Rapporten

Manifest-rapport onthult AI-kloof in paraatheid van ondernemingen, waarbij beveiligingsteams worstelen met zichtbaarheid en governance

mm
Published
Updated

Een nieuw rapport van Manifest, “Beyond the Black Box: Hoe AI de software-supplychain opnieuw doet denken”, onthult een groeiende disconnectie tussen het vertrouwen van executives en de operationele realiteit als het gaat om AI-beveiligingsparaatheid. Op basis van een enquête onder meer dan 300 beveiligingsleiders en -praktijkmensen in de Verenigde Staten en EMEA, concludeert de studie dat terwijl de meeste executives geloven dat hun organisaties zijn voorbereid op AI-gedreven supply-chain-risico’s, beveiligingsteams ter plaatse aanzienlijke governance-gaten, schaduw-AI-gebruik en beperkte zichtbaarheid in de componenten die moderne software-systemen aandrijven, melden.

De resultaten benadrukken een centrale spanning die ontstaat in ondernemingstechnologie: AI-adoptie versnelt snel over producten en workflows, maar de mechanismen die nodig zijn om deze systemen te volgen, te beheren en te beveiligen, houden geen gelijke tred.

AI creëert opnieuw supply-chainbeveiligingsproblemen in nieuwe vormen

Meer dan een decennium lang hebben organisaties gewerkt aan het verbeteren van de software-supply-chainbeveiliging door afhankelijkheden te volgen, kwetsbaarheden te controleren en governance-kaders te vestigen. Het Manifest-rapport stelt echter dat AI effectief veel van dezelfde risico’s opnieuw introduceert – nu verspreid over modellen, datasets, agenten en derdepartij-AI-diensten.

AI-componenten werken vaak als ondoorzichtige systemen. Ondernemingen kunnen vaak niet volledig uitleggen hoe modellen zijn getraind, welke datasets zijn gebruikt of welke externe diensten in hun toepassingen zijn ingebed. Als gevolg hiervan worden organisaties geconfronteerd met een nieuwe klasse van supply-chain-risico’s: software-systemen die ze niet betrouwbaar kunnen inspecteren, verifiëren of controleren in de loop van de tijd.

Het rapport benadrukt dat de zichtbaarheid al aan het afnemen is. 63% van de organisaties melden de aanwezigheid van “schaduw-AI”, wat verwijst naar AI-hulpmiddelen of -integraties die zijn aangenomen zonder toezicht van beveiligings-, inkoop- of risicobeheerteams.

Daniel Bardenstein, CEO en mede-oprichter van Manifest, zegt dat de gegevens een groeiende kloof tussen het vertrouwen van executives en de operationele realiteit onthullen: “Het vertrouwen van executives in AI-paraatheid komt niet overeen met wat AppSec-teams dagelijks meemaken. Leiders geloven dat governance op zijn plaats is, maar praktijkmensen zien onbeheerd AI-gebruik, onduidelijke eigendom en blinde vlekken in wat er werkelijk draait over producten en leveranciers.”

Executives zeggen dat ze klaar zijn, beveiligingsteams zijn het niet eens

Een van de meest opvallende resultaten in het rapport is de divergentie tussen het vertrouwen van leiders en de beoordelingen van beveiligingsteams.

Bijna 80% van de beveiligingsleiders zegt dat hun organisaties volwassen AI-beveiligingspraktijken hebben, maar ongeveer 40% van de AppSec-teams is het daar niet mee eens.

AppSec-teams zijn vaak de eerste die operationele falen in governance-kaders tegenkomen, omdat ze rechtstreeks met de software-supply-chain omgaan. Deze praktijkmensen melden het tegenkomen van hoge volumes aan waarschuwingen, onduidelijke eigendom van beveiligingsverantwoordelijkheden en gefragmenteerde tooling over ontwikkelings- en beveiligingsomgevingen.

Volgens het rapport 47% van de respondenten identificeerde gefragmenteerde teams en onduidelijke eigendom als de grootste belemmering voor het verbeteren van de software-supply-chainbeveiliging.

