Phishing simulatie: zo test u het veiligheidsbewustzijn van uw medewerkers
De menselijke factor is uw grootste risico
U kunt de beste firewalls, endpoint detection en zero trust architectuur hebben — maar als één medewerker op een phishing-link klikt, kan een aanvaller binnen zijn.
Dat is geen theoretisch risico:
- 95% van succesvolle cyberaanvallen begint met een phishing-mail (bron: IBM X-Force)
- 1 op de 3 medewerkers klikt op een phishing-link in een eerste test
- Phishing is de #1 initiële toegangsvector bij ransomware-aanvallen in Nederland
De vraag is niet óf uw medewerkers op een phishing-mail zouden klikken. De vraag is hoeveel.
Wat is een phishing simulatie?
Een phishing simulatie (ook wel phishing assessment genoemd) is een gecontroleerde test waarbij wij realistische phishing-mails versturen naar uw medewerkers — zonder dat zij dit weten.
Het doel is niet om medewerkers te betrappen. Het doel is om te meten hoe uw organisatie reageert, en waar de verbeterpunten liggen.
Hoe werkt een phishing assessment bij EHGI?
Stap 1: Scenario-ontwikkeling
Wij ontwerpen phishing-scenario’s die relevant zijn voor uw organisatie:
- Spear phishing — Gerichte mails die lijken te komen van een collega, leverancier of klant
- CEO-fraude — Mails die lijken te komen van het management
- Credential harvesting — Nep-inlogpagina’s die lijken op Microsoft 365, VPN, of interne tools
- Payload delivery — Bijlagen met (onschadelijke) macro’s of links
Wij gebruiken geen generieke templates. Elk scenario wordt op maat gemaakt voor uw branche en organisatie.
Stap 2: Uitvoering
De phishing-mails worden verstuurd over een vooraf afgesproken periode. Wij meten:
- Open rate — Hoeveel medewerkers openen de mail?
- Click rate — Hoeveel klikken op de link?
- Submit rate — Hoeveel vullen daadwerkelijk gegevens in op de nep-pagina?
- Report rate — Hoeveel melden de mail bij IT of de security-afdeling?
Stap 3: Rapportage
U ontvangt een rapport met:
- Totale resultaten (anoniem of per afdeling, uw keuze)
- Vergelijking met branche-benchmarks
- Analyse van welke scenario’s het meest effectief waren
- Concrete aanbevelingen voor security awareness verbetering
Stap 4: Bespreking
Wij presenteren de resultaten en bespreken:
- Waar liggen de grootste risico’s?
- Welke afdelingen scoren het best/slechtst?
- Welke vervolgstappen zijn het meest effectief?
Wat kunt u verwachten bij een eerste test?
Bij een eerste phishing simulatie zien wij doorgaans:
| Metric | Gemiddeld (eerste test) | Doel (na training) |
|---|---|---|
| Open rate | 60-80% | 40-50% |
| Click rate | 20-35% | <5% |
| Submit rate | 10-20% | <2% |
| Report rate | 5-10% | >50% |
De report rate is de belangrijkste metric. U wilt dat medewerkers verdachte mails melden, niet negeren.
Veelgestelde vragen
“Is dit niet gemeen tegenover onze medewerkers?”
Nee. Een phishing simulatie is een leermoment, geen strafmaatregel. Wij adviseren altijd om de resultaten positief te framen: “Dit is hoe wij onszelf verbeteren” — niet: “Dit is wie er fout zat.”
“Hoe vaak moeten wij testen?”
Wij adviseren minimaal 2x per jaar. Eén meting is een snapshot. Regelmatig testen laat zien of uw security awareness programma daadwerkelijk effect heeft.
“Moeten wij medewerkers informeren?”
Het management en HR moeten op de hoogte zijn. De medewerkers zelf niet — dat zou de test ongeldig maken. Na afloop kunt u de resultaten wel delen als leermoment.
“Wat als de resultaten slecht zijn?”
Dan weet u tenminste waar u staat. Slechte resultaten bij een interne test zijn oneindig beter dan slechte resultaten bij een echte aanval. Gebruik de uitkomsten als startpunt voor verbetering.
De kosten van niets doen
Een succesvolle phishing-aanval kan leiden tot:
- Ransomware — Gemiddelde schade: €270.000 voor een Nederlands bedrijf
- Business Email Compromise — Frauduleuze betalingen van tienduizenden euro’s
- Datalekken — Meldplicht bij de AP, reputatieschade, mogelijke boetes
- Productiviteitsverlies — Weken van herstelwerkzaamheden
Een phishing assessment kost een fractie hiervan en laat zien waar uw organisatie kwetsbaar is.
Conclusie
Uw medewerkers zijn uw eerste verdedigingslinie — of uw zwakste schakel. Een phishing simulatie laat zien welke van de twee het is, en geeft u de inzichten om het te verbeteren.
Wilt u weten hoe uw organisatie scoort? Plan een vrijblijvend gesprek. Wij bespreken welk scenario het meest relevant is voor uw situatie.
Wilt u weten hoe kwetsbaar uw organisatie is?
Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart.