Salesforce gegevens gestolen via medewerkers

Salesforce is recent gehackt zonder dat er werd ingebroken in de infrastructuur van het platform zelf. Aanvallers verkregen toegang tot klantgegevens door medewerkers te misleiden via overtuigende telefoongesprekken en valse koppelingen.

Niet het systeem, maar de mens bleek de ingang. Deze vorm van hacking (gebaseerd op vertrouwen en manipulatie) toont hoe kwetsbaar organisaties zijn als digitale weerbaarheid ontbreekt. Cloudsoftware, automatisering en gemak vergroten het risico als basale controles en bewustwording ontbreken.

Hoe kunnen organisaties voorkomen dat gewone handelingen leiden tot grote datalekken?

Recent vond een serieuze Salesforce hack plaats waarbij aanvallers toegang verkregen tot klantgegevens via accounts van medewerkers. Deze Salesforce hack kwam niet voort uit een technisch beveiligingslek binnen het platform zelf. Het gebeurde doordat aanvallers medewerkers zover kregen om toegang of toestemming te verlenen zonder dat zij dit in de gaten hadden. Hierdoor werd data geraakt die normaal achter beveiligde accounts verborgen staat. Het incident laat zien hoe gemakkelijk toegang tot gevoelige klantinformatie kan ontstaan wanneer aandacht voor informatiebeveiliging onvoldoende aanwezig is in dagelijkse werkprocessen binnen organisaties.

Wat er feitelijk gebeurde

De aanvallers benaderden medewerkers van grote internationale organisaties op een manier die deed denken aan legitieme interne IT-communicatie. Het draait hierbij om sociale manipulatie waarbij vertrouwen centraal staat, in plaats van direct inbreken in systemen. De medewerkers dachten te spreken met een ondersteunende afdeling die hen hielp bij een procedure of probleem dat urgent leek. De aanvallers stuurden vervolgens instructies die leken te passen bij interne workflows en beveiligingscontroles.

Zodra vertrouwen was ontstaan, werd de medewerker gevraagd om:

• Toegang te bevestigen via een verificatieprocedure
• Inloggegevens te delen op een platform dat eruitzag als een bedrijfstool
• Een koppeling met een applicatie toe te staan die als betrouwbaar werd gepresenteerd

Deze stap zorgde ervoor dat de aanvallers toegang kregen tot de accounts. De aanmelding leek volledig legitiem voor het systeem zelf, omdat deze was gedaan met echte gebruikersgegevens. Het beveiligingssysteem zag een geldige gebruiker die normaal toegang heeft, en kende dus ook toegang toe.

Technische beveiliging en menselijk handelen

De infrastructuur van Salesforce zelf maakte geen fout. De beveiliging werkte zoals ontworpen, want er werd ingelogd met echte, correcte gegevens. Dit onderscheid is van belang, omdat het laat zien dat beveiliging niet enkel afhankelijk is van software. Menselijk gedrag en beslissingen spelen een even grote rol.

Technische beveiliging beschermt:

• Wachtwoorden
• Systeemtoegang
• Versleuteling en opslag

Menselijk handelen beïnvloedt:

• Met wie toegang wordt gedeeld
• Welke signalen serieus worden genomen
• Hoe verificatieverzoeken worden beoordeeld

Het incident toont dat menselijke beoordeling eenvoudig beïnvloedbaar is, zeker bij medewerkers die digitale handelingen zien als routine en deze automatisch uitvoeren.

Hoe toegang binnen Salesforce leidde tot het inzien van gegevens

Zodra de aanvallers waren ingelogd, konden zij gegevens zien die horen bij het account van de medewerker. Dit verschilt per functie en organisatieconfiguratie. Sommige accounts hebben beperkte toegang tot contactgegevens, terwijl anderen toegang hebben tot volledige klantprofielen of gekoppelde loyaliteitsinformatie.

De informatie die toegankelijk werd, bestond uit gegevens die in klantcontact, klantenservice en marketing worden gebruikt. Het gaat dan om data die vaak in meerdere bedrijven dagelijks wordt verwerkt zonder dat medewerkers stilstaan bij de gevoeligheid ervan. Het feit dat deze gegevens intern als normaal worden ervaren, maakt de impact minder zichtbaar totdat misbruik plaatsvindt.