Het resultaat is een omgeving waarin organisaties kunnen denken dat ze sterke beveiligingsprogramma’s hebben, terwijl er kritieke gaten blijven in zichtbaarheid, verantwoordelijkheid en operationele coördinatie.

De SBOM-paradox: gegenereerd maar zelden gebruikt

Een andere belangrijke inzicht uit de studie heeft betrekking op Software Bills of Materials (SBOM’s) – inventarissen van software-componenten die zijn ontworpen om organisaties te helpen afhankelijkheden en kwetsbaarheden te volgen.

De adoptie van SBOM’s is in de afgelopen jaren aanzienlijk uitgebreid, met name vanwege regelgevingsdruk en supply-chain-aanvallen. Het Manifest-onderzoek suggereert echter dat veel organisaties SBOM-generatie behandelen als een compliance-vinkje in plaats van een operationele capaciteit.

Het rapport benadrukt verschillende belangrijke statistieken:

  • 60% van de organisaties genereert SBOM’s
  • Meer dan de helft beheert of gebruikt ze niet actief in de praktijk
  • 79,6% gebruikt Software Composition Analysis (SCA)-tools
  • SBOM-operationele gebruik blijft veel lager op 41,8%

Zonder centrale intake, normalisatie, beleidsuitvoering en continue monitoring worden SBOM’s statische artefacten in plaats van actieve risicobeheertools.

Beveiligingsteams uiten ook scepsis tegenover traditionele Software Composition Analysis-platforms. 56,3% van de respondenten zegt dat SCA-tools ruis creëren of ontwikkelteams vertragen, terwijl 46,4% twijfelt of deze tools de werkelijke software-risico’s effectief verminderen.

Deze disconnect illustreert een bredere volwassenheidsuitdaging: organisaties kunnen grote hoeveelheden beveiligingsgegevens genereren, maar ontbreken vaak aan de operationele infrastructuur om deze signalen om te zetten in risicoreductie.

Transparantiegegevens verbeteren beveiliging en implementatiesnelheid

Ondanks deze uitdagingen toont het onderzoek aan dat organisaties die significante transparantie over hun software-supply-chain bereiken, meetbare voordelen behalen.

Bijna half van de respondenten (49,4%) meldt verifieerbare transparantiegegevens te ontvangen van leveranciers tijdens de inkoop, zoals SBOM’s, herkomstrecords of ondertekende binaire bestanden.

Wanneer deze informatie betrouwbaar en operationeel is, is het effect aanzienlijk:

  • 64% meldt snellere implementatie van nieuwe technologie
  • 61,6% meldt snellere oplossing van beveiligingsproblemen
  • 15,5% meldt minder downtime

Organisaties die dergelijke transparantie missen, betalen wat het rapport een “transparantietaks” noemt – de extra tijd, kosten en risico’s die samenhangen met het handmatig onderzoeken van ondoorzichtige software-componenten.

Hoog gereguleerde industrieën illustreren deze uitdaging. Financiële dienstverleners en gezondheidszorgorganisaties melden een van de laagste percentages van het ontvangen van verifieerbare transparantiegegevens van leveranciers – 14,3% en 19,5% respectievelijk, ondanks het feit dat ze de grootste behoefte hebben aan deze gegevens.

AI-adoptie versnelt over ondernemingen

Het onderzoek benadrukt ook hoe snel AI is geïntegreerd in ondernemingssoftware-ecosystemen.

Bijna geen enkele onderneming in de enquête meldt AI volledig te vermijden. In plaats daarvan experimenteren bedrijven met een reeks benaderingen:

  • 80,2% gebruikt goedgekeurde commerciële AI-modellen intern
  • 79,9% gebruikt commerciële tools zoals ChatGPT of Cursor op brede schaal
  • 56,7% traint open-weight-modellen op interne gegevens
  • 29,3% bouwt aangepaste AI-modellen van scratch

Financiële dienstverleners en technologiebedrijven leiden de adoptie. Bijna 90% van de financiële dienstverleners meldt goedgekeurde interne AI-modellen, en 46,9% bouwt aangepaste modellen van scratch, ver boven het algemene gemiddelde.

