Security awareness training heeft sinds het begon als een compliance checklist een lange weg afgelegd. Tegenwoordig evolueert het naar wat ‘human risk management’ wordt genoemd. KnowBe4 integreert gedragswetenschap, realtime coaching en artificial intelligence in zijn HRM-platform.
Deze stappen weerspiegelen een groeiend besef in de cybersecuritywereld: technologie alleen is niet voldoende. Medewerkers blijven het belangrijkste doelwit van cyberaanvallen, dus het veranderen van hun gedrag is essentieel om de risico’s voor organisaties te verminderen. Martin Kraemer, Security Awareness Advocate bij KnowBe4, verwoordt het in gesprek met Techzine als volgt: “Wij waren een van de eerste trainingsaanbieders die zich op gedrag richtten. Het gaat niet alleen om bewustwording, maar ook om actie.”
Van compliance naar human risk management
De transformatie begint met een fundamentele heroverweging van wat securitytraining moet opleveren. Traditionele programma’s waren ontworpen om te voldoen aan compliance-eisen als PCI DSS, HIPAA en ISO-normen. Ze bestonden vaak uit één jaarlijkse trainingssessie en een follow-upquiz. “Als je je medewerkers één keer per jaar traint, is dat net zo goed als helemaal geen training”, zegt Kraemer.
Deze verouderde aanpak gaat voorbij aan een consensus uit de gedragspsychologie: mensen vergeten. De vergeetcurve van Ebbinghaus geeft aan dat de meeste mensen binnen 48 uur ongeveer 70 procent van de nieuw geleerde informatie weer vergeten. Erger nog, er bestaat een hardnekkige kloof tussen wat mensen weten en hoe ze onder druk handelen. “Het feit dat iemand begrijpt dat het riskant is om op verdachte links te klikken, betekent niet dat hij dat niet zal doen als hij gestrest of afgeleid is”, legt Kraemer uit.
Dat inzicht heeft KnowBe4 ertoe aangezet om zich te ontwikkelen tot wat steeds vaker een “human risk management”-platform wordt genoemd. Kort gezegd is het een systeem dat niet alleen traint, maar ook actief helpt risico’s te verminderen door gedrag in de loop van de tijd te beïnvloeden.
Een van de meest impactvolle ontwikkelingen in deze verschuiving is de realtime coachingmogelijkheid van KnowBe4. In plaats van generieke trainingen op gezette tijden te geven, gebruikt het platform gebeurtenissen en incidenten uit de securitystack van een organisatie om trainingen te geven wanneer er door een derde partij risicovolle acties worden gedetecteerd. Of het nu gaat om het klikken op een verdachte link, het uploaden van een bestand naar een ongeautoriseerd platform of het bezoeken van een gemarkeerde website, het systeem geeft precies op het juiste moment contextuele begeleiding.
Kraemer legt uit dat KnowBe4 persoonlijk aangepaste en relevante coaching biedt op basis van live gedrag. Deze just-in-time training is mogelijk door de koppeling met beveiligingssystemen van derden die organisaties al hebben geïmplementeerd, bijvoorbeeld om onbedoeld delen van data, malware-aanvallen of het bezoeken van onveilige websites te voorkomen. Dankzij deze integraties kan KnowBe4 reageren op risicovol gedrag en contextuele feedback geven, waardoor de kans kleiner wordt dat kleine fouten uitgroeien tot grote incidenten.
Door de integratiemogelijkheden met de bredere cybersecurity-stack uit te breiden, kan het platform nu worden gesynchroniseerd met endpoint-detectietools. Deze connectiviteit maakt een dynamische feedbackloop mogelijk. Wanneer een medewerker een technische waarschuwing activeert, bijvoorbeeld door per ongeluk gevoelige informatie te delen met een extern e-mailadres, reageert het systeem door het risicoprofiel aan te passen en gerichte coaching te geven. Door menselijk gedrag te koppelen aan realtime technische gebeurtenissen, wil KnowBe4 een uitgebreid beeld van het cyberrisico creëren, legt Kraemer uit. De nauwe integratie helpt securityteams om prioriteiten te stellen en het aantal waarschuwingen te verminderen. Ook verschuift de focus van herstel naar preventie, waardoor risicovol gedrag wordt aangepakt voordat het escaleert tot breaches.
Medewerkers ontmoeten waar ze zijn
Human risk management erkent ook dat niet alle medewerkers hetzelfde zijn. “Je kunt een financieel directeur niet op dezelfde manier behandelen als een magazijnmedewerker als het gaat om cybersecuritytraining”, legt Kraemer uit. Mensen hebben verschillende rollen, verantwoordelijkheden en blootstellingsniveaus. Een uniforme aanpak werkt gewoon niet.
In een illustratief voorbeeld faalde een magazijnmedewerker herhaaldelijk voor phishing-simulaties, ondanks meerdere trainingsrondes. De oplossing was niet meer training. Het was het volledig uitschakelen van links in e-mails voor die medewerker, wiens functie niet vereiste dat hij erop klikte. Het is een perfect voorbeeld van het combineren van mensen, processen en technologie om praktische securityuitdagingen op te lossen.
Effectief human risk management maakt dit soort flexibiliteit mogelijk. Trainingscampagnes kunnen worden aangepast aan de functie, de afdeling of zelfs aan eerdere simulatieresultaten. Het gaat erom de juiste inhoud op het juiste moment aan de juiste persoon te leveren.
