Utrecht, 12 januari 2026 – Cyberincidenten waarbij medewerkers een rol spelen, zijn het afgelopen jaar met 90% toegenomen. 93% van de organisaties werd getroffen door aanvallen waarbij cybercriminelen misbruik maakten van menselijk gedrag, terwijl menselijke fouten en interne risico’s structureel blijven bijdragen aan datalekken en accountovernames. Dat blijkt uit nieuw wereldwijd
onderzoek van KnowBe4 onder 700 cybersecurity-leiders en 3.500 medewerkers.
Phishing en e-mail blijven belangrijkste aanvalsvector
E-mail blijft het primaire kanaal waarmee cybercriminelen medewerkers misleiden. 64% van de organisaties rapporteerde incidenten die via e-mail ontstonden, terwijl 57% een verdere stijging van e-mailgerelateerde aanvallen zag. Phishing fungeerde bovendien als toegangspoort tot accountovernames bij 59% van de getroffen organisaties.
Tegelijkertijd verschuift het dreigingslandschap naar meerdere communicatiekanalen. 39% van de organisaties rapporteerde succesvolle aanvallen via messagingplatforms zoals Microsoft Teams en Slack. Ook sociale media, toegankelijk via zakelijke apparaten, vormen een groeiend risico (36%), net als sms-gebaseerde phishing (smishing), dat 31% van de organisaties trof. Deze ontwikkeling leidt tot zogenoemde boundaryless phishing, waarbij medewerkers op vrijwel elk digitaal kanaal doelwit kunnen worden.
Interne dreigingen blijven grotendeels onopgemerkt
Naast externe aanvallen vormen ook interne dreigingen een substantieel en vaak onderschat risico. 36% van de cybersecurity-leiders gaf aan dat medewerkers het afgelopen jaar bewust beveiligingsincidenten veroorzaakten. In de meeste gevallen konden organisaties hier nauwelijks op ingrijpen: slechts 6% van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte.
Bij 43% van de incidenten ging het om het lekken of verkopen van data aan concurrenten, gevolgd door het online lekken van informatie (37%) en het meenemen van bedrijfsdata naar een nieuwe werkgever (35%).
Menselijke fouten blijven structurele factor
Naast kwaadwillend handelen blijven ook vergissingen een belangrijke oorzaak van incidenten. 90% van de organisaties kreeg het afgelopen jaar te maken met beveiligingsincidenten veroorzaakt door menselijke fouten, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en oversharing via samenwerkingsplatforms.
Onduidelijkheid over verantwoordelijkheid vergroot risico
Het onderzoek laat zien dat veel medewerkers cybersecurity niet als hun eigen verantwoordelijkheid beschouwen. Slechts 29% voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata, terwijl 53% vindt dat deze verantwoordelijkheid vooral bij IT- en securityteams ligt.
Opvallend is bovendien dat 47% denkt dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team. Deze kloof tussen beleid en perceptie vergroot de kans op risicovol gedrag en bemoeilijkt effectieve preventie.
Organisaties missen zicht en grip op menselijk risico
Slechts 16% van de organisaties beschikt over een goed ingericht Human Risk Management-programma en 71% heeft onvoldoende inzicht in individuele risicoprofielen van medewerkers. Het is dan ook niet verrassend dat vrijwel alle cybersecurity-leiders (97%) aangeven meer budget nodig te hebben om menselijke risico’s effectief te beheersen.
“Organisaties investeren veel in technologie, maar verliezen daarbij vaak de mens uit het oog,” zegt Javvad Malik, Lead CISO Advisor bij KnowBe4. “Zolang medewerkers dagelijks beslissingen nemen over data en systemen zonder real-time begeleiding, blijven zij het grootste aanvalsoppervlak. Human Risk Management helpt organisaties om menselijk gedrag beter te begrijpen en medewerkers actief te ondersteunen op het moment dat het ertoe doet.”
Over het onderzoek
Het rapport ‘
The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era’ is gebaseerd op onafhankelijk onderzoek van Arlington Research onder 700 cybersecurity-leiders en 3.500 medewerkers wereldwijd, verspreid over meerdere sectoren en landen.
Over KnowBe4
KnowBe4 stelt medewerkers in staat om elke dag slimmere beveiligingskeuzes te maken. Vertrouwd door meer dan 70.000 organisaties wereldwijd, helpt KnowBe4 bij het versterken van de beveiligingscultuur en het beheersen van menselijk risico. KnowBe4 biedt een uitgebreid AI-gedreven 'best-of-suite' platform voor Human Risk Management, dat een adaptieve verdedigingslaag creëert die het gedrag van gebruikers weerbaarder maakt tegen de nieuwste cybersecuritydreigingen. Het HRM+ platform bevat modules voor bewustwordings- en compliance-trainingen, cloud-e-mailbeveiliging, real-time coaching, crowdsourced anti-phishing, AI Defense Agents en meer. Als het enige wereldwijde beveiligingsplatform in zijn soort, maakt KnowBe4 gebruik van gepersonaliseerde en relevante content, tools en technieken voor cybersecuritybescherming om medewerkers te mobiliseren en hen te transformeren van het grootste aanvalsoppervlak tot het grootste beveiligingsvoordeel van een organisatie. Lees meer op
https://www.knowbe4.com/.
Volg KnowBe4 op
Linkedin en
X.
Voor meer informatie
KnowBe4
Ellie Williams
E-mail:
elliew@knowbe4.com
Whizpr
Nini Joostens / Paul Maris
E-mail:
knowbe4@whizpr.nl