Deze sectoren hebben sterke stimulansen om snel te bewegen. In de financiële dienstverlening heeft AI een direct effect op fraudebestrijding, risicobeheer en omzetaangroei. In technologiebedrijven zit AI steeds vaker in het hart van productaanbod en platformcapaciteiten.

Toch versnelt de snelle adoptie vaak de governance.

Schaduw-AI wordt een wijdverspreid probleem

Het onderzoek bevestigt dat schaduw-AI – tools of modellen die zonder formele toezicht zijn geïmplementeerd – al wijdverspreid is.

Slechts 34,8% van de respondenten meldt geen schaduw-AI in hun organisaties, terwijl de rest ten minste enige onbeheerde AI-gebruik erkent.

Dit patroon spiegelt eerdere golven van “schaduw-IT” waarbij medewerkers cloudservices of SaaS-tools buiten officiële inkoopprocessen om adopteerden.

Regionale verschillen zijn ook zichtbaar. Organisaties in EMEA melden hogere percentages van het opereren zonder schaduw-AI (45,7%), waarschijnlijk vanwege striktere regelgevingskaders en striktere inkoopprocessen in vergelijking met andere regio’s.

Toch waarschuwt het rapport dat traditionele beveiligingshulpmiddelen nooit zijn ontworpen om AI-modellen, -datasets en -diensten over gedistribueerde ontwikkelomgevingen te volgen.

Licentie- en juridische risico’s zijn een ander groot blind spot

Behalve de technische governance benadrukt de studie ook de juridische en compliance-uitdagingen die samenhangen met AI-adoptie.

Het begrijpen van de licentievoorwaarden, intellectuele eigendomsrechten en gebruiksbeperkingen van AI-modellen en -datasets blijft moeilijk voor veel organisaties. De enquête vond:

  • 93% van de respondenten zegt dat hun organisatie ruimte heeft voor verbetering in het beheren van AI-licenties en IP-verplichtingen
  • 54,6% is het hier sterk mee eens

Deze risico’s worden bijzonder acuut wanneer organisaties open-weight-modellen op interne gegevens trainen of propriëtaire datasets combineren met derdepartij-AI-componenten.

Zonder sterkere governance-kaders kunnen bedrijven onbewust licentieovertredingen of compliance-risico’s in productiesystemen introduceren.

Operationele afstemming kan de echte uitdaging zijn

Terwijl beveiligingshulpmiddelen blijven evolueren, suggereert het rapport dat de grootste barrière voor effectieve AI-supply-chainbeveiliging mogelijk niet de technologie zelf is.

In plaats daarvan worstelen veel organisaties met gefragmenteerde eigendom, losse workflows en het ontbreken van een gedeeld systeem van record voor software- en AI-componenten.

De meest genoemde beperkingen zijn:

  • 47,3% organisationele beperkingen
  • 36,3% onvoldoende vaardigheden
  • 35,7% budgetbeperkingen
  • 34,8% gebrek aan managementbegrip
  • 32,6% personeelstekorten

Deze operationele gaten maken het moeilijk voor beveiligingssignalen om te vertalen in consistente beleidsuitvoering of meetbare risicoreductie.

Waarom AI-supply-chainbeveiliging een strategische prioriteit wordt

Naarmate AI in elke laag van ondernemingssoftware wordt geïntegreerd, breidt het concept van de software-supply-chain zich uit tot modellen, trainingsdatasets, inferentieservices en derdepartij-AI-platforms.

Het Manifest-rapport concludeert dat organisaties moeten overstappen van point-in-time-zichtbaarheidstools naar continue, operationele controle over hun AI-supply-chains.

Dit omvat:

  • Alle AI-modellen volgen die over ontwikkelomgevingen worden gebruikt
  • De herkomst en licentie van trainingsgegevens verifiëren
  • Beleidsregels handhaven tijdens ontwikkeling en implementatie
  • Continue inventarissen onderhouden die vergelijkbaar zijn met SBOM’s voor AI-componenten

Zonder deze mechanismen zal de kloof tussen AI-adoptie en AI-governance blijven groeien.

En zoals de studie duidelijk maakt, bestaat die kloof al binnen veel ondernemingen vandaag.

mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.