Close-up van een jonge vrouwelijke apotheker die de inventaris controleert op een digitale tablet

Hoe menselijk gedrag de effectiviteit van cybersecurity bepaalt

Peter Kornelisse
Peter Kornelisse

EY Nederland Partner Technology Risk

5 minuten leestijd 14 mei 2025

Ontdek hoe digitalisering en remote werken risico's voor informatiebeveiliging met zich meebrengen. Cyberincidenten nemen exponentieel toe.

Dit artikel is mede tot stand gekomen door Marten de Bruin, EY Nederland Senior Manager Technology Risk.

In het kort:

  • Remote werken en AI leiden tot een explosieve stijging van cyberincidenten, met ransomware-aanvallen die in 2031 elke 2 seconden worden verwacht.
  • Menselijk handelen is verantwoordelijk voor 50% tot 95% van de cyberincidenten, wat gerichte training en bewustwording noodzakelijk maakt.
  • De 'EY Tailored Training Matrix' personaliseert trainingen op basis van medewerkersprofielen, waardoor de effectiviteit van informatiebeveiliging toeneemt.

In onze snel digitaliserende wereld heeft de samenleving te maken met aanzienlijke veranderingen. De toename van remote werken, versneld door de COVID-19 pandemie, en de groeiende toepassing van kunstmatige intelligentie (AI) zijn slechts enkele voorbeelden. Deze digitale transformatie biedt de overheid veel voordelen, maar brengt ook risico's met zich mee op het gebied van informatiebeveiliging. Cyberincidenten, die twintig jaar geleden zelden in het nieuws kwamen, worden in 2025 dagelijks gerapporteerd.

De frequentie en complexiteit van cybercriminaliteit nemen drastisch toe, met een groeiende impact. Een opvallend voorbeeld is de explosieve stijging van ransomware-aanvallen sinds de opkomst van remote werken. De verwachting is dat de frequentie van deze aanvallen wereldwijd tussen 2021 en 2031 vervijfvoudigt, van elke 11 seconden naar elke 2 seconden. De financiële schade van deze aanvallen wordt in 2031 geschat op 265 miljard dollar. De European Union Agency for Cybersecurity (ENISA) heeft ransomware-aanvallen dan ook als een toprisico aangemerkt, en ook binnen de overheid wordt cybersecurity als een prioriteit beschouwd.

50% tot 95% van de cyberincidenten zijn te wijten aan menselijk handelen.

Hoe EY kan helpen

  • Technology Risk

    Lees meer over de Technology Risk diensten en hoe ze bijdragen aan hoogwaardige audits en andere diensten op het gebied van assurance, verklaringen, certificering en beoordeling.

    Lees meer

Toenemende complexiteit van cyberaanvallen

Naast de stijgende frequentie en impact, neemt ook de complexiteit van cyberaanvallen toe. Hoewel AI veel voordelen biedt voor de overheid, creëert het ook nieuwe kansen voor hackers. Aanvallen ondersteund door AI, zoals 'deep fake'-telefoongesprekken die videobeelden gebruiken om stemmen te imiteren, zijn al in omloop en zullen naar verwachting toenemen. Dit vereist niet alleen solide technische beveiliging, zoals actuele anti-malware, intrusion detection, EDR en next-generation firewalls, maar benadrukt ook de noodzaak van een proactieve beveiligingscultuur. Continue bewustwording en training op het gebied van informatiebeveiliging zijn hierbij essentieel.

 

Binnen marktstandaarden is er een beperkte focus op de training en bewustwording van personeel. Technische maatregelen alleen zijn niet voldoende om cyberaanvallen te voorkomen. Onderzoek toont aan dat een groot deel van de cyberaanvallen het gevolg is van menselijk handelen, zoals het verlies van inloggegevens en phishing. Training in informatiebeveiliging blijkt de impact van cyberincidenten het meest te verminderen.

