Phishing blijft voor organisaties een van de hardnekkigste cyberrisico’s. Uit geanonimiseerde en geaggregeerde gegevens van Guardey blijkt dat bij een eerste phishingsimulatie tot vier op de tien medewerkers op een verdachte link klikken. In een team van twintig mensen betekent dat concreet dat acht medewerkers de link openen. Twee van hen vullen vervolgens ook hun wachtwoord in op een neppagina. Opvallend is vooral dat vrijwel niemand het incident meldt.
De cijfers zijn gebaseerd op de eerste simulaties bij ongeveer 250 organisaties die in 2025 en 2026 begonnen met de Security Awareness Training van Guardey. Het gaat om organisaties uit uiteenlopende sectoren, waaronder ziekenhuizen, universiteiten en retailers. Volgens Guardey laat de nulmeting niet zien dat organisaties onverschillig zijn, maar vooral dat bestaande bewustwordingsprogramma’s vaak onvoldoende effect hebben. Veel werkgevers doen al iets aan cybersecurity, bijvoorbeeld via een verplichte jaarlijkse e-learning, maar die aanpak blijkt in de praktijk beperkt te beklijven.
Phishing
De dreiging is bovendien veranderd. Het oude beeld van de phishingmail vol spelfouten en kromme zinnen is achterhaald. Aanvallers gebruiken inmiddels kunstmatige intelligentie om foutloze, persoonlijke en overtuigende berichten te maken. Daardoor zijn frauduleuze mails steeds moeilijker te onderscheiden van echte interne communicatie. Ook wordt geëxperimenteerd met deepfake-telefoontjes, waarbij de stem van een leidinggevende wordt nagebootst om medewerkers onder druk te zetten.
Grote gevolgen
Dat phishing grote gevolgen kan hebben, bleek begin 2026 bij telecomprovider Odido. Volgens beveiligingsonderzoekers begon de hack waarbij gegevens van ongeveer 6,2 miljoen klanten werden buitgemaakt met een phishingmail aan medewerkers. Daarna zouden aanvallers telefonisch contact hebben opgenomen en zich hebben voorgedaan als de eigen IT-afdeling. Zo wisten zij zelfs tweestapsverificatie te omzeilen. De gevolgen waren groot: namen, adressen, bankrekeningnummers en in sommige gevallen paspoort- en BSN-nummers kwamen op straat te liggen.
Volgens Guardey ligt de oplossing niet in het eenmalig afvinken van een training, maar in herhaling. Korte, realistische phishingtests zorgen ervoor dat medewerkers alerter worden. Daarbij is niet alleen het dalende klikpercentage belangrijk, maar vooral het aantal meldingen. Eén medewerker die een verdachte mail op tijd doorstuurt naar het securityteam, kan voorkomen dat een aanval zich verder door de organisatie verspreidt.
Regelgeving
Ook de regelgeving vergroot de druk op organisaties. Met de komst van de Nederlandse Cyberbeveiligingswet, de uitwerking van de Europese NIS2-richtlijn, wordt cybersecuritytraining voor veel organisaties een wettelijke verplichting. Niet alleen beleid, maar ook aantoonbaar gedrag wordt belangrijker. In de praktijk vragen auditors steeds vaker om bewijs dat trainingen effect hebben, bijvoorbeeld via cijfers die laten zien dat medewerkers na meerdere simulaties minder vaak klikken en vaker melding maken.
Daarmee verschuift de aandacht van techniek alleen naar een bredere aanpak. Firewalls, spamfilters en tweestapsverificatie blijven noodzakelijk, maar kunnen nooit alle aanvallen tegenhouden. Uiteindelijk belandt de meest overtuigende phishingmail bij een medewerker die onder tijdsdruk staat. Juist daarom wordt structureel oefenen steeds belangrijker. Niet om medewerkers de schuld te geven, maar om hen stap voor stap weerbaarder te maken tegen aanvallen die steeds geloofwaardiger worden.