De razendsnelle adoptie van artificial intelligence heeft cybersecurity-principes op losse schroeven gezet. Het direct koppelen van modellen aan bedrijfsdata, de opkomst van duizenden onzichtbare AI-agents en de niet te stoppen golf van ‘Shadow AI’ zorgen voor blinde vlekken in vrijwel elke IT-infrastructuur. Toch is de situatie verre van hopeloos. Hoe tem je deze technologische storm? En hoe zorgen we ervoor dat security, governance en de exponentieel stijgende kosten beheersbaar blijven? We bespreken het in een rondetafelgesprek met de experts van ManageEngine, Nutanix, Okta, Thales, TrendAI, Veeam en Zscaler.
In het eerste artikel dat we publiceerden naar aanleiding van het rondetafelgesprek, werd duidelijk dat AI forse impact heeft op security. Zeker de verschuiving in adoptie van de technologie maakt dat nog maar eens duidelijk. In de begindagen van de generatieve AI-hype was vooral sprake van koudwatervrees en krampachtig blokkeren. De markt begint nu echter een volwassenere houding aan te nemen.
Hierdoor verschuift ook de focus van het simpelweg detecteren van bedreigingen naar het faciliteren van de business, zonder de kroonjuwelen van het bedrijf in de etalage te zetten. Het antwoord op de AI-securitypuzzel blijkt opvallend genoeg niet te liggen in compleet nieuwe, magische oplossingen, maar in een radicale herwaardering van de basis.
Terug naar de hygiëne
Ondanks de snelheid en complexiteit van AI, waarschuwen verschillende experts aan tafel voor het opnieuw uit willen vinden van het wiel. De fundamentele regels van IT-security zijn namelijk niet veranderd. Edwin Weijdema van Veeam ziet een duidelijke parallel met eerdere technologische verschuivingen. “De securityprincipes blijven hetzelfde, of we nu naar de cloud gaan of AI omarmen: least privilege, secure by design”, stelt Weijdema scherp. Hij ziet echter dat de praktijk weerbarstiger is. “We zien met AI dezelfde rush als destijds met de cloud. Mensen rollen het uit zonder na te denken over de beveiliging of wie toegang zou moeten hebben tot wat. We zitten nu nog in de ontwikkelingsfase, waarbij de vraag aan een engineer is hoeveel resources hij nodig heeft en het antwoord steevast luidt: ‘alles wat je me kunt geven’. Dat is natuurlijk niet houdbaar qua kosten. Naarmate AI volwassener wordt, zullen we zien dat het gebruik gerichter en efficiënter wordt. Je wilt applicaties met ingebouwde AI gebruiken om processen echt te versnellen, in plaats van onbeperkte middelen te verspillen aan willekeurige experimenten.”
Ook Rob Sanders van Okta ziet dat de oplossing begint bij ouderwets, degelijk beheer. Oftewel: cyberhygiëne. Zeker als het gaat om autonome systemen. “We moeten terugvallen op de basis”, benadrukt Sanders. “Neem de autonome AI-agents. Net als bij een vertrekkende werknemer moet je de toegangsrechten direct intrekken als de agent niet langer wordt gebruikt. Governance rondom deze entiteiten is cruciaal; deprovisioning voorkomt dat een slapende agent in de toekomst wordt misbruikt.” Volgens Sanders hoeven organisaties niet in paniek te raken over een gebrek aan middelen. “Wat echt hoopvol is, is dat we bouwen op een fundament dat er al ligt. AI landt niet in een vacuüm. Het leunt op de API-economie, op moderne authenticatieprotocollen, op netwerksignalen en geavanceerde endpoint-detectie. De tools zijn allemaal aanwezig. De volgende stap is dat we als security-leveranciers onze signalen en inzichten nog meer in real-time met elkaar integreren. We kunnen niet langer wachten tot een SIEM of SOC-team een logbestand analyseert.”