De waarde van specifieke trainingen

Verschillende studies bevestigen dat de menselijke factor cruciaal is binnen informatiebeveiliging. De percentages van cyberincidenten die voortkomen uit menselijk handelen variëren van 50% tot 95%. Ondanks dit belang richten veel organisaties hun inspanningen voornamelijk op technische oplossingen en minder op training en bewustwording. Dit wordt onderstreept door het feit dat er vaak maar één controle is met betrekking tot training en bewustwording. Zelfs wanneer training wel aandacht krijgt, leidt deze vaak niet direct tot veiliger gedrag.

Onderzoek identificeert vier stappen in de relatie tussen training en veilig gedrag:

  1. Training over informatiebeveiliging leidt tot een hoger
  2. (Informatie)beveiligingsbewustzijn, wat kan resulteren in veiliger
  3. Voorgenomen gedrag, dat uiteindelijk moet resulteren in
  4. Daadwerkelijk veilig gedrag.

Omdat training en communicatie (1) zich niet altijd goed vertalen naar daadwerkelijk gedrag (4), is er sprake van 'conversieverlies' bij elke stap.

Een proactieve beveiligingscultuur

Een mogelijke verklaring voor dit conversieverlies is dat organisaties vaak investeren in generieke informatiebeveiligingstrainingen. Dit leidt ertoe dat de ontvanger de informatie niet altijd begrijpt of dat deze niet relevant is, waardoor deze niet goed wordt geregistreerd. Het is daarom belangrijk om trainingen te personaliseren naar de behoeften van medewerkers. Deze aanpak, bekend als 'tailored training', kan de impact van training op daadwerkelijk veiliger gedrag sterk verbeteren. Ondersteund door onderzoek stellen wij dat training effectiever kan worden ingezet wanneer deze rekening houdt met de verschillende doelgroepen.

EY heeft de ‘EY Tailored Training Matrix’ ontwikkeld; een dynamisch model dat organisaties helpt trainingen effectiever in te zetten door medewerkers in te delen in vier profielen op basis van hun afdeling en autorisatieniveau. Deze dimensies leiden tot een indeling in één van de vier volgende profielen: ‘Basic’, ‘Moderate’, ‘Advanced’ en ‘Expert’.  Voor elk profiel is een beschrijving uitgewerkt van de benodigde inhoud, complexiteit, frequentie en wijze van verstrekken van training. Dit model kan niet alleen de informatiebeveiliging van overheidsinstellingen verbeteren, maar ook bijdragen aan compliance met standaarden zoals de BIO en de NIS2 Directive.

Samenvatting

De digitalisering, versneld door COVID-19, heeft geleid tot een toename van remote werken en kunstmatige intelligentie, maar ook tot stijgende risico's op cybercriminaliteit. Ransomware-aanvallen nemen explosief toe, met een verwachte frequentie van elke 2 seconden in 2031. Menselijk handelen is verantwoordelijk voor 50% tot 95% van cyberincidenten, wat de noodzaak van training en bewustwording benadrukt. Veel organisaties focussen echter op technische oplossingen in plaats van op training. EY’s ‘Tailored Training Matrix’ biedt een oplossing door trainingen te personaliseren, wat de effectiviteit en veiligheid binnen organisaties kan verbeteren.

Over dit artikel

Peter Kornelisse
Peter Kornelisse
EY Nederland Partner Technology Risk
Verbindend. Pragmatisch. Sterk inhoudelijk. Biedt graag een luisterend oor en reflecteert, Vindt werk belangrijk, maar een goede sfeer en de juiste mensen net zo.
Gerelateerde topics
Assurance
Cybersecurity
Technologie

Lees ook

Hoe multidisciplinair samenwerken aan Responsible AI vertrouwen creëert

Ontdek de inzichten van EY AI Talks over Responsible AI in organisaties.

Bernadette Wesdorp + 1

AI en fraude: kansen en risico’s in het digitale tijdperk

AI-kennisontwikkeling groeit; 'Focus op Fraude' webinar belicht preventie van AI gerelateerde fraude en kansen van AI voor organisaties.

Bernadette Wesdorp + 1

EU AI Act Roadmap: Wat betekent de AI-wet voor jouw organisatie?

Onze EU AI Act Roadmap helpt je verantwoord AI te implementeren door nu de juiste stappen te nemen.

Bernadette Wesdorp

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.