Waarom dit type aanval moeilijk te detecteren is

Het systeem zag geen verdachte activiteit. De login kwam van een bestaande gebruiker, met geldige gegevens. Er werd geen ongebruikelijke foutmelding gegenereerd en ook geen poging tot brute toegang. Het enige wat anders was, was de intentie van de persoon die ingelogd had. Dit maakt detectie lastig voor zowel systemen als administratieve teams.

Detectieproblemen ontstaan omdat:

• Controlemechanismen zijn gericht op technische afwijkingen
• Normaal gedrag ook handelingen bevat die lijken op wat de aanvaller uitvoert
• Menselijke fouten geen systeemfouten veroorzaken en daardoor niet automatisch worden gelogd als incident

Het onderscheid tussen legitiem en niet-legitiem gebruik wordt pas duidelijk zodra er onverwachte patronen zichtbaar worden, zoals snelle export van gegevens of toegang buiten normale werktijden. Tegen die tijd is toegang meestal al benut.

Binnen welke context dit risico groter wordt

Organisaties die veel afhankelijk zijn van cloudoplossingen en digitale werkprocessen hebben vaak een hoge mate van vertrouwen in hun tooling. Dit zorgt ervoor dat medewerkers aannemen dat beveiligingssystemen wel waarschuwen als iets niet klopt. Vertrouwen in systemen kan leiden tot minder alertheid in situaties waarin een medewerker gevraagd wordt om toegang te verlenen of gegevens te bevestigen.

Een tweede factor is dat digitale communicatie veel plaatsvindt op afstand, zonder fysieke collega’s om mee te overleggen. Hierdoor worden beslissingen sneller alleen genomen, zonder controle door een tweede persoon.

Daarnaast speelt:

• Werkdruk
• Gewenning aan standaardprocedures
• Onvoldoende begrijpen waarom bepaalde verificatiestappen bestaan

Dit alles maakt medewerkers vatbaar voor overtuigende verzoeken die inspelen op routine en urgentie.

Wat dit betekent voor digitale weerbaarheid van medewerkers

Digitale weerbaarheid gaat verder dan het gebruik van sterke wachtwoorden. Het gaat om bewustzijn van digitale handelingen en de mogelijke gevolgen ervan. De aanval toont dat medewerkers training nodig hebben in het herkennen van subtiele signalen die aangeven dat een verzoek niet klopt. Het gaat dan niet om technische instructies, maar om risicoherkenning als vaardigheid.

Digitale weerbaarheid omvat bijvoorbeeld:

• Twijfel herkennen wanneer iets te vanzelfsprekend lijkt
• Vragen stellen bij onverwachte instructies
• Begrijpen dat misleiding plaatsvindt zonder dat er iets technisch mis is
• Inzien dat gegevens waarde vertegenwoordigen, ook als deze niet financieel lijken

Waar aandacht voor nodig blijft

De aanval laat zien dat aandacht voor informatiebeveiliging een terugkerend onderdeel moet zijn van werkprocessen. Niet als losse training of campagne, maar als onderdeel van dagelijkse praktijk. Het betekent dat medewerkers begrijpen waarom procedures bestaan en waarom verificatievragen serieus genomen worden. Dit voorkomt dat vertrouwen wordt ingezet als toegangspoort door aanvallers.

Salesforce hack en Social Engineering

Social engineering speelt een centrale rol in veel moderne datalekken, waaronder de recente aanvallen waarbij toegang tot Salesforce werd verkregen via nietsvermoedende medewerkers. Deze aanvallen richten zich niet op software, maar op het vertrouwen van mensen. In tegenstelling tot traditionele hackingtechnieken waarbij systemen direct worden aangevallen, draait social engineering om beïnvloeding, misleiding en psychologische manipulatie. De aanvallers zoeken naar de zwakste schakel: menselijk gedrag.

Toegang tot gevoelige klantgegevens werd verkregen via inloggegevens van medewerkers. Die gegevens werden niet gestolen via malware of een technische kwetsbaarheid, maar via overtuigende communicatie die als legitiem werd ervaren. Het ondermijnt de veiligheid van zelfs de best beveiligde platforms.

