Veel organisaties denken dat ze het identiteitsrisico hebben opgelost met sms-codes, pushmeldingen of eenmalige codes. Het is beter dan niets. Absoluut. Maar het is niet hetzelfde als phishingbestendige identiteitbescherming. CISA maakt duidelijk dat bepaalde vormen van multifactor-authenticatie kunnen worden omzeild via phishing, push bombing en SIM-swapping, en beveelt daarom phishingbestendige MFA aan als sterkere bescherming (CISA, 2023).
Dit is belangrijk. Niet als technische nerdigheid, maar als een bedrijfsprobleem.
NIST definieert phishingbestendigheid als dat het authenticatieprotocol zelf voorkomt dat geheimen of geldige authenticatieantwoorden aan een valse verifier worden gegeven, zonder dat de bescherming afhankelijk is van de oplettendheid van de gebruiker (NIST, 2025). In gewone taal: de mens hoeft de truc niet zelf te doorzien. Het systeem maakt de truc technisch waardeloos. Dat is waar FIDO2, WebAuthn en passkeys relevant worden. Niet omdat ze modern klinken, maar omdat ze het speelveld veranderen. Correct geïmplementeerd wordt de login gekoppeld aan de juiste dienst en domein. Een valse inlogpagina kan dan niet zomaar een wachtwoord of code stelen en verder gebruiken.
Dat betekent niet dat alle risico's verdwijnen. Dat gebeurt nooit. Herstelprocessen, apparaatbeheer, support, levenscyclus en toegangsbeheer moeten nog steeds functioneren. Maar het minimumniveau wordt verhoogd. En juist dat minimumniveau maakt vaak het verschil tussen een incident en een crisis.
Het Verizon Data Breach Investigations Report 2025 toont aan dat gestolen of misbruikte inloggegevens nog steeds een belangrijke toegangspoort zijn voor inbraken, terwijl het misbruiken van kwetsbaarheden sterk is toegenomen (Verizon, 2025). ENISA beschrijft tegelijkertijd een Europees dreigingslandschap waarin de publieke sector, digitale diensten, transport, financiën en industrie te maken hebben met een complexere druk van aanvallen (ENISA, 2025).
In Nederland zien we dezelfde beweging. De AIVD beschrijft een verslechterde veiligheidsituatie waarin cyberaanvallen, datalekken en beïnvloedingspogingen deel uitmaken van een bredere dreigingsomgeving (AIVD, 2025). Het Nationaal Cyber Security Centrum laat bovendien zien dat veel incidenten nog steeds worden gemeld zonder bekende oorzaak, gevolgd door fouten of systeemproblemen (NCSC, 2026). Dat laatste is misschien wel het meest ongemakkelijk. Veel mensen weten dat er iets is gebeurd, maar niet waarom, hoe of hoe ver het ging. Dat is niet alleen een technisch probleem. Het is een leiderschapsprobleem.
Daarom is mijn punt niet dat phishingbestendige identiteit een wondermiddel is. Wondermiddelen horen thuis in sprookjes en slechte verkooppresentaties. Mijn punt is dat phishingbestendige identiteits- en toegangscontrole een van de meest onderschatte basisvaardigheden is die we hebben. Maar het moet worden gecombineerd met drie dingen: blootstellingscontrole, privilegebeheer en getest herstel. Identiteit bepaalt vaak hoe de aanvaller binnenkomt. Blootstelling bepaalt waar de aanvaller kan gaan. Privileges bepalen hoeveel schade de aanvaller kan aanrichten. Herstel bepaalt of de organisatie overleeft.
Dit is waarom we moeten stoppen met cybersecurity te zien alsof het alleen in de serverruimte plaatsvindt.
Een financiële afdeling denkt niet aan WebAuthn. Die denkt aan facturen, salarissen, leveranciers en liquiditeit. Een gemeente denkt aan scholen, zorg, water en maatschappelijke dienstverlening. Een industrieel bedrijf denkt aan productie, leveringsbetrouwbaarheid en klantvereisten. Stel daarom de echte vragen. Wat gebeurt er als jullie niet kunnen inloggen? Wat gebeurt er als de verkeerde persoon beheerdersrechten krijgt? Wat gebeurt er als het salarissysteem, de zaakbehandeling of de productie-IT stilvalt? Wat gebeurt er als een leverancier met externe toegang wordt aangevallen? NIS2 en de Nederlandse cybersecuritywet gaan in de praktijk over precies dit: risicobeheer, incidentbeheer, continuïteit en controle over afhankelijkheden. Niet mappen-volgsystemen. Niet weer een checklist die een audit overleeft maar in de praktijk faalt. Veiligheid moet worden meegenomen in contracten, aanbestedingen, clouddiensten, systeemintegraties en externe toegangen.
