Connect with us

Waarom bedrijven voorzichtig zijn met AI — En hoe ze het op een veilige manier kunnen inzetten

Thought leaders

Waarom bedrijven voorzichtig zijn met AI — En hoe ze het op een veilige manier kunnen inzetten

mm
Published
Updated

AI heeft de wereld stormenderhand veroverd. Terwijl sommige organisaties vroeg aan de slag gingen, hebben veel bedrijven een meer voorzichtige aanpak gekozen — bezorgd over privacy, compliance en operationele problemen die tot op de dag van vandaag aanhouden.

Ik heb gewerkt aan honderden inzetten van AI-gebaseerde beveiligingstools en een vertrouwd patroon gezien. Champions brengen vroeg enthousiasme. Pilots laten belofte zien. Vervolgens komen interne debatten, juridische reviews en uiteindelijk een pauze als organisaties wegzinken in analyseparalyse. Ondanks het immense potentieel van AI om beveiligingsoperaties te transformeren, zijn veel bedrijven nog steeds terughoudend om het volledig te omarmen.

In cybersecurity is voorzichtigheid vaak de juiste instinct. Maar het uitstellen van AI-implementaties zal de AI-gebaseerde bedreigingen die nu in omvang en frequentie toenemen, niet stoppen. De echte uitdaging is hoe AI op een veilige, bewuste en vertrouwenswaardige manier kan worden geadopteerd.

Dit is wat ik van de frontlinie heb geleerd — en wat ik aanbeveel voor beveiligingsleiders die klaar zijn om met vertrouwen verder te gaan.

1. Het data-vertrouwensprobleem

De eerste en grootste hindernis is gegevensbeheer. Veel bedrijven zijn doodsbang voor het idee dat gevoelige gegevens kunnen lekken, misbruikt worden of — het ergste van alles — gebruikt worden om een model te trainen dat een concurrent ten goede komt. High-profile beveiligingslekken en vage garanties van leveranciers versterken deze angsten.

Het is geen paranoia. Wanneer je te maken hebt met klant-PII, intellectueel eigendom of gereguleerde gegevens, kan het overdragen van deze gegevens aan een derde partij aanvoelen als het verliezen van controle. En totdat leveranciers hun beleid rond gegevenssegregatie, -retentie, -betrokkenheid van vierde partijen en modeltraining beter verduidelijken, zal adoptie voorzichtig blijven.

Dit is waar governance cruciaal wordt. CISO’s moeten leveranciers evalueren met behulp van opkomende kaders zoals de NIST AI Risk Management Framework of ISO/IEC 42001, die praktische richtlijnen bieden voor vertrouwen, transparantie en verantwoordelijkheid in AI-systemen.

2. Je kunt niet verbeteren wat je niet meet

Een andere veelvoorkomende belemmering is het ontbreken van baseline-metrics. Veel bedrijven kunnen hun huidige prestaties niet kwantificeren, waardoor het bewijzen van de ROI van AI-tools bijna onmogelijk is. Hoe kun je claimen dat er een efficiëntiegrens van 40% is als niemand heeft bijgehouden hoe lang de taak duurde voordat deze geautomatiseerd werd?

Of het nu gaat om mean time to detect (MTTD), false positieve tarieven of SOC-analist uur bespaard, organisaties moeten beginnen met het meten van de huidige workflow. Zonder deze gegevens blijft het geval voor AI anekdotisch — en zullen executive sponsors niet instemmen met grootschalige initiatieven zonder echte, verdedigbare cijfers.

Begin nu met het bijhouden van belangrijke KPI’s, waaronder:

  • Mean Time to detect/respond (MTTD/MTTR)
  • Vermindering van false positives, false negatives en ticketvolume
  • Analistentijd bespaard per incident
  • Verbeteringen in dekking (bijv. kwetsbaarheden gescand en hersteld)
  • Incidenten opgelost zonder escalatie

Deze baselines worden de ruggengraat van je AI-rechtvaardigingsstrategie.