Wat social engineering precies inhoudt

Social engineering is het proces waarbij een aanvaller psychologische trucs gebruikt om iemand te verleiden tot het geven van informatie of toegang. Het draait hierbij niet om hacken van systemen, maar om het hacken van mensen. Technisch gezien wordt alles correct uitgevoerd: de gebruiker logt in, geeft toestemming of volgt instructies. Alleen gebeurt dit onder valse voorwendselen.

Typische kenmerken van social engineering zijn:

• Verzoeken die urgentie uitstralen (“u moet nu actie ondernemen”)
• Autoriteit nabootsen (zich voordoen als IT, manager of externe specialist)
• Vertrouwd overkomen door gebruik van bekende termen of bedrijfsprocessen
• Gebruikmaken van angst, druk of verwarring om snelle actie af te dwingen

In het geval van Salesforce werd deze methode ingezet om medewerkers te laten geloven dat ze handelden in het belang van de organisatie, terwijl ze feitelijk onbedoeld toegang verleenden aan aanvallers.

Vishing als tactiek binnen social engineering

Een van de tactieken die in deze aanvallen werd gebruikt, is vishing – voice phishing. Daarbij worden slachtoffers telefonisch benaderd door iemand die zich voordoet als een interne medewerker of externe IT-partner. Het gesprek is professioneel, vriendelijk en overtuigend. De stem aan de andere kant van de lijn lijkt goed geïnformeerd en gebruikt jargon dat intern normaal is.

Tijdens het gesprek:

• Wordt er om bevestiging van accountgegevens gevraagd
• Vraagt men de gebruiker om in te loggen of een app goed te keuren
• Wordt er ingespeeld op actuele situaties zoals systeemonderhoud of updates

Door een combinatie van timing, taalgebruik en sociale druk voelt het verzoek legitiem. De medewerker twijfelt niet en verleent toestemming. Hiermee krijgen aanvallers toegang tot het systeem via een route die er aan de buitenkant normaal uitziet.

Vertrouwen als toegangspoort

De kracht van social engineering zit in het feit dat het zich richt op menselijk vertrouwen. In organisaties waar de digitale werkdruk hoog is en communicatie voornamelijk digitaal verloopt, wordt vertrouwen vaak impliciet gegeven. Een e-mail of telefoontje van “IT-support” wordt niet direct in twijfel getrokken, zeker niet als het verzoek past binnen bestaande processen.

Factoren die het succes van social engineering vergroten:

• Geen directe controle of dubbelcheck bij digitale verzoeken
• Gebrek aan training in het herkennen van verdachte signalen
• Gewenning aan standaardprocedures die automatisch worden gevolgd
• Lage meldingsdrempel bij twijfels of vreemde verzoeken

In moderne werkomgevingen is snelheid belangrijk. Maar snelheid zonder waakzaamheid creëert ruimte voor aanvallen.

Digitale weerbaarheid als eerste verdedigingslijn

Zoals eerder aangegeven is technische beveiliging slechts een deel van het geheel. Digitale weerbaarheid is de vaardigheid van medewerkers om risicovolle situaties te herkennen en daar correct op te reageren. Het is een gedragscomponent binnen informatiebeveiliging die steeds belangrijker wordt.

Digitale weerbaarheid verhoogt de kans dat een medewerker:

• Een onverwacht verzoek kritisch beoordeelt
• Informatie dubbelcheckt bij collega’s of IT-afdeling
• Signalen van misleiding opmerkt
• Vertrouwelijke informatie niet zomaar deelt

Trainingen, scenario-oefeningen en herhaalde communicatie vanuit interne securityteams dragen bij aan dit bewustzijn. Zonder structurele aandacht blijft het gedrag hetzelfde en blijft de deur op een kier staan.