Om trainingen verder te personaliseren en de naleving van het beleid te verbeteren, maakt KnowBe4 gebruik van AI-gestuurde mogelijkheden. Een innovatie is het gebruik van AI-agents om op maat gemaakte phishing-simulaties te genereren. Deze simulaties passen zich aan de sector, de functie en de geografische regio aan om realistischere en relevantere trainingsoefeningen te creëren.
Kraemer wijst erop dat er veel meer toepassingen zijn voor AI in human risk management. “Betekent het klikken op ‘Ik heb gelezen en begrepen’ onder een beleidsdocument dat de werknemer het ook echt begrijpt? Waarschijnlijk niet.” Om dit aan te pakken, bevat het platform nu automatische quizzen op basis van geüploade beleidsdocumenten. De AI leest het document, haalt de belangrijkste concepten eruit en formuleert vragen die het daadwerkelijke begrip testen, niet alleen de kennis ervan.
Meten wat telt
Traditioneel werd het succes van security awareness-programma’s gemeten aan de hand van oppervlakkige statistieken. Er werd gekeken hoeveel mensen de training hadden voltooid en wat hun quizscores waren. De aanpak van KnowBe4 op het gebied van human risk management richt zich op resultaten die ertoe doen, legt Kraemer uit. Meestal gaat het om gedragsverandering en risicobeperking. Gedragsstatistieken zijn onder meer het aantal klikken op phishing-simulaties, de tijd die nodig is om verdachte activiteiten te melden en de naleving van securityprotocollen. “Het doel is niet om een vakje aan te vinken, maar om in de loop van de tijd meetbare verbeteringen in het securitygedrag te zien”, zegt Kraemer.
Deze datagestuurde inzichten ondersteunen de optimalisatie van programma’s op de lange termijn. Door de resultaten continu te analyseren, kunnen organisaties de trainingsinhoud verfijnen, de risicoscores aanpassen en afdelingen of functies identificeren die mogelijk extra ondersteuning nodig hebben.
Een AI-gestuurde aanpak
Met meer dan 15 jaar aan data, waaronder miljarden resultaten van phishing-simulaties, is KnowBe4 in staat om geïndividualiseerde leertrajecten op te zetten. Deze ervaring wordt gebruikt om een reeks AI-agents uit te brengen die het trainingsplatform verbeteren. “We beschikken over een enorme hoeveelheid historische gegevens, waardoor we, in combinatie met onze kennis van jouw organisatie, de ervaring kunnen personaliseren”, zegt Kraemer.
Het platform kan worden geïntegreerd met Active Directory om de rollen en verantwoordelijkheden van medewerkers in kaart te brengen, waardoor dynamische content in 37 talen kan worden aangeboden in meer dan 1500 trainingsmodules. De AI bepaalt ook het optimale moment voor levering om de retentie en betrokkenheid te maximaliseren.
Een andere toevoeging aan het KnowBe4-platform is KnowBe4 Defend, dat aan het platform is toegevoegd met de overname van Egress. Het systeem is gebaseerd op natural language processing om gedragspatronen en communicatierelaties te analyseren en geavanceerde pogingen tot social engineering te detecteren. Kraemer motiveert de overname door eerst uit te leggen dat traditionele e-mailfilters vertrouwen op statische regels of bekende signatures. KnowBe4 Defend daarentegen beoordeelt hoe gebruikers doorgaans communiceren en signaleert afwijkingen die kunnen duiden op een poging tot bedrijfsmailcompromittering of leveranciersfraude. Hierdoor kunnen ernstigere soorten aanvallen worden gedetecteerd, zoals business email compromise (BEC) of aanvallen op de toeleveringsketen.
Deze functie is met name waardevol tegen polymorfe bedreigingen, waarbij aanvallers generatieve AI gebruiken om voortdurend veranderende phishingberichten te creëren. Omdat het systeem leert van gedragsreferenties, is het beter uitgerust om deze dynamische aanvallen op te sporen.
Kader voor human risk management
Het platform van KnowBe4 is nu meer dan alleen een trainingsprogramma; het is een compleet systeem voor menselijk risicobeheer. Het houdt risicoscores bij voor individuele gebruikers en hele organisaties op basis van zeven domeinen en meer dan 100 indicatoren. Deze scores bieden een kwantitatief beeld van de blootstelling aan menselijke risico’s en vormen een leidraad voor herstelmaatregelen.
Organisaties kunnen ook gebruikmaken van ingebouwde tools voor governance en volwassenheidsbeoordeling om hun huidige situatie te evalueren en toekomstige verbeteringen te plannen. “Zonder een omgeving te creëren die veilig gedrag bevordert, zul je niet slagen”, zegt Kraemer. Het herinnert ons eraan dat cultuur, en niet alleen tools, bepalend is voor de effectiviteit van securityinitiatieven. De holistische aanpak van het platform omvat opleiding, simulatie, compliance en realtime ondersteuning, allemaal ontworpen om blijvende gedragsverandering te stimuleren.
De urgentie achter deze evolutie is duidelijk, merkt Kraemer op. Volgens het laatste Verizon Data Breach Investigations Report is menselijk falen een factor die bijdraagt aan ongeveer 68 procent van de succesvolle datalekken. Social engineering blijft de belangrijkste tactiek bij deze incidenten, waarbij werknemers vaak het primaire doelwit zijn. Een human risk management-platform kan helpen te beschermen tegen deze prominente dreiging.
Lees ook: Fraude met deepfakes: hoe kan een organisatie zich beschermen?