3. Wanneer de tools te goed werken

Ironisch genoeg is een van de redenen waarom AI-adoptie stagneert dat sommige tools te goed werken — en meer risico’s blootleggen dan de organisatie bereid is om aan te pakken.

Geavanceerde threat intelligence-platforms, dark web-monitoringtools en LLM-gebaseerde zichtbaarheidsoplossingen onthullen vaak gestolen referenties, lookalike-domeinen of eerder ongedetecteerde kwetsbaarheden. In plaats van duidelijkheid te creëren, kan deze overweldigende zichtbaarheid een nieuw probleem genereren: waar begin je eigenlijk?

Ik heb teams gezien die geavanceerde scans uitschakelen omdat het volume aan bevindingen politieke of budgettaire ongemakken creëert. Betere zichtbaarheid vereist betere prioritering — en de bereidheid om problemen rechtstreeks aan te pakken.

4. Vastzitten in legacy-contracten

Zelfs als betere tools beschikbaar zijn, zitten veel bedrijven vast in meerdere jaren durende overeenkomsten met legacy-leveranciers. Sommige van deze contracten hebben financiële boetes die zo hoog zijn dat het overschakelen naar een andere leverancier tijdens de looptijd van het contract geen optie is.

E-mailbeveiliging is een klassiek geval. Moderne oplossingen bieden nu AI-gebaseerde bedreigingsdetectie, gedragsmodellering en ingebouwde veerkracht voor hybride omgevingen. Maar als je huidige leverancier niet heeft bijgehouden en je vastzit in een vijfjarig contract, zit je feitelijk vast totdat het contract afloopt.

Het gaat niet alleen om technologie. Het gaat om timing, inkoop en strategische planning.

5. De opkomst van Shadow AI

AI-adoptie gebeurt niet alleen van bovenaf — het gebeurt overal, vaak zonder dat de beveiliging hiervan op de hoogte is. Onze onderzoek toont aan dat meer dan 85% van de medewerkers al AI-tools zoals ChatGPT, Copilot en Bard gebruiken. (laat staan DeepSeek en TikTok!)

Zonder adequate toezicht kunnen medewerkers gevoelige gegevens intoetsen in openbare tools, hallucinatie-uitvoer vertrouwen of onbewust bedrijfsbeleid schenden. Het is een compliance- en gegevensbeschermingsnachtmerrie, en doen alsof het niet gebeurt, lost het probleem niet op.

Beveiligingsleiders moeten een proactieve houding aannemen door:

  • Aanvaardbare gebruikbeleid vast te stellen
  • Ongeautoriseerde AI-apps te blokkeren waar nodig en gebruikers om te leiden naar goedgekeurde tools
  • Goedgekeurde, beveiligde AI-platforms in te zetten voor intern gebruik
  • Medewerkers te trainen in verantwoordelijke AI-gebruik

Veldnotitie: AI-gebruiksbeleid gaat het gebruik niet veranderen. Je kunt niet afdwingen wat je niet weet, dus de eerste stap is om het gebruik te kwantificeren en dan de schakelaar om te zetten naar afdwingen.

6. Outsourcing brengt zijn eigen risico’s met zich mee

Weinig bedrijven hebben de infrastructuur om grote modellen in-house te bouwen en te hosten. Dat betekent dat outsourcing vaak de enige haalbare optie is — maar het brengt risico’s van derden en supply chain met zich mee die CISO’s maar al te goed kennen.

Incidenten zoals SolarWinds, Kaseya en de recente Snowflake-beveiligingslek benadrukken hoe het vertrouwen op externe partners zonder zichtbaarheid kan leiden tot grote blootstellingen. Wanneer je AI-infrastructuur uitbesteedt, erft je de beveiligingspostuur van de leverancier — goed of slecht.