Waarom detectie lastig is zonder technische afwijkingen

Social engineering-aanvallen laten geen sporen achter zoals malware of brute force aanvallen dat doen. Het systeem registreert een normale login, vanuit een vertrouwde gebruiker, vaak zelfs vanaf een bekend IP-adres. Monitoringtools herkennen dit niet als verdacht. Hierdoor:

• Blijft het incident vaak onopgemerkt tot de data daadwerkelijk misbruikt wordt
• Wordt forensisch onderzoek bemoeilijkt
• Zijn traditionele beveiligingsmaatregelen onvoldoende om in te grijpen

Alleen wanneer gedragsafwijkingen, zoals ongewone downloads of exports, worden opgemerkt, ontstaat een alarm. Maar dan is de schade vaak al geleden. Dit benadrukt het belang van menselijke alertheid in het voorkomen van de aanval zelf.

Bedrijfsprocessen als risicoversterker

Bepaalde processen binnen organisaties vergroten onbedoeld het risico op succesvolle social engineering. Denk aan:

• Toegangsverzoeken zonder verplichte tweestapsverificatie
• Gebrek aan controle op het installeren van apps in platforms als Salesforce
• Geen verplicht beleid voor herbevestiging van gevoelige verzoeken
• Geen logging van app-koppelingen of data-export door eindgebruikers

Deze processen zijn vaak ontworpen voor gebruiksgemak. Maar in het kader van informatiebeveiliging vormen ze kwetsbare plekken, zeker als gebruikers deze stappen als routine ervaren.

Integratie van security in het dagelijks werk

In plaats van beveiliging te beschouwen als losstaand aspect, moet het worden geïntegreerd in dagelijkse taken. Dat begint bij eenvoudige gedragsregels, zoals:

• Niet reageren op onverwachte verzoeken zonder verificatie
• Nooit codes of inloggegevens delen, ook niet via de telefoon
• Twijfel standaard melden bij interne security

Dit vergt meer dan een eenmalige training. Het vereist herhaling, actualisering en interne communicatie waarin fouten bespreekbaar zijn zonder schuldvraag. Daarmee ontstaat een cultuur waarin beveiliging geen technische verantwoordelijkheid is, maar gedeeld gedrag.

Hacking zonder code of malware

De aanvallen op Salesforce laten zien dat hacking niet altijd technisch hoeft te zijn. In dit geval vond de inbraak plaats via de voordeur, geopend door iemand die dacht het juiste te doen. Juist daarom is deze vorm van hacking zo effectief. Ze maakt gebruik van structuur, gewoontes en hiërarchie binnen bedrijven. Het onderstreept dat elke medewerker, ongeacht functie of digitale vaardigheid, een toegangspoort vormt.

Hoe medewerkers zich beter kunnen beschermen

Digitale weerbaarheid speelt een steeds grotere rol in de bescherming tegen datalekken. De recente aanvallen via Salesforce tonen dat technische beveiliging alleen niet voldoende is. Medewerkers blijven doelwit zolang menselijke handelingen kunnen worden beïnvloed via manipulatie en misleiding. Zoals eerder besproken, gebruiken aanvallers geen geavanceerde code, maar slimme communicatie en sociale druk om toegang te krijgen tot systemen.

Bescherming begint dus niet bij software, maar bij menselijk gedrag. Informatiebeveiliging vraagt om bewuste keuzes tijdens dagelijkse handelingen, ook wanneer die klein of routinematig lijken. Juist in die momenten ligt de kracht van preventie.

Digitale weerbaarheid als werkvaardigheid

Digitale weerbaarheid is geen technisch begrip, maar een gedragseigenschap. Het gaat om het herkennen van risico’s, het doorzien van misleiding en het durven afwijken van standaardreacties wanneer iets verdacht aanvoelt. Dit vraagt training, oefening en vooral aandacht vanuit de organisatie.

Kenmerken van digitaal weerbare medewerkers:

• Denken na voordat ze klikken of bevestigen
• Herkennen signalen van misbruik of manipulatie
• Stellen vragen bij onverwachte verzoeken
• Volgen interne procedures, ook onder druk

Digitale weerbaarheid moet net zo vanzelfsprekend worden als fysieke veiligheid op de werkvloer. Het is een werkvaardigheid, geen specialisatie.

