Phishing Risk Score: Meet de Phishing-weerbaarheid van je Organisatie
Meer dan 90% van alle geslaagde cyberaanvallen begint met een phishing-e-mail. Technische maatregelen alleen zijn niet genoeg: de menselijke factor bepaalt uiteindelijk of een aanval slaagt. Onze Phishing Risk Score tool meet beide kanten van je verdediging en geeft een realistisch beeld van hoe weerbaar je organisatie werkelijk is tegen phishing, spear phishing, smishing, vishing en Business Email Compromise.
Wat is de Phishing Risk Score tool?
De Phishing Risk Score is een online assessment dat de phishing-weerbaarheid van je organisatie meet op twee niveaus: technische bescherming en menselijke weerbaarheid. De tool analyseert welke technische maatregelen je hebt ingericht (e-mailfiltering, SPF/DKIM/DMARC, MFA) en hoe goed je medewerkers getraind zijn om phishing te herkennen en te melden.
Het resultaat is een risicoscore van 0 tot 100, opgesplitst in een technische en menselijke component. Een organisatie met sterke technische filters maar ongetrainde medewerkers scoort fundamenteel anders dan een organisatie met basale techniek maar een uitstekende security-awareness-cultuur. Door beide factoren te combineren, geeft de tool een realistisch totaalbeeld.
Phishing is niet alleen de meest voorkomende aanvalsvector, het is ook de aanvalsvector die het snelst evolueert. Aanvallers zetten steeds geavanceerdere technieken in, van AI-gegenereerde spear phishing tot deepfake voice phishing. Alleen organisaties die zowel hun technische verdediging als hun menselijke firewall continu versterken, zijn op de lange termijn weerbaar.
Methodologie en bronnen
De Phishing Risk Score is gebaseerd op toonaangevende industriedata en frameworks:
- KnowBe4 Phishing Industry Benchmarks -- het grootste wereldwijde onderzoek naar phishing-klikratio's, met data van miljoenen gesimuleerde phishing-e-mails over honderden sectoren. Deze benchmarks leveren de sectorgemiddelden waartegen je organisatie wordt afgezet.
- Proofpoint State of the Phish -- jaarlijks onderzoek naar phishing-trends, aanvalstechnieken en de effectiviteit van awareness-programma's. Biedt inzicht in welke typen phishing het meest succesvol zijn per sector.
- NIST 800-61 -- het Computer Security Incident Handling Guide van het National Institute of Standards and Technology, dat het framework levert voor incident response en meldprocedures.
De tool combineert deze bronnen tot een scoringsmodel dat technische bescherming en de menselijke factor weegt. Technische maatregelen vormen de eerste verdedigingslinie: ze filteren het overgrote deel van de phishing-pogingen voordat medewerkers ze zien. Maar geen filter is 100% effectief. De phishing-e-mails die door de technische filters komen, zijn juist de meest geraffineerde en gevaarlijke. Op dat moment is de menselijke factor beslissend.
Hoe werkt de tool? 2 stappen naar je phishing-risicoprofiel
Technische bescherming inventariseren
In de eerste stap breng je de technische anti-phishing maatregelen van je organisatie in kaart. Je selecteert eerst je sector, omdat klikratio's en aanvalspatronen sterk per sector verschillen. Vervolgens geef je aan welke technische maatregelen ingericht zijn:
- E-mail filtering / anti-spam -- de basislijn die het gros van de phishing-e-mails tegenhoudt voordat ze de inbox bereiken.
- SPF/DKIM/DMARC -- e-mailauthenticatieprotocollen die voorkomen dat aanvallers e-mails kunnen spoofen vanuit jouw domein en die het vervalsen van afzenderadressen bemoeilijken.
- URL scanning -- real-time controle van links in e-mails op bekende en onbekende kwaadaardige bestemmingen.
- Attachment sandboxing -- het openen van bijlagen in een geisoleerde omgeving om malware te detecteren voordat de bijlage de gebruiker bereikt.
- MFA op alle accounts -- een extra verificatielaag die voorkomt dat gestolen inloggegevens direct leiden tot accountovername.
- Browser-isolatie / web filtering -- een extra beveiligingslaag die voorkomt dat medewerkers kwaadaardige websites bereiken, zelfs als ze op een phishing-link klikken.
