Jonneke Duin
Geüpdatet: 14 augustus 2025
Cyberveiligheid vereist constante alertheid, zeker bij ondernemers, boekhouders en accountants. Als bedrijf werk je met vertrouwelijke klantgegevens die aantrekkelijk zijn voor cybercriminelen. En die criminelen worden steeds slimmer. Arda helpt bedrijven hun digitale weerbaarheid vergroten met security-awareness-trainingen. CTO Henri Koppen legt uit waarom juist de mens daarbij het verschil maakt.
Als co-founder is Koppen bij Arda Online verantwoordelijk voor technologie én visie. Het bedrijf leert mensen bewuster omgaan met online veiligheid. “De dreiging neemt toe,” zegt hij. “Criminelen verdienen hier dagelijks geld aan en dit soort criminaliteit is voor de politie moeilijk op te lossen. De pakkans is miniem, zeker doordat de criminelen vaak in het buitenland zitten. Voorkomen is echt beter dan genezen. Want wie denkt dat IT-beveiliging duur is… een incident is ongelooflijk veel duurder. Zelfs als de schade beperkt blijft, zijn de kosten voor onderzoek en herstel enorm.”
Mensen kunnen veel voorkomen door kritisch te zijn, verdachte zaken te melden en veilig online te handelen. Koppen: “Gelukkig zijn we in Nederland voorlopers op het gebied van het voorkomen van cybercriminaliteit. Er is veel aandacht voor en dus ook een groeiend bewustzijn. We onderscheiden drie pijlers in cybersecurity: techniek, afspraken, en daar tussenin de mens.”
Pijler 1: techniek
“De technische maatregelen, dat zijn veilige IT-systemen, virusscanners, firewalls, authenticator-apps en spamfilters. Die voorkomen veel, maar zijn nooit volledig afdoende, al is het maar omdat cybercriminelen steeds weer nieuwe manieren vinden om ons te misleiden. De gebruiker moet dus alert blijven.”
Pijler 2: afspraken
Onderlinge afspraken vormen de tweede pijler. “Door te bepalen wie toegang heeft tot gevoelige informatie, beperk je het gevaar. Ook afspraken over veilige wachtwoorden en het afdwingen van tweestapsverificatie zorgen voor meer online veiligheid.”
De mens in het midden
“Het is een beetje zoals op de bouw,” licht Koppen toe. “Iedereen draagt een veiligheidshelm. Vindt iemand dat die niet lekker zit, dan is dat jammer, maar dan mag je de bouwplaats niet op. Zo moeten we ook omgaan met digitale veiligheid en daar komt dus de mens als derde pijler in het vizier. Die is niet, zoals vaak gedacht, de zwakste schakel in het verhaal, maar misschien juist wel de sterkste. De mens is de last line of defense - de laatste verdedigingslinie - en kan een groot verschil maken.”
"De mens is niet de zwakste schakel in het verhaal, maar misschien wel de sterkste"
Bewust omgaan met gevaar
“Als afspraken niet sterk genoeg waren, of techniek faalt, hoop je dat mensen alert zijn. Dat een medewerker een vreemde aanspreekt die door het pand loopt, of een phishingmail meldt, zodat collega’s gewaarschuwd kunnen worden. Medewerkers zijn een asset, mits ze weten hoe ze moeten handelen en bedreigingen herkennen. Net als bij die helm op de bouwplaats is cyberveiligheid cruciaal. Dat begint bij awareness: het besef dat bedreigingen altijd aanwezig zijn.”
Menselijke fouten als ingang
"De meeste hackers komen binnen via phishing,” verduidelijkt Koppen. “Cybercriminelen gebruiken social engineering om medewerkers te verleiden tot onveilige handelingen. Ook via kwetsbaarheden in software van leveranciers – een supply chain attack – kunnen ze systemen binnendringen. Maar meestal worden medewerkers simpelweg misleid, zodat ze onveilige documenten downloaden of inloggegevens invullen op een nep-site.”
Een voorbeeld: Booking.com
Een recent voorbeeld is wat er gebeurde bij Booking.com. Criminelen kregen toegang tot hotelaccounts en stuurden nepbetalingsverzoeken via de app. Booking.com stelde daarop tweestapsverificatie verplicht, maar ook dat bleek geen garantie. Oplichters proberen klanten nu om te leiden naar externe betaalmethoden. Dat onderstreept het belang van bewustzijn én weten welke actie nodig is bij een bedreiging.
Training als fundament
“Training wordt steeds vaker verplicht,” zegt Koppen, “zeker voor grote organisaties die zich moeten houden aan de Europese NIS2-richtlijn. Bij kleinere bedrijven hoor je nog vaak ‘maar ik heb het al zo druk’. Dan worden wachtwoorden hergebruikt of tweestapsverificatie niet ingesteld omdat het ‘gedoe’ is. Of men denkt: ‘veiligheid, dat regelt mijn leverancier wel’. Maar eigen beleid is gewoon heel belangrijk.”
"De dreiging neemt toe en de pakkans is miniem. Dan is het heel belangrijk om aanvallen zelf te voorkomen."
Motiveren om te leren
“Mensen hebben vaak geen zin of tijd om een e-learning te doen voor hun werk,” stelt Koppen. “Daarin maken wij een verschil. We werken met storytelling, herkenbare verhalen en echte mensen. Daarnaast zetten we gamificatie in: gebruikers verdienen punten en dat maakt het leuker om het programma te volgen.”
Zelf aan de slag met awareness
SnelStart gebruikt deze e-learnings van Arda Online. Voor kleinere bedrijven is dat misschien niet altijd haalbaar. Wat dan? “Blijf op de hoogte en leer zelf. Neem een abonnement op nieuwsbrieven en volg het laatste nieuws,” zegt Koppen. “Security.nl en RTL Nieuws bieden bijvoorbeeld goede informatie. En daarnaast: altijd tweestapsverificatie aanzetten, ook voor medewerkers, en zorgen dat mensen melding doen van een ‘rare mail’. Alleen al door zulke simpele stappen voorkom je 99% van de phishingaanvallen en wordt elke medewerker een sterke verdediging tegen cybercrime.”
Dit artikel werd eerder gepubliceerd in ons magazine Aangenaam. Je leest het magazine hier.