Bewustwording begint bij herhaling

Eenmalige trainingen zijn zelden effectief. Medewerkers onthouden weinig en passen het geleerde niet toe in de praktijk. Wat wél werkt, is herhaling en context. Wanneer beveiligingsbewustzijn regelmatig terugkomt in werkoverleggen, interne berichten of via korte reminders, blijft het onderwerp actief in het geheugen.

Effectieve bewustwordingsstrategieën zijn onder andere:

• Korte, herkenbare scenario’s die intern gedeeld worden
• Regelmatige ‘nep-phishingtests’ om alertheid te meten
• Herkenbare voorbeelden van manipulatie via e-mail of telefoon
• Interne communicatie waarin fouten bespreekbaar zijn

De sleutel ligt in het creëren van een werkcultuur waarin digitale veiligheid wordt gedeeld door iedereen, niet alleen door IT of securitymedewerkers.

Eenvoudige gedragsregels voor dagelijks werk

Veel datalekken ontstaan niet door complexe fouten, maar door kleine onbewuste handelingen. Een klik op de verkeerde link, een bevestiging zonder nadenken, een collega helpen zonder de herkomst van het verzoek te controleren. Daarom werken eenvoudige gedragsregels beter dan ingewikkelde beleidsdocumenten.

Voorbeelden van effectieve gedragsregels:

• Nooit inloggegevens delen, via geen enkel kanaal
• Altijd tweestapsverificatie gebruiken waar mogelijk
• Koppelingen of apps alleen goedkeuren na overleg met IT
• Onverwachte telefoontjes over accounts altijd navragen
• Geen bedrijfsinformatie bespreken via persoonlijke apparaten of apps

Wanneer deze regels onderdeel worden van de werkstructuur, neemt de kans op fouten sterk af.

Risicoperceptie verhogen bij niet-technische medewerkers

Medewerkers die digitaal minder vaardig zijn, onderschatten vaak de risico’s van ogenschijnlijk kleine acties. Het openen van een e-mailbijlage of het installeren van een plug-in lijkt onschuldig. Daarom is het belangrijk dat uitleg aansluit bij hun niveau en werkcontext.

Belangrijke aandachtspunten:

• Gebruik begrijpelijke taal, zonder technische termen
• Toon wat er mis kan gaan via voorbeelden uit het eigen werk
• Leg nadruk op de rol die ze spelen in de beveiliging van het hele bedrijf
• Benadruk dat geen enkele medewerker buiten bereik van aanvallers valt

Begrip en betrokkenheid ontstaan niet door angst, maar door herkenbaarheid.

Interne communicatie als beveiligingsmaatregel

Beveiliging is niet alleen een technische of operationele kwestie, maar ook een communicatief proces. Regelmatige, duidelijke communicatie verlaagt de kans dat medewerkers afgaan op valse berichten of oproepen. Het geeft richting in twijfelachtige situaties.

Praktische toepassingen van communicatie in beveiliging:

• Maandelijkse interne updates met recente dreigingen
• Directe waarschuwingen bij actuele aanvallen of phishingpogingen
• Een vaste contactpersoon of e-mailadres voor twijfelgevallen
• Positieve erkenning wanneer medewerkers een poging tijdig herkennen

Heldere communicatie voorkomt niet alleen fouten, maar versterkt ook het vertrouwen dat beveiliging een gedeelde verantwoordelijkheid is.

Technische ondersteuning als gedragsbeïnvloeder

Tools en systemen kunnen helpen om gewenst gedrag af te dwingen of te ondersteunen. Niet door medewerkers te beperken, maar door het juiste gedrag makkelijker te maken. Beveiliging moet geen extra last zijn, maar onderdeel van gebruiksvriendelijke processen.

Voorbeelden van technische ondersteuning:

• Automatische waarschuwingen bij verdachte e-mails
• Beperkingen op het installeren van externe apps zonder toestemming
• Dashboardmeldingen bij afwijkend gedrag binnen accounts
• Eenvoudige meldknoppen voor verdachte communicatie

Als deze systemen logisch zijn geïntegreerd in het werkproces, versterken ze het gedrag dat nodig is om social engineering te weerstaan.