Het is niet genoeg om een merk te vertrouwen. Eis duidelijkheid over:

  • Modelleercyclus en updatefrequentie
  • Incidentresponsprotocollen
  • Leveranciersbeveiligingscontroles en compliancetraject
  • Gegevensisolatie en huurdercontroles

7. Het AI-aanvalsvlak breidt zich uit

Naarmate organisaties AI omarmen, moeten ze ook voorbereid zijn op AI-specifieke bedreigingsvectoren. Aanvallers experimenteren al met:

  • Modelvergiftiging (subtiel trainingsgegevens wijzigen)
  • Prompt-injectie (LLM-gedrag manipuleren)
  • Adversarial inputs (detectie omzeilen)
  • Hallucinatie-exploitatie (gebruikers in het vertrouwen van valse uitvoer brengen)

Dit is geen theorie. Het is echt en groeiend. Naarmate verdedigers AI adopteren, moeten ze ook hun rode team, monitoring en responsstrategieën aanpassen om rekening te houden met dit nieuwe en unieke aanvalsvlak.

8. Mensen en processen kunnen de echte bottleneck zijn

Een van de meest over het hoofd gezien uitdagingen is de organisatorische gereedheid. AI-tools vereisen vaak veranderingen in workflows, vaardigheden en mentaliteit.

Analisten moeten weten wanneer ze AI kunnen vertrouwen, wanneer ze het moeten uitdagen en hoe ze effectief moeten escaleren. Leiders moeten AI integreren in besluitvormingsprocessen zonder risico’s blindelings te automatiseren.

Training, playbooks en veranderingsbeheer moeten evolueren samen met de technologie. AI-adoptie is niet alleen een technisch initiatief. Het is een menselijke transformatie-initiatief.

Dus wat kunnen we doen?

Ondanks de uitdagingen geloof ik sterk dat de voordelen van AI in beveiliging de risico’s overtreffen — als het goed wordt gedaan. Hier is hoe ik organisaties adviseer om verder te gaan:

  • Begin klein en test grondig
  • Kies een afgebakend gebruikscase met meetbare impact. Voer gecontroleerde pilots uit. Valideer prestaties. Bouw vertrouwen met gegevens, niet met hype.
  • Haal juridisch, risico en beveiliging vroeg bij betrokken
  • Wacht niet tot de contractfase. Haal juridisch en compliance erbij om gegevensbehandelingstermen, regulatorische risico’s en supply chain-implicaties van tevoren te controleren.

Meet alles

Volg KPI’s voor en na implementatie. Maak dashboards die zowel in beveiliging als in business-termen spreken. Metingen maken of breken AI-financiering.

Kies partners met echte bewijzen van succesvolle projecten

Kijk verder dan demos. Eis referenties. Vraag naar post-verkoopondersteuning, implementatiecomplexiteit en resultaten in omgevingen zoals de jouwe.

Wat is de volgende stap? Nieuwe gebruikscases die het bekijken waard zijn

We zijn nog vroeg in de AI-in-beveiligingreis. Vooruitstrevende CISO’s onderzoeken al:

  • AI-co-piloten voor firewallbeheer, GRC en compliancetools
  • AI-gebaseerde threat feeds die zero-day-bedreigingsreactie en -nauwkeurigheid versnellen
  • Generatieve rode teaming en aanvalssimulatie
  • Zelfherstellende multi-vendor-infrastructuur
  • Risicogebaseerde identiteitscontroles aangedreven door gedrags-AI

Deze gebruikscases verhuizen van innovatielabs naar productie. De organisaties die nu spiermassa opbouwen, zullen veel beter zijn toegerust om te profiteren.

Laatste gedachte: Uitstellen is geen verdediging

AI is hier en zo zijn AI-gebaseerde aanvallers. Hoe langer je wacht, hoe meer terrein je verliest. Maar dit betekent niet dat je blindelings moet instappen.

Met zorgvuldige planning, transparante governance en de juiste partners kan je organisatie AI op een veilige manier adopteren — zonder controle op te offeren.

De toekomst van beveiliging is versterkt. De enige vraag is of je zal leiden of achterblijven.

mm

Pete Nicoletti fungeert als Americas CISO bij Check Point Software Technologies, met eerdere leiderschapsrollen bij Cybraics Defense, Hertz Global, en Virtustream.