Hoe AI securityonderzoek van een niche tot een focus maakt

Net als quantum computing dwingt AI ons om cybersecurity te heroverwegen. Meer rekenkracht en automatisering betekenen simpelweg grotere risico’s. Kwaadwillenden, van scriptkiddies tot nation-states, buiten dit volop uit. De vraag is nu: zetten we AI-for-good in als verdediging? Kunnen we hiermee een nieuwe standaard voor autonome misdaadonderzoeken neerzetten?

Jarenlang lag de focus van enterprise security standaard op defensieve, digitale maatregelen in de meest binaire zin van het woord. Goed cybersecuritybeleid bestond steevast uit de gebruikelijke parade: endpoint detection, SIEM-diensten (Security Information and Event Management), firewalls, network monitoring, Data Loss Prevention (DLP), identity management en vaak een flinke dosis SOAR (Security, Orchestration, Automation and Response).

Al deze technologieën zijn ontworpen om de rand van het netwerk te beschermen en anomalieën te detecteren voordat ze leiden tot een breach. Deze mindset stamt uit een tijd waarin de voornaamste dreiging bestond uit een hacker op zoek naar een kwetsbaarheid in het systeem. Tegenwoordig, in een wereld van AI, gaan bedreigingen verder dan dat.

Thomas Drohan, Chief Strategy Officer bij Clue Software, zegt dat niet alleen de omvang van de bedreigingen is veranderd, maar ook waar ze zich voordoen: binnen routinematige workflows, vertrouwde relaties en alledaagse beslissingen.

Europol’s EU-SOCTA 2025

“Deze evolutie vindt plaats naast een geopolitieke verschuiving met verstrekkende gevolgen voor elke grote organisatie die in Europa actief is,” zei Drohan deze maand in een gesprek met Techzine. “Europol’s EU-SOCTA 2025 waarschuwt dat ernstige en georganiseerde criminaliteit zich in een ongekend tempo ontwikkelt, waarbij technologische ontwikkelingen en geopolitieke instabiliteit worden uitgebuit om het bereik te vergroten en de impact te verdiepen.”

In dit nieuwe tijdperk nemen alleen al onlinefraudepraktijken ongekende proporties aan qua omvang, verscheidenheid, verfijning en bereik. De verwachting is dat ze alle andere vormen van ernstige en georganiseerde criminaliteit zullen overtreffen. Ondertussen werden in 2024 in de hele EU bijna 10.000 slachtoffers van mensenhandel geregistreerd, gefaciliteerd door criminele netwerken die volgens Europol opereren met de structuur en het bereik van mondiale ondernemingen.

“Bedrijven bevinden zich nu in de frontlinie hiervan, waarbij de georganiseerde misdaad zich steeds vaker binnen bedrijfssystemen nestelt en gebruikmaakt van routinematige processen met grote volumes, waarbij abnormale activiteiten moeilijk te onderscheiden zijn van de normale gang van zaken,” legt Drohan uit. “Of het nu gaat om fraude op industriële schaal, netwerken voor mensenuitbuiting of proxies van natiestaten, criminele groepen professionaliseren en automatiseren, waarbij ze vaak AI gebruiken om misleiding op te schalen en detectie te omzeilen.”

Vanuit zijn ruim twintig jaar ervaring in de intelligence- en onderzoekswereld, benadrukt Drohan dat criminelen zich razendsnel richten op de zwakste plekken van een organisatie. IT-infrastructuur is daar onderdeel van, maar het zijn steeds vaker de mensen die het meest kwetsbaar zijn, zij het onder dwang of door medeplichtigheid, en die toegang verlenen tot waardevolle assets.

In deze omgeving is het doel niet langer alleen blokkeren en detecteren. Het gaat om intelligence verzamelen, disrupties coördineren en zorgen voor een juridisch sluitende opvolging.

Onderzoeksplatforms worden onderdeel van de kernstack

Binnen Clue Software zien we dat investigation platforms inmiddels worden gepositioneerd als een integraal onderdeel van de IT core stack. Waarom? Omdat de tech stack die nodig is om zware en georganiseerde criminaliteit aan te pakken, niet ingewikkeld hoeft te zijn.