Rol van teamleiders en afdelingen

Digitale weerbaarheid is geen individuele verantwoordelijkheid. Leidinggevenden en afdelingen spelen een grote rol in het gedrag dat wordt aangemoedigd of ontmoedigd. Wanneer teamleiders beveiliging actief bespreekbaar maken, nemen medewerkers het onderwerp serieuzer.

Wat afdelingen kunnen doen:

• Beveiliging standaard opnemen in werkoverleggen
• Tijd reserveren voor korte awareness-sessies
• Fouten niet bestraffen maar gebruiken als leermoment
• Nieuwe medewerkers vanaf dag één informeren over procedures

Door beveiliging te verankeren in de cultuur van de afdeling, ontstaat een gezamenlijk normbesef.

Continuïteit in gedragsverandering

Verandering in gedrag komt niet vanzelf. Het vereist herhaling, vertrouwen en goede voorbeelden. Een enkele training verandert niets als de dagelijkse werkomgeving onveilig gedrag toelaat of ongemerkt stimuleert. Daarom is het belangrijk om digitale weerbaarheid te benaderen als een proces, niet als een project.

Essentiële voorwaarden voor blijvend effect:

• Regelmatige aandacht vanuit het management
• Structurele communicatie over risico’s en best practices
• Integratie van beveiliging in onboarding en werkstructuur
• Ruimte voor feedback en terugkoppeling vanuit medewerkers

Zodra beveiliging deel uitmaakt van hoe werk wordt uitgevoerd, is de organisatie beter voorbereid op aanvallen via social engineering en andere vormen van hacking.

Wat kun je er tegen doen?

Digitale dreigingen zoals social engineering, vishing en datadiefstal via platforms als Salesforce vragen om directe actie. Veel organisaties onderschatten hoe snel toegang tot gevoelige gegevens kan worden verkregen via routinematig gedrag van medewerkers. Zoals eerder besproken, is het probleem niet een fout in de techniek, maar een combinatie van menselijk handelen, onvoldoende alertheid en het ontbreken van heldere beveiligingsroutines.

Bescherming begint bij het herkennen van risico’s, maar moet vervolgens worden vertaald naar praktische maatregelen die direct uitvoerbaar zijn. Die maatregelen richten zich zowel op individuen als op processen binnen de organisatie.

Directe controle op gegevensgebruik

Een eerste stap is inzicht verkrijgen in wie er toegang heeft tot welke data, en via welke routes. Vaak is er sprake van overtoegang: medewerkers kunnen meer dan strikt noodzakelijk is voor hun werk. Dit vergroot de impact wanneer inloggegevens worden misbruikt.

Concreet betekent dit:

• Overzicht maken van accounts met toegang tot klantdata
• Controleren welke externe apps gekoppeld zijn aan Salesforce
• Oude of ongebruikte accounts direct verwijderen of deactiveren
• Rechten beperken tot wat functioneel echt nodig is per gebruiker

Deze acties verkleinen het aanvalsoppervlak en beperken schade bij misbruik van een enkel account.

Wachtwoorden en authenticatie onder controle brengen

Een van de meest voorkomende fouten is hergebruik van wachtwoorden, of het gebruik van eenvoudige combinaties die eenvoudig te raden zijn. Dit maakt accounts kwetsbaar, zeker wanneer medewerkers dezelfde wachtwoorden gebruiken op meerdere platforms.

Maatregelen die direct toegepast kunnen worden:

• Verplicht gebruik van sterke, unieke wachtwoorden
• Gebruik van een wachtwoordmanager om beheer te vereenvoudigen
• Invoeren van periodieke wijziging van wachtwoorden
• Directe reset van wachtwoorden bij vermoeden van misbruik

Daarnaast is tweefactorauthenticatie (2FA) of meervoudige verificatie geen optie, maar een standaardmaatregel. Zelfs wanneer een wachtwoord wordt buitgemaakt, is toegang niet mogelijk zonder de extra bevestiging.

Monitoring van verdachte activiteiten

Preventie is belangrijk, maar detectie is noodzakelijk. In veel organisaties blijft ongeautoriseerde toegang onopgemerkt omdat monitoring ontbreekt of te beperkt is ingericht. Door gerichte controle op afwijkend gedrag kunnen incidenten sneller worden ontdekt en gestopt.

