De dag van Martin Kraemer begint steevast met een diepe duik in het wereldwijde cybersecuritynieuws. Als CISO Advisor bij KnowBe4 moet hij de vinger aan de pols houden. De laatste tijd ziet hij digitale dreigingen in rap tempo veranderen, voornamelijk onder invloed van geopolitieke machtsverschuivingen. Beleidsontwikkelingen binnen de Europese Unie bepalen in grote mate de koers en dat is precies waar hij adviseert.
Kraemer helpt CISO’s van grote organisaties bij het opzetten van risicostrategieën en governance-frameworks. Zijn centrale overtuiging is dat cybersecurity al lang niet meer puur over technologie gaat zodra de werkvloer in beeld komt. Het vraagt om een brede, zakelijke blik op de organisatie.
Geopolitieke verschuivingen en de Europese spagaat
Wie naar de markt van het afgelopen jaar kijkt, ziet een aantal grote trends die onlosmakelijk met elkaar verbonden zijn, aldus Kraemer. Het chronische tekort aan IT-talent is een oude bekende. Die schaarste wordt nu extra hard gevoeld omdat de complexiteit op andere vlakken explodeert. Kraemer ziet bijvoorbeeld een duidelijke verschuiving in hoe Europa omgaat met data. De tijd van papieren tijgers en vrijblijvende protocollen is voorbij. Er wordt nu echt doorgepakt om de Europese tech-soevereiniteit te beschermen.
Frankrijk is daar momenteel het absolute schoolvoorbeeld van vindt hij. Zo heeft de Franse overheid besloten om volledig weg te bewegen van Amerikaans gebaseerde cloud-infrastructuur. Het land bouwt aan een eigen, soevereine overheidscloud. Dat besluit heeft een gigantisch rimpeleffect op alle grote bedrijven die met de overheid zakendoen. In theorie klinkt het streven naar onafhankelijkheid prachtig om organisaties veerkrachtiger te maken, maar de praktijk is weerbarstig. Bedrijven zijn immers diep geworteld in internationale afhankelijkheidsketens. Cutting-edge software leunt op specifieke cloudservices, die weer draaien op hardware die maar in een zeer beperkt aantal datacenters wereldwijd beschikbaar is. Echt onafhankelijk opereren is daardoor een enorme strategische uitdaging noemt hij.
De geboorte van de Digital Workforce
Deze complexe infrastructuur vormt het decor voor een ingrijpende koerswijziging bij KnowBe4. Waar de focus voorheen lag op Human Risk Management, staat nu de Digital Workforce centraal. Die verschuiving is bittere noodzaak zegt Kraemer, omdat de definitie van de werkvloer drastisch is veranderd. Vandaag de dag heeft de gemiddelde werknemer al twee tot drie AI-agents voor zich werken. Zijn verwachting is dat dit aantal richting het einde van het decennium oploopt naar meer dan honderd agents per medewerker.
De opkomst van platformen zoals OpenDevin laat zien waar het naartoe gaat. Er ontstaan online fora die puur door AI-agents worden bevolkt zoals Moltbook. Op platforms zoals RentAHuman kunnen bots juist fysieke mensen inhuren om acties in de echte wereld uit te voeren, omdat een bot dat niet kan. Het traditionele organigram verdwijnt in rap tempo. Veel AI-agents voeren momenteel exact dezelfde taken uit als hoogopgeleide kantoormedewerkers. Ze verzamelen informatie, analyseren data, nemen beslissingen en voeren plannen uit. Kraemer vindt dat de werkvloer gewoonweg een hybride mix van mens en machine is geworden.
Hoewel de opkomst van AI-collega’s vraagt om directe actie, benadrukt de CISO-adviseur dat de transitie naar een veilige, hybride werkvloer een stapsgewijs traject is. Organisaties kunnen niet in één keer naar het hoogste niveau springen. Dit traject begint bij de absolute basis, die puur gedreven wordt door compliance en het creëren van initiële awareness. Pas wanneer het fundament daarvoor staat, volgt de stap naar daadwerkelijke gedragsbeïnvloeding. Hierbij worden medewerkers actief gefaciliteerd door de juiste omgevingsfactoren en tools aan te reiken, zoals een wachtwoordmanager of een laagdrempelige meldknop voor verdachte e-mails of chats. Pas in de laatste fase moet er worden gepraat over een echt holistische aanpak. Daarin smelten awareness, menselijk gedrag en een solide security-cultuur samen met de technische guardrails die nodig zijn om de actieve AI-vloot te controleren.
