test
Language

Waarom je investering in toegangscontrole niets waard is als medewerkers op phishinglinks klikken

phishing awareness scaled

Dit artikel is bedoeld voor security managers, facility managers en IT-/OT-beslissers in Europese ondernemingen die investeren in fysieke beveiliging en willen begrijpen 
waarom die investering afhankelijk is van bescherming van de menselijke laag. 

Belangrijkste inzichten

  • Phishing was in 2025 goed voor 60% van de Europese cyberintrusievectors (ENISA) 
  • Identiteitsgerichte aanvallen namen in de eerste helft van 2025 met 32% toe (Microsoft) 
  • Phishing awareness toevoegen aan bestaande fysieke beveiliging kost doorgaans €4,8–€9,8 per medewerker per jaar 
  • Geconvergeerde beveiliging betekent dat fysieke, digitale en menselijke risico’s worden behandeld als één verbonden aanvalsvlak 

Elke deur is beveiligd, maar toch worden aanvallers binnengelaten 

In ons artikel over NIS2-auditvereisten legden we uit waarom jaarlijkse security awareness training niet langer voldoende is. Dit artikel gaat nog een stap verder: ook fysieke beveiliging alleen is niet meer genoeg.

In heel Europa investeren organisaties fors in fysieke beveiliging: toegangscontrole, videobewaking, bezoekersbeheer, perimeterbeveiliging en badgebeleid. De uitdaging is dat het dreigingslandschap is veranderd.

Aanvallers proberen vandaag vaak niet meer met geweld door de fysieke perimeter heen te komen. Ze richten zich op de mensen en digitale identiteiten die ermee werken.

De Europese data zijn duidelijk. In het Threat Landscape 2025 analyseerde ENISA 4.875 incidenten in de Europese cyberdreigingsomgeving en stelde vast dat phishing de dominante intrusievector was, goed voor 60% van de gevallen. De meest voorkomende ingang was een persoon die werd misleid om te klikken, te antwoorden, iets goed te keuren of informatie prijs te geven die niet gedeeld had mogen worden.

Veel organisaties behandelen fysieke beveiliging en cyberrisico nog altijd als twee aparte gesprekken: het ene over gebouwen, bedrijfsmiddelen en mensen op locatie; het andere over e-mails, wachtwoorden en malware. Tien jaar geleden was die scheiding logisch. Nu niet meer.

Hetzelfde bedrijf dat ingangen beschermt met badgelezers en bezoekers monitort via verbonden systemen, opereert steeds vaker in een cloudverbonden omgeving. In 2025 gebruikte 52,74% van de EU-ondernemingen betaalde cloudcomputingdiensten; bij grote ondernemingen liep dat aandeel op tot 84,67%. Tegelijkertijd gebruikte 52% van de EU-burgers elektronische identificatie om toegang te krijgen tot online diensten.

In zo’n verbonden omgeving is één phishingmail zelden nog alleen een e-mailprobleem.

Fysieke beveiliging en de menselijke laag

Toegangscontrole, videobewakingssystemen en bezoekersbeheer blijven essentieel. Ze beschermen de fysieke laag: wie komt binnen, waar gaat iemand naartoe, wat doet die persoon en hoe kunnen incidenten achteraf worden gereconstrueerd? Investeringen in fysieke beveiliging vormen de basis, en organisaties doen er goed aan die te maken.

Maar die investeringen werken alleen zoals bedoeld als de mensen eromheen niet worden gemanipuleerd om ze te omzeilen.

Een phishingaanval hoeft alleen de identiteit, het beoordelingsvermogen of de workflow van een vertrouwd persoon te compromitteren. Zodra dat gebeurt, kunnen aanvallers toegang krijgen tot bedrijfsaccounts, onderhoudscommunicatie, bezoekersgegevens, interne plattegronden, dienstroosters, leveranciersdata of inloggegevens en rechten.

De dreiging is niet langer hypothetisch:

  • Microsoft (2025): Identiteitsgerichte aanvallen namen in de eerste helft van het jaar met 32% toe. Meer dan 97% van de identiteitsaanvallen was gericht op wachtwoorden. Microsofts conclusie was duidelijk: aanvallers breken steeds minder vaak in. Ze loggen in.
  • IBM (2024): Een toename van 84% in phishingmails die info stealers afleveren, laat zien hoe diefstal van inloggegevens wordt opgeschaald en geïndustrialiseerd.
  • Bedrijfsimpact: De cyberaanvallen op Marks & Spencer en Co-op in 2025 werden samen geschat op kosten tussen £270 miljoen en £440 miljoen.

Het National Institute of Standards and Technology (NIST) heeft aangegeven dat elektronische fysieke toegangscontrolesystemen moeten worden behandeld als combinaties van informatietechnologiecomponenten en fysieke beveiligingselementen, niet als geïsoleerde hardware.