Direct toepasbare controles zijn onder andere:

• Signalering van loginpogingen op ongebruikelijke tijdstippen
• Meldingen bij toegang vanuit onbekende IP-adressen of landen
• Controle op grote exports of downloads van klantdata
• Alerting bij installatie van onbekende apps in gekoppelde accounts

Het inrichten van deze monitoring vereist samenwerking tussen IT en security, maar biedt directe waarde in risicobeheersing.

Interne meldingsstructuur versterken

Medewerkers die twijfelen over een verzoek, link of telefoongesprek moeten weten waar ze terecht kunnen. Zonder duidelijke meldingsstructuur blijven veel situaties onopgemerkt of worden ze pas achteraf gemeld, wanneer er al schade is.

Essentiële onderdelen van een effectieve meldingsstructuur:

• Eén herkenbaar meldpunt voor digitale incidenten
• Duidelijke instructies over wanneer iets verdacht is
• Lage drempel: fouten mogen besproken worden zonder schuldgevoel
• Korte interne campagnes om bekendheid te vergroten

Wanneer medewerkers weten waar ze terechtkunnen, stijgt de kans dat social engineering-pogingen op tijd worden gestopt.

Beperkingen op externe koppelingen instellen

Salesforce en vergelijkbare platformen ondersteunen de koppeling van externe apps en diensten. Dit biedt veel flexibiliteit, maar ook risico. Kwaadwillenden gebruiken valse apps of plug-ins om toegang te krijgen tot data, vaak zonder dat de gebruiker weet wat er gebeurt.

Acties om misbruik via externe koppelingen te voorkomen:

• Beperken wie apps mag installeren of koppelen
• Goedkeuringsproces instellen voor nieuwe apps
• Regelmatig controleren op aanwezige koppelingen
• Logging en rapportage inschakelen bij gebruik van third-party apps

Op die manier ontstaat controle op wat verbonden is aan het systeem, en wordt voorkomen dat ongewenste toegang onopgemerkt blijft bestaan.

Training combineren met actie

Voorlichting zonder toepassing levert weinig op. Daarom is het effectief om bewustwording direct te koppelen aan concrete acties. Bijvoorbeeld een korte trainingsmodule afsluiten met het wijzigen van wachtwoorden, of na een phishingtest direct tips geven voor herkenning.

Actiegerichte trainingsmomenten:

• Simulaties van social engineering gecombineerd met directe instructies
• Herinneringen om accounts te controleren na meldingen van aanvallen
• Regelmatige quizvragen over herkenning van phishing
• Feedbackloops na incidentmeldingen met verbeteracties

Door training te koppelen aan directe toepassing, blijft de kennis beter hangen en ontstaat gedragsverandering.

Identiteitsmonitoring en bescherming

Wanneer gegevens eenmaal zijn buitgemaakt, is er weinig dat misbruik op korte termijn voorkomt zonder actieve monitoring. Daarom is het zinvol om systemen in te zetten die waarschuwen wanneer persoonlijke gegevens opduiken in gelekte databases of op het dark web.

Wat organisaties direct kunnen doen:

• Gebruik maken van identiteitsmonitoringtools voor medewerkers
• Waarschuwingen instellen bij gebruik van zakelijke e-maildomeinen
• Realtime monitoring inzetten op gelekte wachtwoorden en accounts

Voor gebruikers die toegang hebben tot klantdata is extra monitoring aanbevolen. Daarmee worden inloggegevens sneller vervangen zodra een lek wordt gedetecteerd.

Procesgericht denken als structurele aanpak

Beveiliging is vaak nog persoonsafhankelijk georganiseerd. Dat betekent dat bescherming afhangt van individuele alertheid. Om risico’s duurzaam te verlagen, moeten beveiligingsmaatregelen structureel in processen worden ingebed. Denk aan:

• Verificatiestappen integreren in toegang tot klantdata
• Automatisch herautorisatie vereisen bij ongebruikelijke acties
• Beperkte toegang tot exportfuncties in Salesforce
• Automatische blokkering bij afwijkend gedrag in het account

Zo wordt veilig werken niet afhankelijk van discipline, maar van structuur. Dat verlaagt de kans op fouten, zelfs bij tijdelijke onoplettendheid.