De onzichtbare dreiging van prompt-injecties
Die nieuwe werkvloer brengt uiteraard nieuwe risico’s met zich mee. De afgelopen twintig jaar heeft de securitywereld succesvol geprobeerd mensen te trainen in het herkennen van phishing en rode vlaggen. Hoe dat precies werkt weet men heden ten dage dan ook vrij goed. Nu we AI-agents instrueren om onze e-mails te lezen is er wel een entiteit geïntroduceerd die weliswaar razendsnel kan processen, maar de wereld en de context simpelweg niet begrijpt zegt Kraemer. Wat social engineering is voor mensen, is prompt-injectie voor AI-agents. Mensen werden voorheen verleid om met spoed geld over te boeken. AI-agents worden gemanipuleerd met onzichtbare commando’s om data te lekken.
Praktijkvoorbeelden laten zien hoe geraffineerd zoiets inmiddels gaat, bijvoorbeeld via een EchoLeak-aanval binnen Microsoft Copilot. Een aanvaller stuurt simpelweg een e-mail met een kwaadaardige prompt-injectie die is geschreven in witte tekst op een witte achtergrond. De medewerker opent de mail niet eens, dus er lijkt niets aan de hand. Later vraagt diezelfde werknemer aan Copilot om een samenvatting te maken van de inbox ter voorbereiding op een financiële kwartaalmeeting.
De AI-bot scant de inbox, leest de ongeopende mail en pikt de verborgen instructie op. De bot krijgt plotseling de opdracht om verbinding te maken met de SharePoint-omgeving van het bedrijf, zoekt gevoelige data en genereert via een koppeling met Slack een markdown-hyperlink. Wanneer Slack op de achtergrond de hyperlink previewt, wordt er stilletjes een call uitgevoerd waarbij de gestolen data direct naar de server van de hacker wordt doorgesluisd. In dit geval heeft de medewerker zelf geen enkele fout gemaakt, maar toch liggen bedrijfsgeheimen op straat.
Identiteitsbeheer voor algoritmes
Het monitoren van duizenden actieve AI-agents brengt een enorm risico op alert fatigue met zich mee in het Security Operations Center. Agents werken op machinesnelheid en hebben geen flauw benul van bedrijfsprocessen. Ze pushen continu technische grenzen door permissies te vragen of drempelwaarden te overschrijden. In antwoord op de vraag hoe hij dit precies ziet, stelt Kraemer dat dit probleem bij de wortel moet worden aangepakt via Identity & Access Management. Traditioneel kennen we menselijke accounts en service-accounts zegt hij, maar autonome AI-agents hebben een eigen vorm van beslissingskracht en vereisen daarom een volledig eigen identiteitsklasse. Dit is cruciaal om de taakomschrijving en de permissies van een bot strak af te kaderen.
Onlangs was zoiets nog het geval bij een online-chatbot noemt Kraemer. Een onderzoeker ontdekte dat deze bot over te veel vrijheid beschikte. De onderzoeker vroeg om Python-code te schrijven en die vervolgens uit te voeren in de interne klantomgeving. Omdat de ontwerpers de scope van de bot niet technisch hadden ingeperkt, voerde de chatbot de code plichtsgetrouw uit met alle gevolgen van dien.
Omdat de datastromen te snel gaan voor mensen, ontkomen we er niet aan om AI in te zetten om AI te monitoren. We vroegen dan ook aan Kraemer hoe hij hierover dacht. Dit om te voorkomen dat de security stack een onleesbare black box wordt. Hij adviseert daarom om de monitoring-engine continu te testen tegen een vaste set testcases om gedragsveranderingen te meten. Daarnaast is input-filtering essentieel om prompts te onderscheppen voordat ze de agent überhaupt bereiken.
De balans tussen Zero Trust en Workforce Trust
Op de vraag of praten over vertrouwen op de werkvloer niet levensgevaarlijk is en of een CISO niet strikt vast moet houden aan Zero Trust, reageert de CISO-adviseur vastberaden. Hij legt uit dat dit precies de kern is van de moderne CISO-rol. Aan de binnenkant, op technisch niveau, moet een CISO absoluut vasthouden aan Zero Trust door alles te controleren en te verifiëren. Naar de business en de markt toe moet de organisatie risico’s echter omzetten in kansen. De CISO moet het risico van de Digital Workforce beheersen, net zoals een bedrijf financiële risico’s managet via KPI’s en dashboards om door te kunnen groeien. Door aan te tonen dat je deze risico’s onder controle hebt, word je als bedrijf namelijk pas echt een betrouwbare partner voor de markt.