Vuur met vuur bestrijden
Die noodzaak voor real-time integratie brengt het gesprek op het cruciale punt: de schaal en snelheid van moderne dreigingen. Omdat AI door aanvallers wordt gebruikt om geautomatiseerd netwerken af te speuren en code te schrijven, is de traditionele manier van handmatig patchen en reageren een gepasseerd station. Albert Kramer van Zscaler stelt dat het tijd is om het perspectief te verleggen. “Ik denk dat we tot nu toe best somber waren over de bedreigingen van AI, maar we moeten niet vergeten dat het ons ook een enorme voorsprong geeft”, nuanceert hij. “Vroeger kregen we vijftien kwetsbaarheden per week binnen, nu zijn het er duizenden. Handmatig patchen op die snelheid is simpelweg onmogelijk. We moeten vertrouwen op AI om diezelfde kwetsbaarheden voor ons te detecteren en direct af te schermen van de buitenwereld. Dat kan door middel van virtueel patchen of geautomatiseerde respons. Als vannacht een kwetsbaarheid in een applicatie wordt gevonden, kan AI die verbinding direct blokkeren of de toegang minimaliseren tot er een definitieve patch is. Dat is de verschuiving van reactief naar proactief beveiligen op machineschaal.”
Bart Herps van TrendAI vult aan dat AI onmisbaar is om door de bomen het bos nog te zien, zeker nu werknemers zelf massaal applicaties genereren met behulp van AI-codeertools. “Het gaat tegenwoordig om de snelheid waarmee nieuwe dingen worden gecreëerd. We zien dat er bij sommige organisaties dagelijks honderden nieuwe applicaties bijkomen”, schetst Herps. “Dat kun je onmogelijk nog handmatig controleren. Daarom is het essentieel dat we AI inzetten om het totale dreigingslandschap zichtbaar te maken. Je hebt inzicht nodig in alle individuele risico’s: een apparaat dat vanaf het internet bereikbaar is, een verkeerde configuratie of een kwetsbaar account.” De AI kan volgens hem doorzien wat de onderlinge relaties zijn tussen al die individuele zwakke plekken en de netwerklaag dynamisch aanpassen. Hierdoor verschuift de verdediging naar attack path prediction. Het gaat dan om het razendsnel voorspellen en blokkeren van de route die een aanvaller zal afleggen, voordat de kettingreactie überhaupt kan starten.
Governance op snelheid
Als de verdediging op de netwerklaag geautomatiseerd en versneld wordt, kan de beleidsafdeling niet achterblijven. Een veelgehoorde frustratie is dat innovatieteams weken moeten wachten op goedkeuring van de security board voordat ze een nieuw AI-model in productie mogen nemen.
Praveen Das van ManageEngine pleit voor een radicale versnelling van dit proces. “Gezien de enorme snelheid van AI, moeten we governance op datzelfde tempo zien te krijgen”, waarschuwt hij. “Vandaag de dag zien we nog vaak dat governance wordt behandeld als een traag, bureaucratisch proces. Je vraagt toestemming, je wacht zes weken, er komt een commissie aan te pas met vervolgvragen. Dat werkt niet meer. We moeten toe naar een infrastructuur waarbij beleid en ethiek in code zijn vastgelegd, zodat governance net zo snel meebeweegt als de operatie zelf.”
Das geeft aan dat zijn bedrijf het risico intern verlaagt door strategische architectuurkeuzes te maken. “Daarnaast kijken wij sterk naar het wegnemen van afhankelijkheden. Door eigen, gerichte language models te trainen die puur focussen op onze IT-usecases, elimineren we niet alleen onnodige risico’s rondom externe partijen, maar kunnen we de AI ook kosteloos en veilig integreren voor onze klanten.”
De menselijke factor
Zelfs met perfecte virtuele patches, feilloze deprovisioning en snelle ‘policy as code’, blijft de menselijke werknemer de belangrijkste (en meest kwetsbare) schakel. Waar we werknemers jarenlang hebben getraind om niet op phishing-e-mails te klikken, vraagt het AI-tijdperk om een compleet nieuwe vorm van bewustwording.
