Bij woningcorporaties gaat phishing zelden over een romantische erfenis uit Nigeria. Het gaat over een nagemaakte mail van een aannemer met gewijzigde bankgegevens, vlak voor de termijnbetaling van een renovatieproject van enkele miljoenen. Of over een huurder-portaal-login die wordt overgenomen om in de KvK-administratie aanpassingen te maken. De aanvalsvectoren volgen het geld en de data.
Huurderdata onder AVG
Een corporatie weet veel. Inkomensgegevens, gezinssamenstelling, betaalgedrag, soms schuldhulpverlenings-status. Onder de AVG geldt een hoge zorgplicht en bij datalekken loopt u niet alleen tegen reputatieschade aan, maar ook tegen meldingen aan de AP en mogelijk een onderzoek door de Inspectie Leefomgeving en Transport in samenhang met Aedes. Een gecompromitteerde mailbox van een woonconsulent kan duizenden persoonsdossiers ontsluiten.
Leveranciersmail-fraude
Het grootste financiele risico zit bij onderhoudscontracten. Een corporatie heeft raamovereenkomsten met aannemers, schilders, dakdekkers en groenvoorzieners. Mailcontact verloopt via projectleiders, en betalingen via vaste creditorrekeningen. Een aanvaller die de mailbox van een aannemer overneemt, wacht op een lopend renovatieproject en stuurt vlak voor de eindfactuur een vriendelijk bericht: "Onze rekening is gewijzigd, kunt u de betaling overmaken naar..." Deze BEC-variant draait zonder uitzondering om timing en context.
Aedes en NIS2
Aedes publiceert sinds 2022 een richtlijn informatieveiligheid. Daarin staan basismaatregelen die bij een goede beveiligingsarchitectuur thuishoren: MFA op alle toegang, segmentatie van het netwerk, logging op kritieke systemen. NIS2 is een ander verhaal. De sector valt formeel niet onder NIS2-reikwijdte, maar leveranciers van corporaties zoals Itris, NCCW en Cegeka steeds vaker wel. Dat verschuift compliance-eisen door de keten.
ZIG en koppelingen
ZIG is voor veel corporaties het centrale ERP-systeem. Koppelingen lopen naar bewonersportalen, betaalstraten en aannemersplatforms. Elke API-koppeling is een potentieel pad voor laterale beweging na een phishing-aanval op een beheerder. Beperk admin-accounts, gebruik aparte service-identiteiten en monitor afwijkingen in API-aanroepen.
Simulatie als nulmeting
Begin met een baseline-meting voordat u traint. Stuur drie scenario's naar verschillende doelgroepen: een aannemers-mail naar finance, een Microsoft 365-login-prompt naar woonconsulenten, een gefakete Aedes-nieuwsbrief naar bestuur. PhishWise levert hiervoor sjablonen die op Nederlandse corporatie-context zijn gebouwd. De click-rate bij de eerste ronde ligt vaak rond 18 procent. Na drie kwartalen training daalt dat naar onder de 5 procent.
Verwant: Onafhankelijke Cybersecurity consultant, Freelance IT consultant.