Traditionele phishingtraining heeft geen impact – dat zeggen we al jaren. Nu bewijst de wetenschap het

Een grootschalige praktijkstudie van UC San Diego en de University of Chicago volgde meer dan 19.000 medewerkers gedurende acht maanden. De resultaten, die ook gepresenteerd zijn op de Black Hat 2025-conferentie (slides – 5 minuten leestijd), zijn onmiskenbaar, en bevestigen eerdere bevindingen van onderzoekers van ETH Zürich: phishingsimulaties en ingebedde trainingen – zoals ze nu meestal worden toegepast – hebben geen meetbaar effect.

We schreven er al over in 2021 – in onze blog Het geheim om niet gephisht te worden? Vertrouw niet alleen op phishingsimulatieswaarschuwden we dat klassieke phishingsimulaties nauwelijks gedragsverandering teweegbrengen, en dat je een holistische aanpak nodig hebt om écht impact te maken. Bedrijven die vasthouden aan traditionele simulatietrainingen, kampen nog altijd met hardnekkige risicogroepen in hun bedrijf: repeat offenders, mensen die gevoelige data ingeven, nieuwe medewerkers en first-time clickers. Het gevolg: een gemiddelde click-through rate van 10%, ongeacht het aantal simulaties dat je runt.

Wat nodig is, is een holistische aanpak – een die verder gaat dan het mislukte “leermoment” van ingebedde training. Uit de studie blijkt dat de meeste medewerkers binnen tien seconden zulke pop-ups in hun inbox gewoonweg sluiten. Ze willen hun werk niet onderbreken voor een lesje over cybersecurity. Dat is ook de reden waarom Phished medewerkers niet middenin hun taak onderbreekt. In plaats daarvan bieden we gestructureerde, risicogebaseerde leersessies die écht aanspreken en kennis beter laten beklijven.

We versterken positief gedrag via onze Behavioral Risk Score™ (BRS). Die laat medewerkers en teams op een duidelijke manier hun vooruitgang volgen en successen vieren. Daarnaast verhogen we de algemene weerbaarheid via cyber hygiene practices. Dat is cruciaal, want zo’n 50% van de persoonlijke en professionele apps & devices is nog altijd niet goed beveiligd.

Omdat cyberdreigingen voortdurend evolueren, zorgt onze Cyber Newsroom ervoor dat medewerkers op de hoogte blijven van de laatste ontwikkelingen – inclusief duidelijke, praktische tips en tricks.

Zo’n 95% van de bedrijven vertrouwt op de spamfilters van Microsoft 365 of Google Workspace, vaak met een extra beveiligingslaag erbovenop. Maar deze systemen zijn oorspronkelijk gebouwd om marketingmails of spam te blokkeren – niet om gerichte, AI-gedreven phishingaanvallen tegen te houden. En zelfs met training mag je niet verwachten dat medewerkers kunnen compenseren wat de technologie mist.

Daarom is het essentieel om holistische, risicogebaseerde training te combineren met échte zero-incident e-mailbescherming, zodat menselijke fouten geen aanleiding geven tot datalekken.

Zero-trust e-mail security vertrekt van een simpel principe: vertrouw niets zonder controle. Elke e-mail, link of bijlage moet geverifieerd worden vooraleer die in de inbox terechtkomt en geopend wordt. Dat gebeurt aan de hand van domein-authenticatie (SPF, DKIM, DMARC), verplichte encryptie, realtime contentanalyse en sterke identiteitschecks (zoals MFA).

Uiteindelijk is zo’n filter allesbehalve betrouwbaar. Klassieke zero-trust werkt simpelweg niet tegen de hedendaagse, hyperrealistische phishingaanvallen die medewerkers op dagdagelijkse basis belagen. Dat is ook de reden waarom ze in awareness getraind worden – maar de cijfers liegen niet: training alleen voorkomt geen incidenten.

Precies daarom ontwikkelde Phished Zero Incident Mail™ (ZIM): een robuuste zero-trust laag die risicovolle klikken meteen neutraliseert. Zelfs als een medewerker op een malafide link opent, bereikt de dreiging nooit je infrastructuur. Daarmee sluiten we perfect aan bij een van de hoofdadviezen van het onderzoek: combineer training met echte bescherming.

Kortom: we doen nu al wat de wetenschap vandaag bevestigt: geef mensen niet de schuld – bescherm en begeleid ze. Maak van menselijke fouten een veilig, positief leermoment in plaats van een bron van schaamte. 

Jo Vandebergh 
CEO, Phished