Mensen en organisaties hebben een merkwaardige gewoonte. Ze behandelen security alsof het een jaarlijkse tandartscontrole is. Eén keer per jaar even iets laten checken, een rapportje ontvangen, opgelucht ademhalen en vervolgens weer twaalf maanden doorgaan met precies hetzelfde gedrag dat het probleem veroorzaakte. Bij technische beveiliging zien we dat al jaren met pentesten. Bij menselijke beveiliging gebeurt precies hetzelfde met phishingcampagnes.
En eerlijk gezegd is het bijna komisch.
Een organisatie stuurt één keer per jaar een nep-phishingmail naar medewerkers. Een paar mensen klikken. Er volgt een presentatie met grafieken. Misschien krijgt iemand een verpale training van twintig minuten. Daarna verklaart men het onderwerp “afgerond”. Security-afdeling tevreden, management tevreden, audit tevreden.
De aanvaller? Die lacht zich kapot.
Phishing is namelijk geen eenmalig probleem. Het is een gedragsprobleem. En gedrag verander je niet met een jaarlijkse oefening. Gedrag verander je met herhaling, feedback en context.
Vergelijk het met autorijden. Niemand verwacht dat iemand veilig leert rijden door één keer per jaar een rijles te nemen. Je leert het door continu ervaring op te doen. Door fouten te maken. Door feedback te krijgen. Door situaties te herkennen.
Security awareness werkt precies zo.
De meeste phishingcampagnes in organisaties zijn eigenlijk vooral compliance-oefeningen. Ze bestaan omdat auditors ernaar vragen. Niet omdat iemand serieus gelooft dat één campagne per jaar medewerkers weerbaar maakt tegen de dagelijkse stroom aan slimme phishingaanvallen.
Het resultaat is voorspelbaar.
Medewerkers herkennen het patroon. Ze krijgen een nep-mail van “IT” met een verdachte link. Ze denken even na, klikken niet, en de organisatie concludeert dat de awareness goed werkt. Alleen lijkt de echte wereld totaal niet op die testmail. Echte aanvallen zijn persoonlijker, subtieler en vaak perfect getimed. Denk aan een bericht van een leverancier, een Teams-melding van een collega of een gedeeld document van een projectpartner.
De menselijke factor wordt vaak als het zwakste punt van security gezien. Dat klinkt logisch, maar het is ook een beetje lui. Mensen zijn namelijk niet per definitie zwak. Ze zijn gewoon niet getraind.
En trainen doe je niet één keer per jaar.
Een effectieve phishingstrategie lijkt veel meer op een leerproces dan op een test. In plaats van één grote campagne draait het om kleine, regelmatige prikkels. Medewerkers krijgen af en toe een realistische phishingmail. Soms eenvoudig, soms geraffineerder. Wanneer iemand klikt, volgt direct feedback. Niet als straf, maar als leermoment.
Dat verschil is cruciaal.
Wanneer een medewerker pas maanden later hoort dat hij ergens op heeft geklikt, leert hij er niets van. Wanneer de feedback direct komt, ontstaat er een herkenningsmoment. “Ah, dát signaal had ik moeten zien.”
Na een paar van die momenten begint gedrag te veranderen.
Het interessante is dat organisaties die dit structureel doen vaak hetzelfde patroon zien. In het begin klikken veel mensen. Daarna ontstaat er iets anders: medewerkers gaan melden. Ze sturen verdachte mails door naar securityteams. Ze bespreken het met collega’s. Security wordt onderdeel van het dagelijkse werk in plaats van een jaarlijkse verplichting.
En dat is precies waar het om draait.
Phishing is uiteindelijk een sociaal probleem, geen technisch probleem. Aanvallers misbruiken vertrouwen, tijdsdruk en routine. Ze spelen in op het feit dat mensen snel werken en elkaar willen helpen. Dat los je niet op met een firewall of een spamfilter alleen.
Je hebt een organisatie nodig die alert is.
Daarom zijn dynamische phishingplatforms veel effectiever dan statische campagnes. Ze passen zich aan, variëren scenario’s en volgen gedrag over langere tijd. Medewerkers worden niet alleen getest, maar ook getraind. Het systeem herkent waar risico’s zitten en kan gerichte oefeningen sturen naar teams of afdelingen die extra aandacht nodig hebben.
Het effect daarvan is verrassend groot.
Niet omdat medewerkers plotseling securityexperts worden. Maar omdat ze patronen leren herkennen. Ze krijgen een soort digitale intuïtie. Net zoals je bij autorijden instinctief remt wanneer iets niet klopt.
Veel organisaties investeren enorme bedragen in technische beveiliging. Nieuwe tools, nieuwe monitoringplatforms, nieuwe AI-detectiesystemen. Allemaal nuttig. Maar tegelijkertijd blijft de menselijke laag vaak hangen in een jaarlijkse PowerPoint en een phishingmail van de “IT-afdeling”.
Dat is een vreemde disbalans.
Want als aanvallers ergens succes mee hebben, is het meestal niet een geavanceerde zero-day. Het is een overtuigende e-mail.
De ironie is dat phishingtraining een van de weinige securitymaatregelen is die daadwerkelijk gedrag kan veranderen. Mits het goed wordt ingezet. Niet als audit-checklist, maar als continu leerproces.
De vergelijking met pentesten is daarom treffend. Een jaarlijkse pentest is zelden genoeg om een dynamisch IT-landschap veilig te houden. Nieuwe systemen, nieuwe integraties en nieuwe kwetsbaarheden verschijnen continu. Security moet meebewegen.
Met phishing werkt het net zo.
De aanvalstechnieken veranderen voortdurend. Denk aan AI-gegenereerde mails, perfect nagebootste schrijfstijlen of deepfake-voiceberichten. In zo’n landschap is een jaarlijkse campagne ongeveer net zo effectief als een brandalarm dat je maar één keer per jaar test.
Het geeft een prettig gevoel. Maar het zegt weinig over hoe je reageert wanneer het echt misgaat.
Organisaties die phishing serieus nemen, zien het daarom niet als een testmoment maar als een cultuurprogramma. Medewerkers leren verdachte signalen herkennen. Ze weten waar ze mails kunnen melden. En ze ervaren dat security geen strafmechanisme is maar een gedeelde verantwoordelijkheid.
Op dat moment verandert de rol van medewerkers.
Ze zijn niet langer het “zwakste punt”, maar een extra detectielaag in de organisatie.
En die laag is verrassend krachtig. Want waar technologie soms mist, ziet een mens vaak meteen dat iets niet klopt. Een vreemde toon, een ongebruikelijke timing, een verzoek dat nét buiten de normale workflow valt.
Dat soort intuïtie ontstaat alleen door ervaring.
Dus de vraag is niet of phishingcampagnes nuttig zijn. De vraag is hoe serieus je ze neemt.
Als het doel is om een vinkje te zetten voor compliance, dan volstaat één campagne per jaar. Iedereen tevreden, probleem zogenaamd opgelost.
Maar als het doel is om daadwerkelijk weerbaarheid op te bouwen, dan begint het werk pas na die eerste campagne.
Dan wordt phishingtraining een continu proces. Een dynamische tool die medewerkers regelmatig test, feedback geeft en ze stap voor stap alerter maakt.
Niet spectaculair. Niet sexy. Maar wel een van de weinige securitymaatregelen die echt iets verandert.
En dat is uiteindelijk waar security over zou moeten gaan.