Wanneer phishing geen incident is, maar een bestuursvraag
Wanneer phishing geen incident is, maar een bestuursvraag
Wanneer phishing geen incident is, maar een bestuursvraag
Phishing en social engineering worden vaak behandeld als operationele dreigingen. Iets voor de ICT-afdeling. Iets dat met filters, waarschuwingen en trainingen beheersbaar zou moeten zijn.
Dat frame is te smal.
De dreiging is niet dat e-mails overtuigender worden of dat AI stemmen kan nabootsen. De dreiging is dat besluitvorming binnen organisaties onvoldoende bestuurlijk is ingericht om met manipulatie om te gaan.
Aanvallers richten zich niet op systemen. Zij richten zich op gedrag. En gedrag wordt pas beheersbaar wanneer het onderdeel is van bestuurbaarheid van informatievoorziening.
Het nieuwe speelveld: geloofwaardige manipulatie
Waar phishing vroeger herkenbaar was aan slechte taal of vreemde links, zijn die signalen grotendeels verdwenen. AI maakt berichten geloofwaardig, websites overtuigend en stemmen realistisch.
URL-spoofing en linkmanipulatie zijn daar voorbeelden van. Een website ziet eruit als een vertrouwde leverancier, een bank of een interne portal. De vorm klopt, de huisstijl klopt, zelfs het webadres lijkt op het origineel. Het verschil zit in één detail dat onder tijdsdruk niet wordt gezien.
Linkverkorters verbergen de bestemming van een klik. Wat eruitziet als een praktische snelkoppeling, kan in werkelijkheid een omleiding naar een kwaadaardige omgeving zijn.
AI-voice spoofing gaat nog verder. Een stem die klinkt als een directeur of een familielid, met een urgente vraag. De technologie is niet het gevaar op zich. Het gevaar is dat urgentie en autoriteit samenkomen zonder verificatiekader.
Deze technieken zijn effectief omdat zij aansluiten op normale bedrijfscommunicatie. Een verzoek om een betaling. Een vraag om een wachtwoordreset. Een dringende goedkeuring.
Het probleem is dus niet dat medewerkers dit niet herkennen. Het probleem ontstaat wanneer de organisatie vertrouwt op herkenning in plaats van op structuur.
Oorzaak en gevolg: waar bestuurlijke leegte ontstaat
Phishing wordt een serieus risico wanneer drie elementen ontbreken.
Ten eerste ontbreekt een vast verificatiemechanisme. Als een betaalverzoek of toegangsaanvraag onder tijdsdruk individueel mag worden afgehandeld, ontstaat interpretatieruimte. Interpretatieruimte is precies waar manipulatie op inspeelt.
Ten tweede ontbreekt ritme. Zonder vaste momenten waarop afwijkingen, bijna-incidenten en mislukte pogingen worden besproken, blijft elke aanval een losstaand voorval. Er wordt gereageerd, maar niet geleerd.
Ten derde ontbreekt KPI-sturing op besluitdiscipline. Organisaties meten technische prestaties, maar zelden gedragsindicatoren. Hoe vaak wordt een verzoek onafhankelijk bevestigd? Hoe vaak wordt een link eerst gecontroleerd? Hoe snel wordt een afwijking gemeld?
Zonder deze meetpunten blijft phishing een menselijk risico. Met deze meetpunten wordt het een bestuurbaar risico.
Het gevolg van het ontbreken van deze structuur is bestuurlijke afhankelijkheid van individuele alertheid. Dat is geen strategie; dat is hoop.
De bestuurlijke herdefinitie
Wie phishing serieus neemt, organiseert het niet als campagne maar als onderdeel van governance.
Regie betekent dat directie expliciet vastlegt welke handelingen nooit op basis van één kanaal worden uitgevoerd. Financiële transacties, wachtwoordresets en datadeling vallen onder vaste escalatieregels.
Ritme betekent dat incidenten en pogingen structureel worden besproken op directieniveau. Niet om schuldigen aan te wijzen, maar om patronen te herkennen.
KPI-sturing betekent dat verificatie en meldgedrag meetbaar worden gemaakt. Niet om medewerkers te controleren, maar om afwijkingen zichtbaar te maken voordat zij schade veroorzaken.
Leverancierssturing betekent dat externe partijen onder dezelfde regels vallen. Een verzoek namens een leverancier wordt nooit buiten het verificatiekader behandeld.
Herstelvermogen betekent dat duidelijk is hoe snel accounts worden geblokkeerd, hoe snel communicatie plaatsvindt en wie beslist bij twijfel. Geen improvisatie, maar vooraf vastgelegde stappen.
In dat kader wordt phishing geen technische dreiging, maar een toets op bestuurlijke volwassenheid.
De normatieve vraag
De centrale these is eenvoudig: phishing en social engineering slagen niet omdat technologie tekortschiet, maar omdat besluitvorming onder druk niet expliciet is georganiseerd.
De relevante bestuursvraag is daarom niet:
“Zijn onze medewerkers voldoende getraind?”
De vraag is:
Hebben wij onze besluitvorming zo ingericht dat manipulatie geen individuele inschatting meer is, maar een bestuurbare afwijking?