Tot slot geef je aan hoe breed MFA is uitgerold: van niet geimplementeerd tot volledige dekking voor alle medewerkers. De MFA-adoptiegraad is een kritische factor, want een keten is zo sterk als de zwakste schakel. Zelfs als 95% van de medewerkers MFA gebruikt, vormen de overige 5% een aanvalsvector die aanvallers actief uitbuiten.
Technische maatregelen zijn de eerste verdedigingslaag, maar ze vangen niet alles. Volgens Proofpoint passeert gemiddeld 7% van de phishing-e-mails alle technische filters. Bij gerichte spear phishing ligt dit percentage nog hoger. Daarom is de tweede stap minstens zo belangrijk.
Menselijke factor beoordelen
De tweede stap analyseert hoe goed je medewerkers voorbereid zijn op phishing. De menselijke factor is de zwakste schakel in cybersecurity, maar tegelijkertijd ook de best trainbare. Vier indicatoren worden gemeten:
- Trainingsfrequentie -- hoe vaak krijgen medewerkers security awareness training? De opties variieren van geen training tot doorlopend (kwartaal of vaker). Onderzoek van KnowBe4 toont aan dat organisaties met doorlopende training hun klikratio met gemiddeld 86% verlagen ten opzichte van ongetrainde medewerkers.
- Phishing-simulaties -- worden er gesimuleerde phishing-aanvallen uitgevoerd om de weerbaarheid te testen? Eenmalige simulaties geven een momentopname, maar pas bij regelmatige simulaties (kwartaal of vaker) ontstaat een meetbare trend en een continu leereffect.
- Klikpercentage -- wat is de gemiddelde klikratio bij phishing-simulaties? Dit percentage is de meest directe indicator van menselijke weerbaarheid. De schaal loopt van onbekend (nog nooit gemeten) tot minder dan 5% (uitstekend). Organisaties die hun klikratio niet kennen, hebben per definitie een verhoogd risico.
- Meldcultuur -- hoe goed melden medewerkers verdachte e-mails? Een actieve meldcultuur met een phish alert button is de ultieme indicator van security awareness. Het verschil tussen "ik heb het genegeerd" en "ik heb het gemeld" kan het verschil zijn tussen een afgewende aanval en een volledig datalek.
De menselijke factor weegt zwaar in de totaalscore, en terecht. Een organisatie met perfecte technische bescherming maar ongetrainde medewerkers is kwetsbaar op het moment dat een geavanceerde phishing-e-mail door de filters glipt. Omgekeerd kan een sterke security-cultuur compenseren voor technische tekortkomingen: een medewerker die een phishing-e-mail herkent en meldt, voorkomt een incident ongeacht de techniek.
Wat krijg je te zien?
Na het invullen van beide stappen genereert de tool een uitgebreid risicoprofiel:
- Phishing Risk Score (0-100) -- je totaalscore die aangeeft hoe weerbaar je organisatie is tegen phishing-aanvallen. Hoe hoger de score, hoe beter beschermd.
- Categoriescores -- afzonderlijke scores voor technische bescherming en menselijke weerbaarheid. Hierdoor zie je direct waar je sterke punten en verbeterkansen liggen.
- Sectorvergelijking -- hoe scoort je organisatie ten opzichte van het gemiddelde in jouw sector? Gebaseerd op KnowBe4 en Proofpoint benchmarkdata.
- Prioriteitsaanbevelingen -- concrete verbeterpunten, gerangschikt op impact. De tool richt zich op de maatregelen die het grootste verschil maken voor jouw specifieke profiel.
Gratis rapport: direct inzicht in je phishing-weerbaarheid
Het gratis PDF-rapport geeft je een helder overzicht van de phishing-weerbaarheid van je organisatie. Je ontvangt je risicoscore, een analyse van sterke en zwakke punten, en concrete aanbevelingen die je direct kunt toepassen. Het rapport is geschikt om te delen met management en IT-verantwoordelijken.
- Phishing Risk Score met categorie-uitsplitsing
- Overzicht van sterke en zwakke punten
- Top prioriteitsaanbevelingen
- Sectorgemiddelde als referentie
Premium assessment: diepgaande phishing-risicoanalyse
Het premium assessment gaat verder dan een totaalscore. Je ontvangt een diepgaande analyse die je phishing-weerbaarheid vanuit meerdere invalshoeken belicht en een concreet verbeterplan oplevert.