Het NIST Cybersecurity Framework 2.0 beschrijft cybersecurity als een cyclus van governance, identificatie, bescherming, detectie, respons en herstel (NIST, 2024). Dat is verstandig, want het maakt het begrijpelijk voor het management. Wat is belangrijk? Hoe beschermen we dat? Hoe ontdekken we afwijkingen? Hoe handelen we? Hoe herstellen we?
Je kunt eenvoudig beginnen.
· Begin met de accounts waarbij overname de meeste schade veroorzaakt: beheerders, directie, financiën, HR, IT, externe toegang, externe consultants en systemen met gevoelige informatie. Voer daar phishingbestendige authenticatie in.
· Sluit daarna de uitzonderingen af. Oude protocollen, gedeelde accounts, externe accounts zonder eigenaar, service-accounts met te brede rechten en cloud-apps buiten centrale identiteit zijn geen "speciale gevallen". Het zijn zij-ingangen.
· Koppel toegang aan context. Wie logt in? Vanaf welk apparaat? Vanaf welke locatie? Naar welke applicatie? Met welke rol? Bij welk risiconiveau? Voorwaardelijke toegang is geen magie. Het is gezond verstand met governance.
· Maak privileges tijdelijk. Beheerdersrechten moeten geen permanente luxe zijn. Ze moeten tijdgebonden, op behoefte gebaseerd en gelogd zijn.
· En test het herstel. Back-up is geen bestand. Back-up is een vaardigheid. Die is pas echt als die beschermd, gescheiden, herstelbaar en geoefend is.
Dit zijn niet alleen kosten. Goed gedaan zijn het investeringen in leveringsvermogen, vertrouwen, merk en concurrentiekracht. De organisatie die daadwerkelijke beveiligingscapaciteit kan aantonen in aanbestedingen, audits en leveranciersgesprekken wordt beter gekozen. Punt.
We moeten ook stoppen met de mens als zondebok te zien. Een gestreste medewerker die een geloofwaardige e-mail of een valse inlogpagina tegenkomt is niet dom. Ze is menselijk. Moderne beveiliging moet daarom zo worden ontworpen dat het makkelijk is om het juiste te doen en moeilijk om fouten te maken. Bewustwording is nodig. Maar bewustwording mag nooit de smoes zijn voor zwakke techniek en slechte governance. De betere vraag is niet waarom de gebruiker klikte. De betere vraag is waarom een menselijke fout zo gevaarlijk kon zijn.
Mijn conclusie is simpel. De meest onderschatte beschermingsmechanisme is niet de firewall, EDR of bewustwording. Het is phishingbestendige identiteits- en toegangscontrole als standaard, gecombineerd met blootstellingscontrole, streng privilegebeheer en geteste herstelcapaciteit. Phishingbestendige identiteit is de tandenborstel van cyberhygiëne. Blootstellingscontrole is de floss. De hersteltraining is het tandartsbezoek waar niemand naar uitkijkt, maar dat iedereen uiteindelijk mist als het uitblijft.
En net als bij echte hygiëne gaat het er niet om indruk te maken. Het gaat erom problemen te voorkomen die pijn doen, geld kosten en lang duren om te repareren.
Referenties
CISA (2023).Implementing Phishing-Resistant MFA. Cybersecurity and Infrastructure Security Agency.
ENISA (2025).ENISA Threat Landscape 2025. European Union Agency for Cybersecurity.
MSB (2026).Cyberaanvallen Ontwikkeling 2023–2025: Jaarverslag. Nederlandse autoriteit voor civiele bescherming.
NIST (2024).Cybersecurity Framework 2.0. National Institute of Standards and Technology.
NIST (2025).Special Publication 800-63B: Digital Identity Guidelines, Authentication and Authenticator Management. National Institute of Standards and Technology.
AIVD (2025).Situatierapport 2024–2025. Algemene Inlichtingen- en Veiligheidsdienst.
Verizon (2025).2025 Data Breach Investigations Report. Verizon Business.
