Psybersafe Blog

De mkb-mythe

maart 2026· 4 min read

Ben je te klein om een doelwit te zijn?

De meeste kleine en middelgrote bedrijven dragen dezelfde stille aanname met zich mee...

We zijn niet zo interessant, we zijn niet zo groot ÉN het komt wel goed. En juist die overtuigingen maken je aantrekkelijk voor potentiële hackers.

Hackers zitten niet te wachten op een grote, bekende naam. Ze draaien op volume. Geautomatiseerde scans, phishingcampagnes, credential stuffing. Je hoeft alleen maar een makkelijker doelwit te zijn dan het bedrijf hiernaast.

Dat is vaak het geval bij mkb-bedrijven...

Niet omdat het ze niet kan schelen, maar omdat ze het druk hebben. Je hebt klanten te bedienen, een cashflow te beheren, mensen om voor te zorgen. Beveiliging belandt ergens tussen "belangrijk" en "later". Aanvallers rekenen op die gaten.

Jij bent niet het doelwit. Jij bent de toegangspoort.

Dit is wat de meeste mensen over het hoofd zien. Veel mkb-bedrijven worden niet aangevallen om hun eigen data. Ze worden aangevallen vanwege met wie ze verbonden zijn. Je bent een leverancier, een partner, een opstapje naar iets of iemand die in de wereld van een hacker "interessanter" is.

Recente incidenten in de techniek en de maakindustrie laten dit duidelijk zien. Kleinere bedrijven worden gebruikt als ingang naar grotere organisaties. Eén gecompromitteerde inbox, één hergebruikt wachtwoord en plotseling ligt het netwerk van iemand anders open.

Je hoeft niet waardevol te zijn. Je hoeft alleen maar verbonden te zijn.

En dat besef verandert het risico aanzienlijk!

De echte schade is niet technisch

Als mensen aan cyberaanvallen denken, zien ze systemen uitvallen voor zich. Dat is een deel ervan, maar zelden het deel dat het meeste pijn doet. De echte schade laat zich op stillere manieren zien, zoals:

Een klant zet een contract op pauze.

Een partner stelt meer vragen dan gewoonlijk.

Een prospect haakt af na een due diligence.

Grote organisaties kunnen dit soort schade opvangen. Ze hebben een merk, pr-teams, juridische buffers. De meeste mkb-bedrijven niet.

Als een klant begint te twijfelen aan hoe je met zijn gegevens omgaat, verlies je niet zomaar één deal. Je verliest toekomstige deals waar je nooit van hoort. Dat is het deel dat niemand in het incidentrapport zet.

"Daar hebben we IT voor" is geen strategie

Veel bedrijven voelen zich gedekt omdat ze IT hebben uitbesteed of beveiligingstools hebben geïnstalleerd. Dat is zeker nuttig, maar niet altijd genoeg.

In het VK blijft de privacytoezichthouder (de ICO) wijzen op dezelfde grondoorzaak bij datalekken. Geen geavanceerde aanvallen, maar basale gaten in "organisatorische maatregelen".

Wanneer mensen niet weten waar ze op moeten letten, en hun gedrag niet begrijpen en aanpassen, dan is het moment daar dat...

Iemand klikt.

Iemand deelt toegang.

Iemand meldt iets niet, omdat hij niet zeker weet of het ertoe doet.

Dit gebeurt niet wanneer de techniek faalt, maar wanneer de systemen eromheen falen.

De goedkoopste maatregel die je niet goed benut

Als je de meeste mkb-leiders vraagt waar ze in beveiliging zouden investeren, wijzen ze naar software: firewalls, detectietools, monitoring, enzovoort.

Die ZIJN allemaal belangrijk, maar geen ervan helpt wanneer iemand zijn wachtwoord intypt op een nepinlogpagina om 16.52 uur op een vrijdag.

Of bij recentere aanvallen waarbij hackers zich voordoen als de IT-helpdesk en om toegang vragen om "te helpen". Je leest er hier meer over.

Je mensen vormen al je grootste aanvalsoppervlak, maar ze kunnen ook je beste verdedigingslinie zijn.

Maar alleen als ze voorbereid zijn. Niet met een jaarlijkse trainingsmodule die iedereen wegklikt terwijl hij half naar zijn mail kijkt. Dat beklijft niet.

Mensen hebben korte, regelmatige prikkels en echte voorbeelden nodig. Situaties die lijken op hun echte werkdag. Het soort waarbij ze denken: "o, dat heb ik weleens gezien."

Zo verandert gedrag. Niet door informatie, maar door herhaling en relevantie.

Een betere vraag om te stellen

Vraag niet "Zijn we veilig?" maar iets ongemakkelijkers: "Als een van onze mensen morgen een simpele fout maakt, hoe erg kan het dan worden?" Want dat is het scenario dat zich het vaakst afspeelt.

Begin klein, maar maak het echt. Je hebt geen enorm programma nodig om het verschil te maken.

Praat open over fouten.

Laat zien hoe een phishingmail er vandaag de dag echt uitziet.

Maak het makkelijk om iets te melden zonder je dom te voelen.

Herhaal de belangrijke dingen meer dan eens.

Maak beveiliging onderdeel van hoe je werkt, niet iets wat erbuiten staat. Pas wanneer het deel wordt van het dagelijkse werk, begint het te beklijven.

Als je één ding meeneemt: je bent niet te klein om over het hoofd gezien te worden als het om cybersecurity gaat. Waar hackers naar op zoek zijn, is klein, slecht voorbereid en voldoende verbonden.

Het goede nieuws is dat dit op te lossen is, niet door meer angst, maar met betere gewoonten.

En dat begint bij je mensen. Effectieve training is zeker een van de manieren.

Dit kan als onderdeel van je IT-beleid, zonder een enorme investering in tijd of geld, terwijl je je bedrijf beter beschermt tegen aanvallen.

In een eerdere blog bespreken we hoe je beveiliging aanpakt als je weinig tijd en weinig budget hebt.

Don't miss what actually changes behaviour

Every blog as it lands, plus tips, tricks and behavioural science you won't find anywhere else.

Join over 500 people getting safer, one issue at a time.

No spam. Unsubscribe any time.

Found this useful? Share it with a colleague. And if someone shared it with you, sign up above and get the next one yourself.