Wanneer menselijke teams krimpen en er meer autonome AI-agents worden ingezet, raakt de operationele keten echter gefragmenteerd. De CISO-adviseur maakte de vergelijking met een pakketbezorger die een pakketje aflevert zonder te weten of er legitieme spullen of illegale goederen in zitten. De mogelijkheid om een situatie intuïtief te beoordelen verdwijnt uit de keten zodra de menselijke controle laag wordt verwijderd.
De CISO van 2031: Gedragskundige of systeembeheerder?
Met de blik op de toekomst rijst de vraag hoe die verantwoordelijkheid er over vijf jaar uitziet. Beheert de CISO van 2031 nog wel menselijk gedrag of verschuift de taak volledig naar het managen van duizenden autonome algoritmes? Volgens Kraemer wordt het een onlosmakelijke combinatie van beide. Het managen van AI-agents wordt technisch intensiever, maar juist daardoor wordt de menselijke component belangrijker dan ooit.
Een gezonde security-cultuur is namelijk het product van menselijke interactie. Zoiets ontstaat omdat collega’s elkaar observeren, met elkaar praten, samen lunchen en een gedeelde identiteit ontwikkelen. Zodra AI-agents taken overnemen, valt die sociale controle weg. Als de menselijke intuïtie uit de keten verdwijnt, blijft er niemand over om te beoordelen of een handeling ethisch of organisatorisch wel door de beugel kan. De CISO van de toekomst zal dus niet alleen algoritmes moeten temmen, maar er vooral voor moeten waken dat de menselijke security-cultuur niet volledig verdampt.
Het fabeltje van de massale AI-ontslagen
Wanneer de recente ontslaggolven bij techgiganten en grootbanken ter sprake komen, deelt Kraemer een zeer kritische visie. Veel organisaties spreken simpelweg niet de waarheid over de reden van hun ontslagen. AI wordt door het management vaak misbruikt als een sexy en visionair argument richting investeerders. Dit om inkrimpingen te verhullen die in werkelijkheid een puur economische oorzaak hebben. Bedrijven die er echt in geloven dat ze complete menselijke teams kunnen vervangen door een verzameling algoritmes, gaan volgens hem de deksel op de neus krijgen. Kunstmatige intelligentie heeft natuurlijk wel die enorme verwerkingssnelheid, maar het begrijpt de wereld niet. Mensen blijven cruciaal om de context aan de machine uit te leggen.
Daarnaast rammelt de economische realiteit achter de AI-hype. De AI-tokens die men nu massaal verbruikt, zijn momenteel kunstmatig goedkoop omdat ze zwaar worden gesubsidieerd door durfkapitaal. Zodra de markt normaliseert, de werkelijke operationele kosten en de gigantische energiekosten van datacenters worden doorberekend, zal de businesscase voor het vervangen van mensen door AI-agents er plotseling heel anders uitzien.
Morgen beginnen met de Digital Workforce
We vroegen Kraemer ook naar de ultieme tip voor de Nederlandse CISO of IT-directeur die morgen de regie wil pakken over zijn of haar hybride werkvloer. Dat begint bij het creëren van zichtbaarheid aldus de CISO-adviseur. Analyseer kritisch hoeveel je echt weet van het gedrag van je werknemers én de actieve AI-agents binnen je netwerk, maar breng ook de schadow-AI in kaart. Vervolgens moeten organisaties leren van reeds vertoond gedrag. Als je in het verleden een medewerker blokkeerde die een onveilige USB-stick inplugde, biedt dan direct een veilig alternatief om die data te verplaatsen. Diezelfde faciliterende benadering kan en moet ook worden toegepast op het gedrag van AI-agents.
Tot slot moeten organisaties elke nieuwe AI-agent vanaf de tekentafel kritisch beoordelen op drie vlakken. Kraemer doelt dan op de gevoeligheid van de data, de mate van zelfstandigheid en de uiteindelijke actiebevoegdheid. Door projecten te starten met een extreem laag niveau van autonomie en de scope pas uit te breiden als de monitoring waterdicht is, houdt de securitytop de touwtjes in handen.
De belangrijkste les van de CISO-adviseur is dan ook dat de Digital Workforce geen puur IT-probleem is, maar een operationeel bedrijfsrisico. Wie de risico’s van deze hybride werkvloer beheerst met heldere KPI’s en dashboards, creëert een meetbare ROI, blijft compliant met de wet en transformeert cybersecurity van een kostenpost naar een strategisch fundament voor de business.