Een frontliniekwestie voor productiebedrijven

Het risico van geconvergeerde beveiliging is vooral groot voor productieorganisaties.

ENISA’s Threat Landscape 2025 identificeerde de maakindustrie als de sector die in vijf EU-lidstaten het meest consistent werd aangevallen. IBM’s X-Force Threat Intelligence Index 2025 vond dat manufacturing in zijn incidentdata de meest aangevallen sector was, goed voor 40% van alle gevallen.

In productie raakt cyberrisico aan productiecontinuïteit, leverancierscoördinatie, onderhoud, veiligheid, logistiek, intellectueel eigendom en uptime. Volgens Verizon’s Data Breach Investigations Report 2025 vertegenwoordigen de drie belangrijkste inbraakpatronen in manufacturing – system intrusion, social engineering en eenvoudige webapplicatieaanvallen – samen 85% van de datalekken. Misbruik van inloggegevens is goed voor 22% en phishing voor 16% van de bekende initiële toegangsvectors. Ongeveer 88% van de datalekken binnen het patroon webapplicatieaanvallen betrof gestolen inloggegevens.

Een productiebedrijf kan fors investeren in de bescherming van locaties, magazijnen, beperkte zones en toegang voor contractors, en toch kwetsbaar blijven doordat één medewerker op een valse factuur, een nepupdate van een leverancier of een valse wachtwoordreset klikt. Die ene klik kan leverancierscoördinatie, onderhoudsprocessen, remote support en productiecontinuïteit verstoren lang voordat iemand het als een facility-issue ziet.

Wat geconvergeerde beveiliging in de praktijk betekent

Geconvergeerde beveiliging wordt soms omschreven als nauwere samenwerking tussen fysieke beveiligingsteams en cybersecurityteams. Dat hoort erbij. De belangrijkere verschuiving is dat je één aanval als één aanval behandelt, ook wanneer die op verschillende plekken zichtbaar wordt.

In een verbonden faciliteit kunnen een phishingmail, een helpdesk-wachtwoordreset, een toegangsaanvraag van een contractor en een ongebruikelijke remote sessie verschillende fases van hetzelfde incident zijn. Een geconvergeerde beveiligingsstrategie begint met de erkenning dat de fysieke laag, de digitale laag en de menselijke laag met elkaar verbonden zijn.

Een verdachte toegangsaanvraag, een gespoofte leveranciersmail, een frauduleuze bezoekersvoorregistratie, een gecompromitteerde contractor-mailbox, een badge-entry buiten normale patronen, een wachtwoordreset onder druk en een remote support-sessie vanuit een betrouwbaar ogende identiteit kunnen allemaal onderdeel zijn van dezelfde intrusiepoging.

De OECD stelde vast dat 21,8% van de Europese bedrijven internetverbonden apparaten gebruikt voor gebouwbeveiliging, en dat 75% van de bedrijven die verbonden apparaten gebruiken, ze daarvoor inzet. De Scattered Spider-waarschuwing van 2025 laat de logica van aanvallers zien: manipuleer de helpdesk, misbruik een vertrouwde relatie, verkrijg geldige inloggegevens en beweeg verder via legitieme accounts. Gescheiden teams missen die keten volledig.

In de praktijk ziet geconvergeerde beveiliging eruit als drie dingen:

Samenwerking tussen teams

Facility- en cyberteams behandelen phishingmeldingen, misbruik van inloggegevens, verdachte toegangsaanvragen en contractorworkflows als gekoppelde signalen, niet als losse incidenten.

Rolgebaseerde awareness training

Generieke jaarlijkse training is niet genoeg. Een studie uit 2025 onder 93 HR- en accountingmedewerkers in negen organisaties liet zien dat slechts 27% vond dat de huidige training afdelingsspecifieke risico’s behandelde. HR-teams krijgen te maken met kwaadaardige sollicitaties en directie-imitatie; accountingteams met factuurfraude en ransomware. Medewerkers gaven de voorkeur aan kwartaaltrainingen met scenario’s, en die voorkeur weerspiegelt hun werkelijke risicoblootstelling.

Meetbare risicoreductie

Een longitudinale studie uit 2025 met meer dan 1.300 medewerkers en ruim 13.000 phishingsimulaties liet zien dat onveilige acties binnen zes maanden daalden van 8,5% naar 4,2%. Medewerkers die faalden en direct vervolgtraining kregen, hadden 70% minder kans om hetzelfde onveilige gedrag te herhalen. Awareness moet worden beheerd zoals elke andere beveiligingsmaatregel, met bewijs dat het risico daadwerkelijk afneemt.

De kosten van het toevoegen van de menselijke laag

Wat kost het om van alleen fysieke beveiliging naar fysieke beveiliging plus anti-phishing awareness te gaan?