- Analyse van 5 phishing-typen -- aparte risico-inschatting voor e-mail phishing, spear phishing, smishing (SMS), vishing (voice) en Business Email Compromise (BEC). Elke variant heeft andere aanvalskenmerken en vraagt om andere verdedigingsstrategieen.
- Geschat klikratio per aanvalstype -- op basis van je profiel en sectordata een inschatting van hoeveel medewerkers op elke variant zouden klikken. Dit maakt het risico van specifieke aanvalstechnieken tastbaar.
- Sectorvergelijking op KnowBe4/Proofpoint data -- gedetailleerde benchmark met je sector op basis van de meest recente industriedata, inclusief trendanalyse hoe sectoren zich ontwikkelen.
- Compleet awareness-programma met trainingsschema -- een uitgewerkt jaarplan voor security awareness, met trainingsfrequentie, simulatieschema, escalatiemodellen en meetbare KPI's om voortgang te monitoren.
- Technische aanbevelingen -- gedetailleerde implementatie-adviezen voor DMARC, SPF, DKIM en e-mail gateway configuratie. Inclusief stapsgewijze instructies en aanbevolen instellingen.
- Rolgebaseerde risicoanalyse per afdeling -- niet elke medewerker heeft hetzelfde risicoprofiel. Finance-medewerkers zijn het primaire doelwit voor BEC, terwijl HR kwetsbaar is voor sollicitatiefraude. Het premium rapport analyseert risico's per afdeling en geeft gerichte aanbevelingen.
Gratis vs. premium vergelijking
| Onderdeel | Gratis | Premium |
|---|---|---|
| Phishing Risk Score | ✓ | ✓ |
| Categoriescores (technisch vs. menselijk) | ✓ | ✓ |
| Prioriteitsaanbevelingen | ✓ | ✓ |
| Sectorvergelijking (basis) | ✓ | ✓ |
| Analyse van 5 phishing-typen | ✗ | ✓ |
| Geschat klikratio per aanvalstype | ✗ | ✓ |
| Uitgebreide sectorvergelijking met trenddata | ✗ | ✓ |
| Compleet awareness-programma met trainingsschema | ✗ | ✓ |
| Technische aanbevelingen (DMARC/SPF/DKIM/gateway) | ✗ | ✓ |
| Rolgebaseerde risicoanalyse per afdeling | ✗ | ✓ |
Veelgestelde vragen
Wat is phishing precies?
Phishing is een vorm van social engineering waarbij cybercriminelen zich voordoen als een betrouwbare partij -- een bank, leverancier, collega of overheidsinstantie -- om slachtoffers te verleiden gevoelige informatie te delen, op een kwaadaardige link te klikken of geld over te maken. Het woord is afgeleid van "fishing" (vissen): de aanvaller gooit een hengel uit en hoopt dat iemand bijt. Phishing is al meer dan twee decennia de meest voorkomende aanvalsvector en is verantwoordelijk voor meer dan 90% van alle geslaagde cyberaanvallen.
Hoe herken je een phishing-e-mail?
Klassieke signalen zijn afwijkende afzenderadressen (let op subtiele spellingsverschillen), urgente of dreigende taal ("uw account wordt binnen 24 uur geblokkeerd"), onverwachte bijlagen, verdachte links (hover over de link om het werkelijke adres te zien), taalfouten en verzoeken om gevoelige informatie die de legitieme organisatie nooit per e-mail zou vragen. Moderne phishing wordt echter steeds moeilijker te herkennen. AI-gegenereerde e-mails bevatten geen taalfouten meer en gepersonaliseerde spear phishing gebruikt informatie van LinkedIn en bedrijfswebsites. Daarom is structurele training met regelmatige simulaties effectiever dan alleen kennis van herkenningspunten.
Hoeveel procent van medewerkers klikt op phishing?
Volgens de KnowBe4 Phishing Industry Benchmarks klikt gemiddeld 34% van ongetrainde medewerkers op een phishing-link. Na 90 dagen security awareness training daalt dit naar gemiddeld 18%. Na een jaar doorlopende training met regelmatige simulaties daalt het klikpercentage naar gemiddeld 5%. Het exacte percentage varieert sterk per sector: de gezondheidszorg en het onderwijs scoren doorgaans hoger, terwijl de financiele sector en technologiebedrijven lager scoren door strengere compliance-eisen en hogere security-awareness.
Hoe vaak moet je phishing-simulaties uitvoeren?
