Onderzoek Fortinet: security bewustzijn groeit door AI-dreigingen, maar cyberweerbaarheid blijft achter

Fortinet heeft zijn 2025 Security Awareness and Training Global Research Report gepu­bli­ceerd. Hierin wordt beschreven hoe AI het bedrei­gings­land­schap verandert en waarom de cyber­weer­baar­heid van het personeel nog altijd te wensen overlaat.

Het 2025 Security Awareness and Training Global Research Report van Fortinet is gebaseerd op input van 1.850 senior besluit­vor­mers op IT- en security-gebied in alle delen van de wereld, waaronder Nederland. Het rapport geeft aan dat er duidelijk sprake is van verbe­te­ring op het gebied van security awareness en laat tege­lij­ker­tijd zien op welke punten orga­ni­sa­ties vatbaar blijven voor cyberbedreigingen.

AI vergroot de security bewustwording, maar cyberweerbaarheid blijft achter

Het gebruik van AI door cyber­cri­mi­nelen heeft de manier waarop werk­ne­mers en managers naar bevei­li­ging kijken veranderd. Bijna negen op de tien orga­ni­sa­ties geven aan dat deze ontwik­ke­ling het bewust­zijn over het belang van security awareness-training heeft vergroot. Meer bewust­zijn betekent echter niet auto­ma­tisch meer cyber­weer­baar­heid. Slechts ongeveer 40% van de senior besluit­vor­mers vindt dat werk­ne­mers voldoende voor­be­reid zijn om AI-geba­seerde cyber­drei­gingen te herkennen, te vermijden en te melden.

Om dit probleem aan te pakken, trainen veel orga­ni­sa­ties hun personeel in het veilig gebruik van gene­ra­tieve AI-tools (GenAI). De helft (50%) geeft werk­ne­mers training over het juiste gebruik van GenAI-tools en 51% heeft tools om het delen van gevoelige infor­matie met GenAI-tools te controleren/​blokkeren. Daarnaast beperken ze de uitwis­se­ling van gevoelige data en voeren ze formeel beleid in voor de bevei­li­ging van AI-toepas­singen. Bijna alle orga­ni­sa­ties hebben inmiddels een bevei­li­gings­be­leid voor AI en Large Language Models (LLM’s) ontwik­keld of zijn hiermee bezig. Toch bestaat er nog steeds een kloof tussen beleid en de daad­wer­ke­lijke uitvoering.

Externe dreigingen blijven belangrijk, maar insiderrisico’s groeien

Externe cyber­drei­gingen, eerdere data­lekken en bevei­li­gings­in­ci­denten binnen de sector blijven de belang­rijkste redenen voor orga­ni­sa­ties om te inves­teren in security awareness-training. Meer dan 40% van de respon­denten noemt dit als belang­rijkste motivatie.

Tege­lij­ker­tijd groeit de aandacht voor interne risico’s. Ruim een kwart van de orga­ni­sa­ties ziet insiderrisico’s inmiddels als reden om trai­ningen te orga­ni­seren. Dit is een duide­lijke stijging ten opzichte van vorig jaar. Op de vraag “wilt u strengere cyber­be­vei­li­gings­be­leids­re­gels toepassen op gebrui­kers die risicovol gedrag vertonen, onjuist omgaan met gevoelige gegevens of slecht presteren in phishing-simu­la­tie­cam­pagnes”, zegt 91% van de onder­vraagden dan ook volmondig ja.

Door de toename van insiderrisico’s veran­deren ook de trai­nings­pri­o­ri­teiten. Data­be­vei­li­ging en privacy blijven belang­rijke thema’s, maar training over AI-tools en AI-drei­gingen krijgt steeds meer aandacht. Dit laat zien dat orga­ni­sa­ties steeds beter de relatie begrijpen tussen cyberrisico’s en de kennis van werk­ne­mers. Training wordt daardoor minder gezien als een verplichte compli­ance-acti­vi­teit en meer als een middel om risico’s daad­wer­ke­lijk te verminderen.

Security awareness-training vermindert beveiligingsincidenten

Een belang­rijke conclusie uit het rapport is dat security awareness-training daad­wer­ke­lijk effect heeft. Ongeveer 67% van de orga­ni­sa­ties meldt een gemid­delde tot sterke afname van indrin­gers, bevei­li­gings­in­ci­denten en data­lekken nadat zij trai­ningen hebben ingevoerd.

Ook de manier waarop orga­ni­sa­ties succes meten wordt profes­si­o­neler. De meest gebruikte indi­ca­toren zijn:

• een afname van beveiligingsincidenten
• feedback van werknemers
• resul­taten van security audits

Veel orga­ni­sa­ties combi­neren fysieke en online trai­ningen met simu­la­ties, evalu­a­ties en voort­du­rende herhaling. In plaats van eenmalige trai­ningen kiezen ze steeds vaker voor door­lo­pende programma’s die gericht zijn op gedrags­ver­an­de­ring en het vermin­deren van cyberrisico’s.

Focus op afronden en herhaling van trainingen

Ondanks verbe­te­ringen in training en meet­me­thoden hebben veel orga­ni­sa­ties nog moeite met de uitvoe­ring. Slechts een klein deel van de werk­ne­mers rondt de trai­ningen volledig af. Daarnaast geeft bijna 70% van de managers aan dat het bewust­zijn onder werk­ne­mers nog steeds onvol­doende is.

Dit verklaart gedeel­te­lijk de kloof tussen inves­te­ringen en resul­taten. Wanneer trai­ningen niet volledig worden afgerond of niet regel­matig worden herhaald, verliezen ze hun effect. Zeker omdat cyber­drei­gingen continu veranderen.

Volgens het rapport proberen orga­ni­sa­ties dit te verbe­teren door:

• kortere en frequen­tere trainingen
• duide­lijke verant­woor­de­lijk­heden voor deelname
• training die beter aansluit op actuele cyberdreigingen
• duide­lijke steun vanuit het management

Daarnaast wordt micro­trai­ning, oftewel korte, regel­ma­tige leer­mo­menten met actuele cybe­r­uit­da­gingen, steeds belang­rijker om snel te kunnen inspelen op nieuwe AI-ontwikkelingen.

Security awareness wordt steeds meer onderdeel van de organisatiecultuur

Steeds meer besluit­vor­mers zien security awareness tegen­woordig als een geza­men­lijke verant­woor­de­lijk­heid van alle mede­wer­kers, en niet alleen van de IT- of secu­ri­ty­af­de­ling. Veel orga­ni­sa­ties staan daarom open voor beleid dat risicovol gedrag actief aanpakt, vooral wanneer dit gecom­bi­neerd wordt met training die de achter­lig­gende redenen duidelijk maakt.

Dit is een belang­rijke ontwik­ke­ling. Effec­tieve security awareness-training draait niet alleen om het behalen van een test of het volgen van een cursus. Het doel is om werk­ne­mers te onder­steunen bij dage­lijkse beslis­singen, veilig gedrag te stimu­leren en cyberrisico’s op de werkvloer struc­tu­reel te verminderen.