Phishing en social engineering worden vaak behandeld als operationele dreigingen. Iets voor de ICT-afdeling. Iets dat met filters, waarschuwingen en trainingen beheersbaar zou moeten zijn.
Dat frame is te smal.
De dreiging is niet dat e-mails overtuigender worden of dat AI stemmen kan nabootsen. De dreiging is dat besluitvorming binnen organisaties onvoldoende bestuurlijk is ingericht om met manipulatie om te gaan.
Aanvallers richten zich niet op systemen. Zij richten zich op gedrag. En gedrag wordt pas beheersbaar wanneer het onderdeel is van bestuurbaarheid van informatievoorziening.
Het nieuwe speelveld: geloofwaardige manipulatie
Waar phishing vroeger herkenbaar was aan slechte taal of vreemde links, zijn die signalen grotendeels verdwenen. AI maakt berichten geloofwaardig, websites overtuigend en stemmen realistisch.
URL-spoofing en linkmanipulatie zijn daar voorbeelden van. Een website ziet eruit als een vertrouwde leverancier, een bank of een interne portal. De vorm klopt, de huisstijl klopt, zelfs het webadres lijkt op het origineel. Het verschil zit in één detail dat onder tijdsdruk niet wordt gezien.
Linkverkorters verbergen de bestemming van een klik. Wat eruitziet als een praktische snelkoppeling, kan in werkelijkheid een omleiding naar een kwaadaardige omgeving zijn.
AI-voice spoofing gaat nog verder. Een stem die klinkt als een directeur of een familielid, met een urgente vraag. De technologie is niet het gevaar op zich. Het gevaar is dat urgentie en autoriteit samenkomen zonder verificatiekader.
Deze technieken zijn effectief omdat zij aansluiten op normale bedrijfscommunicatie. Een verzoek om een betaling. Een vraag om een wachtwoordreset. Een dringende goedkeuring.
Het probleem is dus niet dat medewerkers dit niet herkennen. Het probleem ontstaat wanneer de organisatie vertrouwt op herkenning in plaats van op structuur.
Oorzaak en gevolg: waar bestuurlijke leegte ontstaat
Phishing wordt een serieus risico wanneer drie elementen ontbreken.
Ten eerste ontbreekt een vast verificatiemechanisme. Als een betaalverzoek of toegangsaanvraag onder tijdsdruk individueel mag worden afgehandeld, ontstaat interpretatieruimte. Interpretatieruimte is precies waar manipulatie op inspeelt.
Ten tweede ontbreekt ritme. Zonder vaste momenten waarop afwijkingen, bijna-incidenten en mislukte pogingen worden besproken, blijft elke aanval een losstaand voorval. Er wordt gereageerd, maar niet geleerd.
Ten derde ontbreekt KPI-sturing op besluitdiscipline. Organisaties meten technische prestaties, maar zelden gedragsindicatoren. Hoe vaak wordt een verzoek onafhankelijk bevestigd? Hoe vaak wordt een link eerst gecontroleerd? Hoe snel wordt een afwijking gemeld?
Zonder deze meetpunten blijft phishing een menselijk risico. Met deze meetpunten wordt het een bestuurbaar risico.
Het gevolg van het ontbreken van deze structuur is bestuurlijke afhankelijkheid van individuele alertheid. Dat is geen strategie; dat is hoop.
De bestuurlijke herdefinitie
Wie phishing serieus neemt, organiseert het niet als campagne maar als onderdeel van governance.
Regie betekent dat directie expliciet vastlegt welke handelingen nooit op basis van één kanaal worden uitgevoerd. Financiële transacties, wachtwoordresets en datadeling vallen onder vaste escalatieregels.
Ritme betekent dat incidenten en pogingen structureel worden besproken op directieniveau. Niet om schuldigen aan te wijzen, maar om patronen te herkennen.
KPI-sturing betekent dat verificatie en meldgedrag meetbaar worden gemaakt. Niet om medewerkers te controleren, maar om afwijkingen zichtbaar te maken voordat zij schade veroorzaken.
Leverancierssturing betekent dat externe partijen onder dezelfde regels vallen. Een verzoek namens een leverancier wordt nooit buiten het verificatiekader behandeld.
Herstelvermogen betekent dat duidelijk is hoe snel accounts worden geblokkeerd, hoe snel communicatie plaatsvindt en wie beslist bij twijfel. Geen improvisatie, maar vooraf vastgelegde stappen.
In dat kader wordt phishing geen technische dreiging, maar een toets op bestuurlijke volwassenheid.
De normatieve vraag
De centrale these is eenvoudig: phishing en social engineering slagen niet omdat technologie tekortschiet, maar omdat besluitvorming onder druk niet expliciet is georganiseerd.
De relevante bestuursvraag is daarom niet:
“Zijn onze medewerkers voldoende getraind?”
De vraag is:
Hebben wij onze besluitvorming zo ingericht dat manipulatie geen individuele inschatting meer is, maar een bestuurbare afwijking?
Over de auteur
Rense Middelbos
Chief Executive Officer / Partner