Bovenaan staat datagedreven anomaliedetectie. Daaronder zou een systeem moeten draaien dat deze anomalieën omzet in een samenhangend intelligence-beeld. Dit stelt teams in staat om in te grijpen, robuuste bewijsdossiers op te bouwen en strategische analyses te maken die de prioriteiten van de organisatie daadwerkelijk kunnen bijsturen.

In de praktijk zien we echter vaak dat deze tweede laag chronisch onderbelicht blijft. Volgens Drohan en zijn team “investeren bedrijven fors in detectie, maar nauwelijks in de opvolging daarvan. Alerts stapelen zich op en vermoedens worden gelogd. Maar het daadwerkelijke onderzoek dat bepaalt of schade wordt voorkomen, leunt vaak op gefragmenteerde teams die werken met gedeelde mappen, spreadsheets en e-mail threads; tools die simpelweg niet voldoen aan de bewijslast, wetgeving of operationele eisen van zware misdaadonderzoeken. Het doel van een onderzoek is niet alleen een probleem oplossen, maar ook leren: de inzichten terugkoppelen naar control processen en besluitvorming om toekomstige risico’s in te perken.”

Cruciaal is dat onderzoekomgevingen juridische consequenties hebben. Compliance mag dan ook geen bijzaak zijn. Bewijsmateriaal moet integer worden behandeld, cases moeten standhouden in de rechtbank, intelligence moet een duidelijke chain of custody (herkomst) hebben, beslissingen moeten auditable zijn en workflows moeten in lijn zijn met de wetgeving, in plaats van deze te omzeilen.

Meer dan een software-uitdaging?

Velen zijn het erover eens dat dit niet slechts een software-uitdaging is. Het vereist expertise in onderzoekstechnieken, bewijsintegriteit, coördinatie tussen instanties en compliance-gedreven workflows die bepalen hoe cases worden opgebouwd.

Minimaal net zo belangrijk is de toegang tot gecodificeerde best practices. Georganiseerde misdaadgroepen zijn geavanceerd, ondernemend en steeds technischer onderlegd; ze delen tactieken, passen zich snel aan en leren van elkaar. Organisaties boeken pas vooruitgang als ze hun onderzoekscapaciteiten met dezelfde professionaliteit behandelen: best practices vastleggen in workflows, intelligence delen over team- en sectorgrenzen heen, en hun aanpak continu updaten zodra nieuwe threats de kop opsteken.

“Zodra organisaties deze onderzoekslaag versterken, ontstaat er een nieuwe uitdaging: de enorme omvang en complexiteit van de informatie die teams moeten verwerken. Verhoren, e-mails, documenten, financiële gegevens, OSINT, beelden, grensoverschrijdende inlichtingen, interne rapportages; het komt allemaal razendsnel binnen en in ongestructureerde formaten. In dit stadium wordt AI echt transformatief,” legt Drohan uit.

De fundamentele vereiste is het omzetten van ongestructureerde input naar schone, consistente records met een duidelijke herkomst, die kritische audits kunnen doorstaan. Waardevolle AI-output is hier volledig afhankelijk van. Zonder gestructureerde, betrouwbare data produceert AI slechts noise, geen inzichten.

Daarom vinden Drohan en zijn team dat AI niet langs de zijlijn van een onderzoek mag staan. Het moet worden geïntegreerd in betrouwbare, compliance-gedreven workflows om te assisteren bij triage, het uitlichten van relevante entiteiten, het detecteren van signalen, het categoriseren van content en het leggen van verbanden tussen datasets. Wanneer AI op deze manier is geïntegreerd, kunnen taken die voorheen uren kostten, in enkele seconden worden afgerond. Zo kunnen teams aanzienlijk meer informatie verwerken zonder dat er extra personeel nodig is.

Controleerbare, verdedigbare, transparante processen

“Snelheid alleen is niet genoeg. Onderzoekswerk vereist dat AI opereert binnen controleerbare, verdedigbare, transparante processen, waarbij mensen verantwoordelijke rollen blijven vervullen. Wat organisaties nodig hebben, is versterkte menselijke besluitvorming, technologie die het werk versnelt en tegelijkertijd ervoor zorgt dat mensen de zeggenschap over de uitkomsten behouden,” aldus Drohan.

