Utrecht, 18 december 2025 – Cyberincidenten waarbij medewerkers een rol spelen, zijn het afgelopen jaar met 90% toegenomen. 93% van de organisaties werd getroffen door aanvallen waarbij cybercriminelen misbruik maakten van menselijk gedrag, terwijl menselijke fouten en interne risico’s structureel blijven bijdragen aan datalekken en accountovernames. Dat blijkt uit nieuw wereldwijd onderzoek van KnowBe4 onder 700 cybersecurity-leiders en 3.500 medewerkers.
Phishing en e-mail blijven belangrijkste aanvalsvector
E-mail blijft het primaire kanaal waarmee cybercriminelen medewerkers misleiden. 64% van de organisaties rapporteerde incidenten die via e-mail ontstonden, terwijl 57% een verdere stijging van e-mailgerelateerde aanvallen zag. Phishing fungeerde bovendien als toegangspoort tot accountovernames bij 59% van de getroffen organisaties.
Tegelijkertijd verschuift het dreigingslandschap naar meerdere communicatiekanalen. 39% van de organisaties rapporteerde succesvolle aanvallen via messagingplatforms zoals Microsoft Teams en Slack. Ook sociale media, toegankelijk via zakelijke apparaten, vormen een groeiend risico (36%), net als sms-gebaseerde phishing (smishing), dat 31% van de organisaties trof. Deze ontwikkeling leidt tot zogenoemde boundaryless phishing, waarbij medewerkers op vrijwel elk digitaal kanaal doelwit kunnen worden.
Interne dreigingen blijven grotendeels onopgemerkt
Naast externe aanvallen vormen ook interne dreigingen een substantieel en vaak onderschat risico. 36% van de cybersecurity-leiders gaf aan dat medewerkers het afgelopen jaar bewust beveiligingsincidenten veroorzaakten. In de meeste gevallen konden organisaties hier nauwelijks op ingrijpen: slechts 6% van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte.
Bij 43% van de incidenten ging het om het lekken of verkopen van data aan concurrenten, gevolgd door het online lekken van informatie (37%) en het meenemen van bedrijfsdata naar een nieuwe werkgever (35%).
Menselijke fouten blijven structurele factor
Naast kwaadwillend handelen blijven ook vergissingen een belangrijke oorzaak van incidenten. 90% van de organisaties kreeg het afgelopen jaar te maken met beveiligingsincidenten veroorzaakt door menselijke fouten, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en oversharing via samenwerkingsplatforms.
Onduidelijkheid over verantwoordelijkheid vergroot risico
Het onderzoek laat zien dat veel medewerkers cybersecurity niet als hun eigen verantwoordelijkheid beschouwen. Slechts 29% voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata, terwijl 53% vindt dat deze verantwoordelijkheid vooral bij IT- en securityteams ligt.
Opvallend is bovendien dat 47% denkt dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team. Deze kloof tussen beleid en perceptie vergroot de kans op risicovol gedrag en bemoeilijkt effectieve preventie.
Organisaties missen zicht en grip op menselijk risico
Slechts 16% van de organisaties beschikt over een goed ingericht Human Risk Management-programma en 71% heeft onvoldoende inzicht in individuele risicoprofielen van medewerkers. Het is dan ook niet verrassend dat vrijwel alle cybersecurity-leiders (97%) aangeven meer budget nodig te hebben om menselijke risico’s effectief te beheersen.
“Hoewel investeren in technologie belangrijk is, mag dit niet ten koste gaan van het menselijke aspect”, zegt Javvad Malik, Lead CISO Advisor bij KnowBe4. “Zolang medewerkers dagelijks beslissingen nemen over data en systemen zonder real-time begeleiding, blijven zij het grootste aanvalsoppervlak. Human Risk Management helpt organisaties om menselijk gedrag beter te begrijpen en medewerkers actief te ondersteunen op het moment dat het ertoe doet.”
Over het onderzoek
Het rapport ‘The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era’ is gebaseerd op onafhankelijk onderzoek van Arlington Research onder 700 cybersecurity-leiders en 3.500 medewerkers wereldwijd, verspreid over meerdere sectoren en landen.
Meer lezen
