Volgens Fortinet zijn werknemers nog onvoldoende voorbereid op AI-gedreven cyberdreigingen, ondanks toegenomen bewustzijn. Het bedrijf ondervroeg 1.850 senior besluitvormers wereldwijd en concludeert dat slechts 40% van hen vindt dat werknemers AI-aanvallen kunnen herkennen en melden. Tegelijkertijd groeit de aandacht voor insiderrisico’s.
Fortinet heeft zijn 2025 Security Awareness and Training Global Research Report gepubliceerd, gebaseerd op input van 1.850 senior IT- en security-besluitvormers wereldwijd. Het rapport toont aan dat organisaties weliswaar meer bewust zijn van cyberdreigingen door AI, maar dat de daadwerkelijke weerbaarheid van werknemers achterblijft.
AI vergroot bewustzijn, maar voorbereiding schiet tekort
Bijna negen op de tien organisaties geeft aan dat het gebruik van AI door cybercriminelen het bewustzijn over security awareness-training heeft vergroot. Volgens Fortinet betekent dit echter niet automatisch meer cyberweerbaarheid. Slechts ongeveer 40% van de senior besluitvormers vindt dat werknemers voldoende voorbereid zijn om AI-gebaseerde cyberdreigingen te herkennen, te vermijden en te melden.
Om dit aan te pakken traint de helft van de organisaties werknemers in het veilig gebruik van generatieve AI-tools. Daarnaast heeft 51% tools geïmplementeerd om het delen van gevoelige informatie met AI-tools te controleren of blokkeren. Bijna alle organisaties hebben volgens het rapport inmiddels een beveiligingsbeleid voor AI en Large Language Models ontwikkeld of zijn hiermee bezig. Toch bestaat er nog steeds een kloof tussen beleid en daadwerkelijke uitvoering.
Insiderrisico’s krijgen meer aandacht
Externe cyberdreigingen, eerdere datalekken en beveiligingsincidenten binnen de sector blijven de belangrijkste redenen voor organisaties om te investeren in security awareness-training. Meer dan 40% van de respondenten noemt dit als hoofdmotivatie.
Tegelijkertijd groeit de aandacht voor interne risico’s. Ruim een kwart van de organisaties ziet insiderrisico’s inmiddels als reden om trainingen te organiseren, een duidelijke stijging ten opzichte van vorig jaar. Op de vraag of ze strengere cyberbeveiligingsbeleidsregels willen toepassen op gebruikers die risicovol gedrag vertonen, antwoordt 91% van de ondervraagden bevestigend.
Door de toename van insiderrisico’s veranderen ook de trainingsprioriteiten. Databeveiliging en privacy blijven belangrijke thema’s, maar training over AI-tools en AI-dreigingen krijgt steeds meer aandacht.
Training heeft aantoonbaar effect
Ongeveer 67% van de organisaties meldt een gemiddelde tot sterke afname van indringers, beveiligingsincidenten en datalekken na het invoeren van trainingen. Ook de manier waarop organisaties succes meten wordt professioneler. De meest gebruikte indicatoren zijn een afname van beveiligingsincidenten, feedback van werknemers en resultaten van security audits.
Veel organisaties combineren fysieke en online trainingen met simulaties en evaluaties. In plaats van eenmalige trainingen kiezen ze steeds vaker voor doorlopende programma’s gericht op gedragsverandering.
Uitdagingen bij uitvoering blijven
Ondanks verbeteringen hebben veel organisaties nog moeite met de uitvoering. Slechts een klein deel van de werknemers rondt trainingen volledig af. Daarnaast geeft bijna 70% van de managers aan dat het bewustzijn onder werknemers nog steeds onvoldoende is.
Organisaties proberen dit te verbeteren door kortere en frequentere trainingen, duidelijke verantwoordelijkheden voor deelname en training die beter aansluit op actuele cyberdreigingen. Microtraining wordt volgens Fortinet steeds belangrijker om snel in te kunnen spelen op nieuwe AI-ontwikkelingen.
Steeds meer besluitvormers zien security awareness tegenwoordig als een gezamenlijke verantwoordelijkheid van alle medewerkers, niet alleen van de IT- of securityafdeling.