Steven Maas van Thales is hier zeer stellig in. “Naast techniek is de educatie van de gebruiker cruciaal”, geeft hij aan. “Net zoals we medewerkers vroeger trainden in het herkennen van phishing, moeten we ze nu trainen in de veilige omgang met AI. Bij Thales geven we wekelijks trainingen over welke tools je wel of niet mag gebruiken. Ook maken we gebruik van onze eigen technologie om te vermijden dat kritieke bedrijfsdata zomaar voor iedereen zichtbaar wordt en mogelijk de onderneming zou verlaten. Mensen vinden altijd manieren om blokkades te omzeilen, dus als je ze geen goede kaders en educatie meegeeft, loop je grote risico’s. Daarnaast verwacht ik dat externe integrators en consultancypartijen een steeds grotere rol gaan spelen. Het implementeren van de juiste kaders voor een mkb-bedrijf verschilt immers totaal van de aanpak bij grotere bedrijven in onder andere de financiële of techsector.”
De rekening van AI
Tijdens het gesprek wordt ook een vaak onderbelicht aspect van AI-security aangesneden: de harde economische realiteit. Het trainen, finetunen en bevragen van modellen (inference) kost ongelofelijk veel rekenkracht en dus geld. De grote techbedrijven hebben de markt aanvankelijk gelokt met onbeperkte toegang, maar draaien de duimschroeven inmiddels aan met token-gebaseerde afrekenmodellen. Het beveiligen van AI betekent daarom niet alleen het beschermen van data, maar ook het beschermen van het IT-budget.
Stephan Wibier van Nutanix ziet dat een goede architectuur de sleutel is tot zowel veiligheid als betaalbaarheid. “Ik ben erg positief over de toekomst, omdat het AI-landschap landt op bestaande platformen”, vertelt hij. “De public cloud en veel on-premises infrastructuren hebben tegenwoordig een zeer robuuste basis. Een aanzienlijk deel van de AI-security hebben we daarmee eigenlijk al onder controle op platformniveau. We moeten ons realiseren dat we dit niet alleen kunnen oplossen. Geen enkele speler heeft alle antwoorden.”
Hij voegt daaraan toe dat bedrijven met slimme hybride modellen de kosten aanzienlijk kunnen drukken. “Met de kosten van AI-adoptie moeten we slim omgaan. Met een AI-gateway kun je bijvoorbeeld routeren op basis van economische keuzes. Zo kan dertig procent van je berekeningen naar de public cloud gaan en zeventig procent op je eigen, goedkopere on-premises hardware draaien. Zo maak je AI niet alleen veilig, maar ook betaalbaar.”
Samenwerking is de enige weg vooruit
De toon richting het einde van het rondetafelgesprek is verrassend optimistisch. De paniekfase lijkt langzaam ten einde te komen. Organisaties beseffen dat ze het wiel niet opnieuw hoeven uit te vinden, maar dat ze de draaiknoppen van hun bestaande securityoplossingen anders moeten afstellen.
De rode draad in alle aangedragen oplossingen? Het silo-denken moet doorbroken worden. Een modern securityvraagstuk rondom AI is niet op te lossen door één specifieke tool aan te schaffen. Het vereist een orkestratie van netwerkmonitoring, identiteitsbeheer, data-encryptie en doortastende governance. Leveranciers moeten hun systemen onderling laten praten via gestandaardiseerde protocollen en interne afdelingen (van de CISO tot de developers en de bestuurskamer) moeten in real-time kunnen samenwerken.
De middelen, van zero trust-architecturen tot geavanceerde API-integraties, liggen in principe klaar. Het is nu aan organisaties en de industrie als geheel om deze tools in stelling te brengen en vuur met vuur te bestrijden. Alleen zo transformeert AI van een kwetsbaarheid naar de ultieme verdedigingslinie.