De recente hack bij Odido, waarbij gegevens van miljoenen klanten in handen van criminelen zijn gekomen, maakt opnieuw duidelijk hoe kwetsbaar grote organisaties kunnen zijn. Niet omdat hun techniek per se ondeugdelijk is, maar omdat aanvallers steeds slimmer inspelen op menselijk gedrag.

De hackers kwamen niet binnen via een ingewikkelde technische achterdeur, maar via phishing. Medewerkers ontvingen frauduleuze berichten en werden vervolgens telefonisch benaderd door mensen die zich voordeden als de interne ICT-afdeling. Door die combinatie van misleiding en sociale druk wisten de criminelen toegang te krijgen tot interne systemen. Een klassieke vorm van social engineering, maar blijkbaar nog steeds zeer effectief.

Volgens berichtgeving zijn onder meer namen, adressen, contactgegevens en mogelijk identificerende gegevens ingezien. Hoewel geen wachtwoorden of belgegevens zijn buitgemaakt, is de combinatie van persoonlijke data voldoende om gerichte fraude of overtuigende phishingaanvallen op te zetten. Dat maakt de impact potentieel groot, ook op langere termijn.

Wat deze zaak vooral onderstreept, is dat cybersecurity niet alleen een technisch vraagstuk is. Je kunt systemen nog zo goed beveiligen met firewalls en multifactor-authenticatie, maar als medewerkers niet goed getraind zijn in het herkennen van phishing en social engineering, blijft er een kwetsbaarheid bestaan.

De belangrijkste les uit deze gebeurtenis is daarom helder: structurele en herhaalde opleiding van medewerkers is geen luxe, maar een noodzakelijke investering. Cyberveiligheid begint bij bewustzijn. Technologie ondersteunt dat, maar uiteindelijk zijn het mensen die beslissingen nemen — en precies daar richten criminelen zich op.