Bas van Erk, SoSafe: ‘Cybersecurity begint bij menselijk gedrag’

Bas van Erk, directeur Sosafe Benelux en Nordics.

Cybersecurity gaat niet alleen om firewalls, antivirussoftware of sterke wachtwoorden. Steeds vaker vormt menselijk gedrag een belangrijke focus in de beveiligingsketen. Dat is precies waar Sosafe op inzet. Het bedrijf, opgericht in Duitsland in 2018, richt zich op het vergroten van cybersecurity awareness en gedragsverandering bij medewerkers. Inmiddels heeft Sosafe meer dan 5.000 klanten wereldwijd en groeit het hard – ook in Nederland.

“Wij geloven niet in een eenmalige training tijdens de onboarding en dan nooit meer iets,” zegt Bas van Erk, verantwoordelijk voor de Benelux en Nordics. “Bewustwording moet leiden tot blijvend veilig gedrag. Dat vraagt om meer dan alleen techniek.”

Gedragswetenschap als fundament

Wat Sosafe onderscheidt van andere partijen, komt voort uit de achtergrond van de oprichter: een gedragswetenschapper. Dat uitgangspunt zie je terug in de aanpak. In plaats van eenmalige traditionele e-learnings en droge presentaties, kiest Sosafe voor structurele interactieve, motiverende en realistische scenario’s die aansluiten bij het dagelijks werk van de gebruiker.

Van Erk: “Je leert veel meer als je zelf actief iets moet doen. Bijvoorbeeld door de dag van een fictieve collega te volgen en keuzes te maken in risicosituaties – zoals het verliezen van een laptop in de trein. Dat is veel effectiever dan een statische video kijken.”

Spelenderwijs leren

Gamification is een belangrijk onderdeel van de aanpak. Medewerkers kruipen bijvoorbeeld zelf in de huid van een hacker en stellen een phishing-mail samen. “Op die manier begrijpen mensen beter hoe social engineering werkt,” aldus Van Erk. “Dat beklijft. En het maakt leren bovendien leuker.”

Naast het vergroten van motivatie is personalisatie een speerpunt voor Sosafe. “We personaliseren het aanbod naar gelang de rollen in een organisatie,” legt Van Erk uit. “Wie werkt in een klantcontactcenter, krijgt veel te maken met persoonlijke data. Dan bieden we meer content rondom zaken zoals de AVG. Een verpleegkundige heeft eerder te maken met medische gegevens en moet andere wetgeving kennen. Het leertraject moet aansluiten bij iemands dagelijkse praktijk.”

Verder benadrukt Van Erk het belang van continuïteit in de leerprocessen. “Eenmalige trainingen werken niet. Daarom zetten we in op regelmatige ‘snack sized’ herhaling van vijf tot zes minuten. Zo blijft awareness en inzicht in je gedrag voortdurend top of mind.”

Van awareness naar human riskmanagement

Hoewel cybersecurity awareness nog steeds een belangrijk onderdeel is van het aanbod van Sosafe, verschuift de focus inmiddels naar een bredere benadering: human riskmanagement. Daarbij worden trainingen gekoppeld aan systemen die bijvoorbeeld toegang tot gevoelige informatie regelen.

“We zien een toekomst waarin bepaalde cybersecurityvaardigheden een voorwaarde zijn voor toegang tot systemen,” zegt Van Erk. “Denk aan verplichte trainingen voorafgaand aan autorisatie. We integreren onze oplossingen daarom ook met SIEM-, SOC- en identity-oplossingen.”

Voor die integraties werkt Sosafe samen met partners zoals Northwave. “Techniek en gedrag moeten elkaar versterken. Maar je moet niet denken dat als je je techniek op orde hebt, je klaar bent. Juist niet, zeker met de opkomst van AI.”

AI als gamechanger

De opkomst van AI verandert het dreigingslandschap razendsnel. Cybercriminelen maken inmiddels gebruik van tools als voice cloning en deepfakes, waarmee ze geloofwaardige identiteiten nabootsen. Van Erk noemt een voorbeeld van een CEO die ogenschijnlijk via WhatsApp en Teams een verzoek tot een geldtransactie doet – volledig gegenereerd via AI.

“Technologie alleen kan dit soort aanvallen steeds minder goed tegenhouden,” stelt hij. “Je moet medewerkers trainen om deze signalen te herkennen. Dat begint bij het bewustzijn dat dit kán gebeuren.”

Tegelijkertijd zet Sosafe AI ook in aan de ‘goede’ kant: voor het personaliseren van trainingen, het genereren van realistische scenario’s en het analyseren van risico’s. “AI biedt ons de mogelijkheid om het leerproces slimmer en effectiever te maken.”

Lokale aanpak lokale uitdagingen

Sinds maart 2022 is Sosafe officieel actief in Nederland. Het team bestaat grotendeels uit Nederlandse medewerkers, volgens Van Erk essentieel om de juiste toon te vinden. “Cybersecurity is universeel, maar de manier waarop je mensen aanspreekt, is cultureel bepaald. Een Duitse benadering werkt hier niet zomaar. Wij stemmen content af op de Nederlandse markt – en op de cultuur binnen individuele organisaties.”

Die cultuurcomponent is cruciaal voor succes, aldus Van Erk. “Het eerste wat we doen bij een klant is in gesprek gaan over hun organisatiecultuur. Daarop passen we leerpaden aan. Een organisatie met een formele hiërarchie heeft een andere benadering nodig dan een jonge scale-up met platte structuren.”

De aanpak slaat aan. Inmiddels telt Sosafe enkele honderden klanten in Nederland – van het mkb tot grote multinationals, gemeenten en zelfs intergouvernementele instellingen.

Europese wortels onderscheidende factor

In een wereld waarin geopolitieke spanningen oplopen en zorgen over dataveiligheid in Amerikaanse clouddiensten toenemen, vormen de Europese wortels van Sosafe een belangrijk onderscheidend element. Van Erk: “Het feit dat wij ‘made in Europe’ zijn, wordt steeds meer als een voordeel gezien. Dat was het eigenlijk altijd al – bijvoorbeeld in hoe we omgaan met fouten. In Europa is de aanpak op dit gebied vaak constructiever dan in de VS.”

Hij ziet het bewustzijn hierover toenemen bij klanten. “Je hoeft je echt niet af te keren van Amerikaanse leveranciers, maar je moet je wel bewust zijn van de risico’s. Hoe veilig is je data als die via een Amerikaanse AI-tool loopt?”

Veerkracht in veranderend landschap

Ondanks de toenemende complexiteit van het dreigingslandschap en de versnellende technologische ontwikkelingen, blijft Van Erk optimistisch. “De dreiging zal altijd blijven – en die verandert voortdurend. Maar dat betekent niet dat we weerloos zijn. Integendeel. Met de juiste mix van techniek, gedrag, training en bewustzijn kunnen organisaties weerbaar blijven. Het vraagt alleen om een andere mindset.”

En dat is precies waar Sosafe op inzet: het doorontwikkelen van een nieuwe mindset, waarbij technologie samen met human riskmanagement de sleutel vormen tot effectieve cybersecurity.