Organisatorische opvolging blijft essentieel

Zelfs met goede maatregelen blijft opvolging noodzakelijk. Digitale veiligheid vereist voortdurende aandacht, toetsing en aanpassing aan veranderende omstandigheden. Incidenten zoals de Salesforce-hack maken duidelijk dat beveiliging niet stilstaat.

Vervolgacties voor management en teams:

• Periodieke herziening van toegang en autorisaties
• Jaarlijkse risicoanalyse per afdeling
• Interne audits op procesafspraken rond datatoegang
• Bijstellen van procedures na incidenten of waarschuwingen

Zonder structurele opvolging verslapt de aandacht, en ontstaan dezelfde risico’s opnieuw. Informatiebeveiliging is daarmee geen project, maar een doorlopend onderdeel van de bedrijfsvoering.

De 10 belangrijkste takeaways

Beveiligingsincidenten zoals het Salesforce-lek laten zien dat digitale dreigingen steeds minder over technologie gaan en steeds meer over menselijk gedrag. De rol van bewustzijn, structuur en gedrag in informatiebeveiliging is daarmee belangrijker dan ooit geworden voor elke organisatie, ongeacht omvang of sector.

1. Menselijk gedrag is het primaire toegangspunt voor aanvallers
De grootste risico’s ontstaan niet door systeemfouten, maar door het handelen van gebruikers. Gedragsbeïnvloeding is effectiever dan technische aanvallen, omdat systemen legitiem gebruik niet kunnen onderscheiden van misbruik door gemanipuleerde gebruikers.

2. Hacking is niet langer alleen technisch
Aanvallen zoals bij Salesforce maken duidelijk dat hacking zich richt op de psychologie van medewerkers. Dit vereist een andere verdedigingsstrategie dan klassieke perimeterbeveiliging.

3. Het Salesforce-lek onderstreept het belang van digitale weerbaarheid
Organisaties die investeren in digitale weerbaarheid verkleinen het risico op datalekken aanzienlijk. Niet de tools, maar het menselijk handelen bepaalt hoe effectief beveiliging in de praktijk functioneert.

4. Vertrouwen zonder controle is een structureel beveiligingsrisico
Verzoeken die legitiem lijken, maar niet worden geverifieerd, vormen een directe bedreiging. Vertrouwen in interne processen moet altijd gepaard gaan met objectieve controlemechanismen.

5. Beveiligingsbeleid moet geïntegreerd zijn in dagelijks werk
Losstaande regels en eenmalige trainingen zijn onvoldoende. Informatiebeveiliging moet onderdeel zijn van de standaard werkroutines, ondersteund door processen en leiderschap.

6. Toegangsbeheer vraagt om continu onderhoud en herziening
Accounts met te brede rechten, ongebruikte logins en ongecontroleerde koppelingen vormen een stil risico. Regelmatige controle van autorisaties is noodzakelijk om escalatie bij misbruik te beperken.

7. Social engineering verdient een vaste plek in risicoanalyses
Deze aanvalsvector is structureel onderschat binnen organisaties. De impact is vaak groter dan van technische aanvallen, omdat detectie en herstel complexer zijn.

8. Technische detectie faalt bij misbruik van legitieme accounts
Wanneer inloggegevens via manipulatie zijn verkregen, herkennen systemen dit niet als dreiging. Detectie moet worden uitgebreid naar gedragspatronen en contextuele signalen.

9. Organisaties moeten processen afstemmen op misbruikscenario’s
De huidige processen zijn vaak ingericht op efficiëntie, niet op weerbaarheid. Herontwerp op basis van bekende aanvalstactieken voorkomt dat routinehandelingen misbruikt worden.

10. Informatiebeveiliging is een gedeelde verantwoordelijkheid
Effectieve bescherming ontstaat pas als alle lagen van de organisatie betrokken zijn. Van directie tot eindgebruiker: ieder heeft een rol in het versterken van de beveiligingscultuur.