Cybersecurity-rages en -trends hebben de neiging om samen te smelten tot definieerbare vormen. Deze kunnen ons helpen om bedrijfssoftwarearchitecturen te ondersteunen met een passend securityniveau. Een van de belangrijkste factoren die deze ruimte het komende jaar mogelijk zullen aansturen is de suggestie dat vrijwel alles nep is. Dit is voornamelijk (en voorspelbaar genoeg) gedreven door AI. Hoe gaan we dan verder?
De vooruitzichten voor phishing in het tijdperk van AI kunnen enorm zijn. We zijn (aantoonbaar) veel verder gegaan dan geldverzoeken van een Nigeriaanse prins. Zo is er nu een situatie ontstaan waarin alle berichtformaten (e-mails, audioberichten of videoboodschappen) kunnen worden vervalst.
“We zullen meerdere vertrouwde kanalen moeten hebben met degenen die dicht bij ons staan. Als een kanaal, e-mail, WhatsApp, Slack, enz. een belangrijk bericht ontvangt, moet u dit mogelijk op een ander kanaal valideren. We kunnen zelfs de telefoon pakken en elkaar bellen, zoals in de jaren 90”, stelt Dr. Dag Flachet, een van de medeoprichters van Codific, een in Barcelona gevestigd softwarebedrijf dat zich richt op het bouwen van veilige, op privacy gerichte cloudapplicaties voor gebieden als HR-tech, Ed-Tech en Med-Tech.
Flachet is specialist in organisatiepsychologie en levert een actieve bijdrage aan verschillende OWASP-projecten en aan regelgeving rond de Cyber Resilience Act.
Wachtwoorden naar passkeys
De komende maanden zou ook wel eens het einde van wachtwoorden kunnen betekenen. Deze raken namelijk verouderd ten gunste van passkeys, die gebruikmaken van biometrische authenticatie in combinatie met cryptografische sleutels. Die sleutels zijn op de eigen beurt weer aan een apparaat gekoppeld.
Gezien de opkomst van ongeoorloofde ‘shadow AI‘ benadrukt Flachet de noodzaak van gegevensbescherming. Hij zegt dat het bestrijden van schaduw-AI niet eenvoudig zal zijn, maar dat bedrijven hun werknemers kunnen voorlichten, zodat zij zich bewust worden van de risico’s van het delen van informatie of toegang met AI-modellen of -agents.
“Zorg ervoor dat teams over de tools beschikken die ze nodig hebben in hun beveiligingsgereedschapskist. Voer modellen indien nodig lokaal uit. Maar verbied en vergeet niet dat het gebruik van goedgekeurde tools de weg van de minste weerstand moet zijn”, aldus Flachet.
Hij denkt dat ISO27001 of SOC2 vroeger voldoende waren als het gaat om normen op dit gebied. Maar hij stelt dat dit in 2026 niet meer het geval is. Dat is omdat we nu moeten kunnen aantonen dat onze securitymaatregelen in overeenstemming zijn met het risico dat we lopen. Hij ziet een enorme toename in het gebruik van ‘maturity models’ om organisatorische securityprocessen te volgen. Dat is een goede zaak, want nu weten we tenminste waar we aan toe zijn.
SBOM’s overal
In 2026 is softwareontwikkeling duidelijk meer modulair dan ooit. Kijk maar naar referentiearchitecturen, containers, herbruikbare componenten en (natuurlijk) Kubernetes. Dit betekent dat storingen in de softwaretoeleveringsketen nu als minder schadelijk (of in ieder geval minder kritiek) worden beschouwd dan fouten in de configuratie van cloud- of applicatieservices. Dat blijkt al gauw als we kijken naar de OWASP Top 10 in 2025.
Of dit nu een goede zaak is of niet: softwareontwikkeling wordt steeds complexer. En het bereik buiten de code blijft snel groeien. Dit blijkt duidelijk uit de toename van storingen in de software supply chain en verkeerde securityconfiguraties. De huidige modellen en methodologieën vragen van ontwikkelaars dat ze verantwoordelijk zijn voor veel meer dan alleen het schrijven van code”, aldus Brian Glas, afdelingsvoorzitter computerwetenschappen aan de Union University in Jackson, Tennessee.
Aangezien het schrijven van code en het oplossen van problemen op lage abstractieniveaus geautomatiseerd zijn, wordt gesuggereerd dat we onze menselijke intelligentie meer zullen inzetten op hogere abstractieniveaus in softwaresystemen. In 2026 zullen we meer dreigingsmodellering en bedrijfslogica-analyse zien. We zullen meer tijd besteden aan het bekijken van dataflow-diagrammen en minder tijd aan het bestuderen van syntaxis.
Common Vulnerability Scoring System
CVSS (Common Vulnerability Scoring System) is een open, gestandaardiseerd raamwerk dat de ernst van kwetsbaarheden in software beoordeelt en scoort. Hierbij volgt een score van 0-10 (kritiek tot geen) die gegenereerd wordt om teams te helpen prioriteiten te stellen bij het oplossen van fouten. Dit gebeurt op basis van factoren zoals exploiteerbaarheid en impact.
Volgens Nicolas Montauban, solutions engineer bij Codific, neemt de obsessie met CVSS af.
“In 2026 beseffen bedrijven dat hun Application Security Posture Management (ASPM) hen voor de gek houdt. Ja, het voegt CVSS-scores samen tot een heuristiek voor risico’s, maar het is gebrekkig en ineffectief. Het is beter om de CVSS-resultaten om te zetten in nieuwe beveiligingsvereisten voor uw teams met behulp van OWASP ASVS (Application Security Verification Standard). In 2026 zullen we overschakelen van het bestrijden van symptomen naar het vooraf opstellen van de juiste beveiligingsvereisten. Dat is de eerste ‘waarom’-vraag van kwetsbaarheden. En als we blijven vragen waarom, komen we uiteindelijk uit bij OWASP SAMM en de fundamentele processen die daarvoor nodig zijn”, aldus Montauban.
Geen catfishing meer
Dag Flachet is het daarmee eens en zegt dat de sector in 2025 op zoek is naar nieuwe manieren om te meten en te verbeteren.
Wat er ook gebeurt, 2026 zal duidelijk een jaar zijn dat sterk wordt beïnvloed door de impact van AI op codebases van apps en workflows op elk niveau. Waar de opkomst van automation zich in de securitywereld zal manifesteren, is net zo moeilijk te voorspellen als waar de volgende zwendel vandaan zal komen. Desondanks is het een ‘safe bet’ dat er nog steeds om geld gevraagd gaat worden via phishing, zij het met een meer overtuigend verhaal dan we hoorden van de Nigeriaanse prins.
Er zijn genoeg catfishers; zorg ervoor dat je niet verdacht genoeg bent om als aas te dienen.
