit betekent dat management betrokken moet zijn en dat medewerkers worden aangemoedigd om vragen te stellen en verdachte activiteiten te melden.
- Implementeer technische controles: Technische maatregelen, zoals multi-factor authenticatie (MFA), anti-phishing software en e-mailfiltering, kunnen een belangrijke extra beschermingslaag bieden.
- Maak gebruik van data en analytics: Door data over phishing-aanvallen en gebruikersgedrag te analyseren, kunnen organisaties hun training en technische controles beter afstemmen op de specifieke risico’s.
- Continu leren en aanpassen: De cybersecurity-dreiging is voortdurend in ontwikkeling. Het is daarom essentieel om trainingen regelmatig te updaten en aan te passen aan de nieuwste bedreigingen.
Concreet betekent dit bijvoorbeeld:
- Trainingen die focussen op het herkennen van rode vlaggen in e-mails en berichten, niet alleen op het vermijden van links. Denk aan ongebruikelijke verzoeken, onverwachte attachments en druk om snel te handelen.
- Het stimuleren van medewerkers om te checken en te dubbelchecken, zelfs als de afzender bekend is. Controleer het e-mailadres van de afzender, neem contact op via een andere methode (zoals telefonisch) en vertrouw niet blindelings op berichten.
- Het benadrukken van het belang van sterke wachtwoorden en MFA. Moedig gebruikers aan om wachtwoordmanagers te gebruiken en MFA te activeren op alle belangrijke accounts.
- Het creëren van een veilige omgeving waarin medewerkers fouten kunnen melden zonder angst voor straf. Dit moedigt open communicatie aan en helpt om van fouten te leren.
De toekomst van cybersecurity awareness
De boodschap van het NCSC is duidelijk: de traditionele aanpak van cybersecuritytraining is niet meer voldoende. Om effectief te zijn, moeten organisaties een nieuwe aanpak hanteren die zich richt op gedragsverandering, een cultuur van cybersecurity en technische controles. Door deze veranderingen door te voeren, kunnen we de risico’s van cyberaanvallen verminderen en een veiliger online omgeving creëren.
Conclusie
Het bericht van het NCSC is een wake-up call voor organisaties over de hele wereld. De aanhoudende ineffectiviteit van de traditionele “vermijd klikken op links”-benadering benadrukt de noodzaak van een meer holistische en dynamische benadering van cybersecurity awareness. Door te investeren in een uitgebreider en praktijkgerichter programma, kunnen organisaties hun werknemers beter beschermen tegen de steeds evoluerende bedreigingen in de digitale wereld. De focus moet liggen op het empoweren van gebruikers om kritisch na te denken en proactief te handelen, in plaats van simpelweg te worden verteld wat ze niet moeten doen.
Gebruikers vertellen om ’te vermijden op het klikken van slechte links’ werkt nog steeds niet
De AI heeft het nieuws geleverd.
De volgende vraag werd gebruikt om het antwoord van Google Gemini te genereren:
Op 2025-03-13 11:22 is ‘Gebruikers vertellen om ’te vermijden op het klikken van slechte links’ werkt nog steeds niet’ gepubliceerd volgens UK National Cyber Security Centre. Schrijf alstublieft een gedetailleerd artikel met relevante informatie op een begrijpelijke manier.
40