Bedrijven steeds vaker gephisht
De ene keer is het een onschuldig appje van de dochter die je niet wist dat je had met een nieuw telefoonnummer — de andere keer is het een doordachte cyberaanval, waarna miljoenen klantgegevens op straat belanden. Feit is dat Nederlandse bedrijven steeds vaker gephisht worden.
In vergelijking met een jaar eerder zijn er in 2023 op weekbasis bijna tien keer zoveel pogingen tot phishing bij Nederlandse mkb-bedrijven, zo stelt een KPN-cybersecuritymonitor. ‘Phishing kent vele vormen’, vertelt Jelle Wieringa. ‘Mails, appjes, video’s: de aanvallen komen eigenlijk toch wel. Het is voor veel bedrijven én individuen vaak helaas een kwestie van tijd tot je daadwerkelijk slachtoffer wordt van een succesvolle cyberaanval.’
‘Cybersecurity is een basisvoorwaarde’
Om aanvallen te voorkomen is het organiseren van de juiste cybersecurity een basisvoorwaarde om een bedrijf succesvol te laten zijn, zegt Wieringa. ‘Een auto zonder remmen werkt ook niet’, lacht hij. ‘Je móet weerwoord kunnen bieden. Of dat nu een ransomware-aanval is, of een doordachte spionagepoging. Wij richten ons op de mensfactor in cybersecurity. We helpen bedrijven om zich te beschermen tegen social engineering-aanvallen, waaronder ransomware en misinformatie, door werknemers te leren over ransomware, AI én het herkennen van aanvallen. Zo beschermen we de mens in de organisatie.’
Toch lijkt ondernemend Nederland zich niet altijd bewust te zijn van de gevaren. ‘We kunnen heel hard roepen hoe groot de kans is dat je als ondernemer uiteindelijk een cyberaanval meemaakt. Maar hoe je het ook wendt of keert: het is geen onderwerp waar gebruikers zich graag mee bezighouden’, zegt Wieringa. ‘Zoals niemand fan is van een brandoefening in de winter blijft cybersecurity een onderwerp dat de meeste mensen meestal niet uit vrije keus kiezen.’
Lees ook: De 7 stappen om je medewerkers bewust te maken van cybersecurity
Make cybersecurity fun again
Dus, hoe krijg je jouw werknemers mee in een onderwerp dat essentieel is voor de toekomst van het bedrijf, maar níet geniet van een positieve perceptie? Het antwoord, volgens Wieringa: een gepersonaliseerde, doordachte e-learning. Eén die gebruikmaakt van een mate van relevantie.
‘Alles dat mensen over cybersecurity leren móet relevant zijn voor zowel hun professionele rol als hun persoonlijke leven. Ik kan je 100 euro geven om een training te volgen, maar dat zorgt niet ineens voor blijvende motivatie. Wij proberen mensen intrinsiek te motiveren, met iets dat relevant aanvoelt voor jouw levenssituatie.’
Het tweede ingrediënt: de juiste humor. ‘Door de inhoud áltijd lokaal aan te passen en rekening te houden met regionale én culturele verschillen, zorgen we ervoor dat de training beter aansluit bij het gedachtegoed van de doelgroep.’
Vrijheid in het leerproces is het laatste cruciale element. ‘Het laatste dat we willen, is dat medewerkers zich gedwongen voelen om te leren op een manier die ze niet aanspreekt. Daarom geven we ze de vrijheid om zelf te bepalen wanneer, waar en hoe ze de training volgen. Dit omvat een realistisch tijdspad, de flexibiliteit om de training op verschillende locaties te volgen — én een breed aanbod aan leermethoden.’
Leerervaringen persoonlijker maken
Dat brengt ons op het volgende onderwerp, los van de relevantie, humor én de flexibiliteit: hoe dan? ‘E-learning is niet meer dan een doorgetrokken vorm van wat personeelszaken al héél lang deed: het trainen van mensen’, zegt Wieringa. ‘Nu is de technologie zó toegankelijk geworden dat je met geavanceerde technologieën zoals Artificial Intelligence (AI), Virtual Reality (VR), Augmented Reality (AR) én Extended Reality (XR) de leerervaringen binnen een digitale omgeving persoonlijker én immersiever kunt maken.’
‘E-learning heeft ontzettend veel profijt van de opkomst van AI’, zegt Wieringa. ‘Het maakt het leren namelijk nóg persoonlijker. Op basis van data kunnen we analyseren wat een werknemer nu precies drijft. Wat maakt joú nu zo’n goede leerling? Leer je gemakkelijker door een instructievideo of moet je even ondergedompeld worden in een verhaalscenario binnen een game? Als je die leerdata hebt verzameld, kun je een gepersonaliseerd programma opstellen.’
Spieken bij games
En daarin blijken games steeds populairder. ‘Gamification is een effectieve strategie om vooruitgang zichtbaar te maken en zelfmotivatie te stimuleren’, zegt Wieringa. ‘Door het leerproces te gamificeren, kunnen we medewerkers een duidelijk beeld geven van hun vorderingen én hen belonen voor hun inzet. Het uiteindelijke doel is om intrinsieke motivatie te kweken, waardoor medewerkers uit eigen beweging en interesse deelnemen aan de training. Dit is wellicht de grootste uitdaging. Maar wanneer succesvol, leidt het tot duurzame betrokkenheid en voortdurende persoonlijke ontwikkeling.’
Wieringa spiekt daarom regelmatig bij de gamingindustrie. ‘Gaming is dé standaard bij alle jongeren. Als een technologie daar een doorbraak maakt, kun je het gemakkelijk doortrekken naar de manier waarop werknemers bijvoorbeeld een e-learning over wachtwoordveiligheid afronden. We moeten uiteindelijk empathisch zijn voor het gebruik én de situatie van de gebruiker, want gamification is voor ons geen doel, maar een middel. We zoeken naar de beste manieren om de informatie op een zo prettige mogelijke manier over te brengen.’
Microlearning: informatie in blokjes opdelen
Die informatie kan het beste opgedeeld worden in blokjes, ziet Wieringa. ‘Microlearning is een benadering die diep geworteld is in de psychologie van de mens. Met een complex onderwerp als cybersecurity is het gemakkelijk voor mensen om overweldigd te raken door complexe thema’s. Dat kan ertoe leiden dat ze de kern van de boodschap uit het oog verliezen. Dit is precies waar de kracht van nudging en microlearning tot zijn recht komt. Door informatie in kleine, behapbare stukjes aan te bieden en subtiele duwtjes in de juiste richting te geven, zorgen we ervoor dat de essentie van de boodschap overkomt zonder dat het te veel wordt.’
Lees ook: Wachtwoorden houden cybercriminelen buiten de deur (maar laat het daar niet bij)
‘A fool with a tool is still a fool’
Toch dienen alle verschillende tools die KnowBe4 produceert niet als de enige sleutel in het leerproces, zegt Wieringa. ‘Je moet het als organisatie ook uitdragen. De meeste organisaties snappen dat mensen waardevol zijn en dat ze met de juiste training nóg waardevoller kunnen zijn. Je zult dus je mensen moeten trainen op gebied van cybersecurity, ook gezien de schaarste aan ICT’ers op de arbeidsmarkt. Maar zorg dan in ieder geval dat dat gebeurt op een manier die bij hen past, want a fool with a tool is still a fool.’