De best practice is minimaal per kwartaal phishing-simulaties uit te voeren, bij voorkeur maandelijks. Onderzoek toont aan dat het effect van een eenmalige training binnen drie maanden wegebt. Regelmatige simulaties houden medewerkers alert en creeren een meetbare trend waarmee je de effectiviteit van je awareness-programma kunt aantonen. Belangrijk is variatie: wissel tussen standaard phishing, spear phishing, smishing (SMS) en vishing (telefonisch), en varieer in moeilijkheidsgraad. Een goed simulatieprogramma is niet bedoeld om medewerkers te straffen, maar om te leren en de organisatie continu weerbaarder te maken.
Wat is DMARC en waarom is het belangrijk tegen phishing?
DMARC (Domain-based Message Authentication, Reporting and Conformance) is een e-mailauthenticatieprotocol dat samenwerkt met SPF en DKIM om te voorkomen dat aanvallers e-mails versturen die afkomstig lijken van jouw domein. Zonder DMARC kan een aanvaller een e-mail sturen die in de inbox van je klant verschijnt alsof deze van jouw organisatie komt. Met DMARC op "reject" worden dergelijke vervalste e-mails geblokkeerd. Bovendien levert DMARC rapportages op waarmee je ziet wie e-mails verstuurt namens jouw domein. Ondanks het belang heeft volgens onderzoek slechts 30% van de Nederlandse organisaties DMARC correct geconfigureerd op enforcement-niveau.
Helpt MFA tegen phishing?
MFA (Multi-Factor Authenticatie) is een van de effectiefste verdedigingslagen tegen phishing. Als een medewerker per ongeluk inloggegevens invult op een phishing-pagina, kan de aanvaller zonder de tweede factor (SMS-code, authenticator-app of hardware key) niet inloggen. Microsoft schat dat MFA meer dan 99% van de credential-based aanvallen blokkeert. Let echter op: geavanceerde aanvallers gebruiken real-time phishing proxies (zoals EvilGinx) die ook MFA-tokens kunnen onderscheppen. De sterkste bescherming bieden phishing-resistente methoden zoals FIDO2-keys en passkeys, die cryptografisch gebonden zijn aan het legitieme domein en niet overdraagbaar zijn naar een phishing-site.
Wat is spear phishing en hoe verschilt het van reguliere phishing?
Reguliere phishing is massaal en onpersoonlijk: dezelfde generieke e-mail gaat naar duizenden of miljoenen ontvangers. De klikratio is laag, maar door het volume is het toch rendabel voor aanvallers. Spear phishing is gericht op een specifieke persoon of kleine groep, met gepersonaliseerde inhoud die gebaseerd is op openbare informatie. Een spear phishing-e-mail kan verwijzen naar een recent project, een collega bij naam noemen of inspelen op een actuele bedrijfsgebeurtenis. Door deze personalisatie is de klikratio bij spear phishing tot tien keer hoger dan bij reguliere phishing. Business Email Compromise (BEC) is de meest geavanceerde vorm: de aanvaller doet zich voor als de CEO of CFO en vraagt een financiele transactie.
Wat zijn de kosten van een succesvolle phishing-aanval?
De kosten zijn sterk afhankelijk van het type aanval en de gevolgen. Een succesvolle Business Email Compromise kost gemiddeld 125.000 euro per incident, volgens FBI IC3 data. Als een phishing-aanval leidt tot een datalek, lopen de kosten op tot gemiddeld 4,76 miljoen dollar wereldwijd (IBM Cost of a Data Breach 2024). Voor Nederlandse mkb-organisaties liggen de gemiddelde kosten van een cyberincident veroorzaakt door phishing tussen 50.000 en 200.000 euro, inclusief directe schade, herstelkosten, productiviteitsverlies en juridische kosten. Daarnaast zijn er indirecte kosten zoals reputatieschade en klantverlies die lastig te kwantificeren maar vaak aanzienlijk zijn.
Phishing Score berekenen
Meet direct de phishing-weerbaarheid van je organisatie. Ontvang je risicoscore, categorie-uitsplitsing en prioriteitsaanbevelingen in een overzichtelijk PDF-rapport.
Start gratis assessmentDiepgaande phishing-analyse
Ontvang een analyse van 5 phishing-typen, geschat klikratio per variant, compleet awareness-programma en rolgebaseerde risicoanalyse voor € 79.
Start premium assessment