Digitale rust, creatieve vrijheid
U heeft gefaald op onze phishing-test. U bent een veiligheidrisico.”
Zo begon een e-mail die een medewerker van een theater vorige maand kreeg. De reactie? Tranen, boosheid en een werksfeer die weken nodig had om te herstellen.
Dit is hoe je het NIET doet.
Bij VBVB zien we vaak dat standaard security-trainingen vaak averechts werken. In plaats van alerter worden mensen juist banger, onzekerder en soms zelfs rebels. “Dan doe ik helemaal niets meer met e-mail.”
Dat kan anders. Effectiever. Menselijker.
Waarom de meeste phishing-tests falen
Het klassieke scenario: HR verstuurt een nep-phishing mail, wacht wie er in trapt, en stuurt de ‘slachtoffers’ naar een training. Alsof je iemand moet straffen omdat ze vertrouwen hebben.
Het probleem: Je maakt veiligheid tot iets negatiefs. Mensen gaan e-mail zien als een mijnenveld in plaats van een werktool.
Het resultaat: Mensen durven geen enkele link meer aan te klikken, ook niet de nuttige.
Een betere aanpak: van straf naar samenwerking
Maak het een team-uitdaging
“We gaan een maand lang met z’n allen letten op verdachte e-mails. Wie er één ontdekt, krijgt een punt. Wie erin trapt, krijgt hulp en een tweede kans.”
Zo verander je van ‘jij tegen de test’ naar ‘wij tegen de criminelen’.
Gebruik échte voorbeelden uit jullie sector
Geen generieke “Je hebt een prijs gewonnen!” mailtjes. Gebruik voorbeelden die écht op jullie gericht zijn:
- Nepfacturen van bekende leveranciers
- ‘Dringende’ berichten van de gemeente over subsidies
- ‘Updates’ van jullie ticketsysteem
- Uitnodigingen voor ‘belangrijke’ cultuursector-evenementen
Focus op herkenning, niet op perfectie
“Het doel is niet om nooit meer fouten te maken. Het doel is om verdachte zaken te herkennen en extra na te denken voor je klikt.”
De drie gouden regels voor effectieve phishing-training
Regel 1: Maak het veilig om fouten te maken
“Als je twijfelt, vraag het. Liever tien keer onnodig vragen dan één keer de verkeerde link klikken.”
Regel 2: Beloon het goede gedrag
Iemand die een verdachte mail meldt? Publieke complimenten. Iemand die twijfelt en vraagt? Bedank ze.
Regel 3: Oefen met échte scenarios
Niet: “Klik hier voor je gratis iPhone”
Wel: “Uw factuur van [bekende leverancier] is bijgevoegd”
Signalen die iedereen kan leren herkennen
- De druk-opbouwer
“URGENT”, “BINNEN 24 UUR”, “LAATSTE KANS” – echte organisaties jagen je zelden zo op.
- De rare afzender
E-mail van je bank, maar het komt van gmail.com? Alarm.
- De te-mooie aanbieding
Gratis iPad voor het invullen van een enquête? Come on.
- De emotie-manipulator
“Je account wordt afgesloten!” – angst is het favoriete wapen van criminelen.
Het grootste geheim: maak het menselijk
Phishing werkt omdat criminelen onze menselijke eigenschappen misbruiken: behulpzaamheid, nieuwsgierigheid, vertrouwen.
Goede training erkent dit. “Het is normaal dat je wilt helpen als iemand dringend hulp nodig heeft. Dat maakt je een goed mens. En daarom proberen criminelen dit te misbruiken.”
Begin volgende week
Begin met één vraag in de teamvergadering: “Heeft iemand de laatste tijd een vreemde e-mail gehad?”
Je zult versteld staan hoeveel verhalen er komen. En hoeveel mensen al dingen hebben herkend en genegeerd.
Wil je een security-awareness structureel borgen binnen jouw culturele organisatie? Wij maken het praktisch, herkenbaar en positief en zorgen ervoor dat iedereen alert blijft.