De weg vooruit is een verschuiving van geïsoleerde experimenten naar operationele capaciteit. Dat betekent dat AI moet worden toegepast op de specifieke bottlenecks die onderzoeken vertragen. Denk aan het triëren van informatie, het koppelen van bewijsmateriaal en het voorbereiden van materiaal voor menselijke beoordeling.

Als AI in deze herhaalbare workflows wordt ingebed, fungeert het als een force multiplier. Het filtert de ruis weg, verscherpt de focus en stelt onderzoekers in staat om sneller en overtuigender te handelen, zonder concessies te doen aan de bewijsstandaarden. Bij juist gebruik helpt AI teams om hun inspanningen te richten op de gebieden met de grootste risico’s, schade en exposure, wat gerichte interventies mogelijk maakt in plaats van een generieke reactie.

Een nieuw tijdperk voor security?

Drohan stelt dat georganiseerde misdaad de traditionele perimeter al lang voorbij is. Criminelen misbruiken nu supply chains, operationele processen en, het vaakst, mensen. Omdat criminele groepen professionaliseren en AI omarmen, moeten bedrijven hun onderzoekscapaciteit herzien om adequaat te kunnen reageren.

Het volgende tijdperk in enterprise security wordt niet gedefinieerd door nog meer alerts of detectietools. Het zal draaien om de effectiviteit van onderzoeken: hoe snel organisaties informatie kunnen triëren, hoe betrouwbaar ze een intelligence-beeld kunnen schetsen, hoe daadkrachtig ze kunnen ingrijpen en hoe verdedigbaar ze binnen de wettelijke kaders opereren.

“AI biedt moderne onderzoeksteams de kans om threats eerder in de keten aan te pakken. Onderzoeken kunnen zo gericht worden op het veel vroeger signaleren, voorkomen of verstoren van schade,” zegt hij. “Wanneer AI verantwoord, veilig en binnen compliant workflows wordt ingezet, is het de force multiplier die cross-functionele teams en besluitvormers in staat stelt het tempo en de schaal van de moderne georganiseerde misdaad bij te benen.”

Sluit de cirkel, wees geen domkop

Drohan concludeert dat het onderzoek niet het einddoel is. De echte waarde zit in het leerproces: onderzoeksinzichten gebruiken om concrete aanbevelingen terug te koppelen aan de bredere organisatie, controls te versterken, processen aan te passen en toekomstige schade te voorkomen. Dit sluit de loop tussen waarnemen, begrijpen en handelen.

De kernboodschap van Clue Software is dat succesvolle organisaties degenen zijn die hun onderzoekscapaciteit als een strategische asset zien: ze verankeren best practices, institutionaliseren kennis, integreren AI daar waar het expertise versnelt en zorgen ervoor dat elke geautomatiseerde stap de bewijsintegriteit versterkt in plaats van ondermijnt.

Kijk ook: Cybersecurity is het managen van risico’s: hoe doe je dat?

Blijf op de hoogte, abonneer!

De ERP die het niet uitmaakt welke AI je gebruikt en waarom dat slim is

DDBM van start in Nederland: datagedreven werken binnen handbereik

IT-complexiteit loopt uit de hand, Nutanix biedt weerstand

How Falco catches threats that static analysis misses

How Harness secures AI-generated code across the SDLC

How to migrate from Redis to Valkey with zero downtime

Cisco wants to tackle the 80-tool security problem

Hoe slimme, secure en simpele vergadertechnologie het verschil kan maken op de hybride werkplek

API’s zijn de ruggengraat van onze digitale economie

Van huddle tot boardroom: hoe ClickShare vergaderen herdefinieert

2026 voorspellingen voor de cybersecuritymarkt

Southeast Asia AI Application Summit 2026

Knowledge 26

Red Hat Summit

DevOpsCon London

Digitale soevereiniteit in de boardroom

Infosecurity Europe

Hoe je stap voor stap een AI-gedreven kennisapplicatie bouwt

Waarom automatisering onmisbaar is in moderne cybersecurity

Wat is cyberrisico en waarom doet het ertoe?

XDR uitgelegd: waarom brede zichtbaarheid cruciaal is