Openbaar vermelde prijzen voor 2025 tot 2026 op de Digital Marketplace van de Britse overheid tonen security awareness- en phishingsimulatiediensten van ongeveer €4,8 tot €9,8 per medewerker per jaar op standaardniveau, met geavanceerdere pakketten tot circa €28,50.

Voor een organisatie met 1.000 medewerkers betekent dat doorgaans jaarlijkse kosten tussen €4.800 en €9.800 om een continue menselijke beschermingslaag toe te voegen.

Vergeleken met de kosten van toegangscontrole-infrastructuur, videobewaking, monitoring en onderhoud is dit geen nieuw infrastructuurproject. Het is een relatief bescheiden operationele uitgave die helpt de identiteiten, workflows en beslissingen te beschermen waarvan je bestaande beveiligingsinvestering al afhankelijk is.

Security awareness is de logische voltooiing van je investering in fysieke beveiliging

Veel organisaties behandelen security awareness als een IT-nevenproject in plaats van als de logische voltooiing van hun bestaande beveiligingsinvestering. Die framing staat op zijn kop.

Als je al investeert in het controleren van toegang tot ruimtes, het monitoren van bewegingen, het beschermen van assets en het vastleggen wie wat wanneer deed, heb je al een kernprincipe van beveiliging geaccepteerd: vertrouwen moet worden beheerd.

Security awareness past datzelfde principe toe op menselijk gedrag. Het helpt medewerkers phishing, social engineering, impersonatie, kwaadaardige links, valse urgentie, credential traps en misbruik van workflows te herkennen voordat die dreigingen leiden tot ongeautoriseerde toegang.

Precies daar past Prime Security Awareness in. Het is de menselijke controlelaag die fysieke systemen niet zelfstandig kunnen bieden. Het is geen extra cybertool. Het is de ontbrekende laag die ervoor zorgt dat investeringen in fysieke beveiliging werken zoals bedoeld.

Waar het op neerkomt

Moderne organisaties verliezen niet alleen de controle wanneer iemand door de poort komt. Ze verliezen de controle wanneer een vertrouwd persoon, een geldige identiteit en een verbonden systeem achtereenvolgens worden gemanipuleerd.

Fysieke beveiliging beschermt de locatie. Menselijk bewustzijn beschermt de beslissingen die de locatie veilig houden. Organisaties die beide verbinden, halen meer waarde uit elke lezer, camera, toegangsregel en contractorworkflow die ze al beheren.

Voor relatief beperkte terugkerende kosten kan de menselijke laag een veel grotere investering in fysieke beveiliging beschermen.

Ontdek hoe Prime Security Awareness je geconvergeerde beveiliging compleet maakt.

Vaak gestelde vragen

Waarom is phishing een fysiek beveiligingsprobleem?

Phishingaanvallen richten zich op de mensen die fysieke beveiligingssystemen bedienen. Een succesvolle phishingpoging kan aanvallers toegang geven tot inloggegevens, onderhoudsworkflows, bezoekersrecords en contractorcommunicatie, waardoor toegangscontroles effectief worden omzeild zonder ooit een deur aan te raken.

Hoe hangt NIS2 samen met security awareness?

NIS2 verplicht organisaties in kritieke sectoren om passende technische en organisatorische maatregelen te implementeren, waaronder bewustwordingstraining voor medewerkers. Jaarlijkse generieke training wordt niet langer als voldoende compliance gezien. Rolgebaseerde, meetbare en regelmatige awarenessprogramma’s worden steeds vaker verwacht.

Welke sectoren lopen het meeste risico op fysieke beveiligingsincidenten mogelijk gemaakt door phishing?

Volgens ENISA’s Threat Landscape 2025 en IBM’s X-Force Threat Intelligence Index 2025 is manufacturing de meest consistent aangevallen sector in Europese dreigingsdata. Toch loopt elke organisatie die verbonden fysieke beveiligingssystemen combineert met cloudgebaseerd identiteitsbeheer een geconvergeerd risico.

Andere artikelen

phishing awareness
| Nieuws

Van fysieke beveiliging naar cyberbewustzijn

Meer lezen
Herbert Henninger Featured
| Nieuws

Focus op Oostenrijk: Primion versterkt haar aanwezigheid op de Oostenrijkse markt

Meer lezen
AdobeStock 511614744 2
| Nieuws

Tijdsregistratieplicht 2027: wat Belgische werkgevers nu moeten regelen

Meer lezen
P1063540
| Nieuws

Vijf inzichten uit de ASIS Europe 2026 Keynote van Francis Cepero

Meer lezen
lynn Qn7dUULTZhs unsplash
| Nieuws

Uw jaarlijkse training haalt NIS2 niet, dit verwachten auditors écht! 

Meer lezen
AdobeStock 1228365472
| Nieuws

Mensen presteren het best wanneer systemen vóór hen werken, niet tegen hen

Meer lezen
1 2 3