Organisaties omarmen massaal AI om processen te versnellen. Zonder de juiste security wordt deze innovatie echter al snel een ongeleid projectiel. Hoe zorg je ervoor dat de AI die je organisatie gebruikt veilig draait en niet gecompromitteerd is? We bespreken het in een uitgebreid rondetafelgesprek met experts van ManageEngine, Nutanix, Okta, Thales, TrendAI, Veeam en Zscaler.
Voor IT-professionals en decision makers kan AI-security nog wel eens onhelder zijn. Iedereen praat erover, maar de concrete invulling blijft abstract. Om scherp te stellen wat het precies inhoudt, hebben we een diversiteit aan securityspelers binnen de tech-stack samengebracht. Wat betekent AI-security nu écht? Gaat het om full-stack beveiligen of juist om specifieke runtime-controles? En nu de markt zich realiseert dat AI behoorlijk in de papieren loopt, rijst de vraag hoe we de bescherming betaalbaar en werkbaar houden voor de hele werkvloer.
De hoogste tijd om de balans op te maken tussen de theorie van de modellen en de weerbarstige praktijk. Dat doen we in een tweetal artikelen, waarvan dit het eerste verhaal is.
Ontwerpfout in de architectuur
Het beveiligen van AI-toepassingen is sterk verweven met hoe we in de basis naar IT-architectuur en toegangsbeheer kijken. Albert Kramer van Zscaler valt hierover direct met de deur in huis en stelt dat AI een enorme bedreiging vormt voor wat de industrie de afgelopen decennia heeft opgebouwd. “Wat AI belooft, is het op een zeer efficiënte manier gebruiken van data. Maar we hebben een paar cruciale stappen overgeslagen in het verlenen van die toegang”, schetst Kramer. “In de wereld van zero trust beginnen we eigenlijk zonder enige toegang. We beslissen wat we willen vrijgeven op basis van identiteit of de intentie van de gebruiker. Op dit moment worstelen we enorm met dat concept, omdat we AI-agents feitelijk onbeperkte toegang geven. Dit veroorzaakt talloze problemen rondom wetgeving en datalekken. Het zet de afgelopen 25 tot 30 jaar aan cybersecurity letterlijk op zijn kop.”
Edwin Weijdema van Veeam beaamt dit en ziet dat we fundamentele fouten maken in de architectuur. Volgens hem is AI-security in feite wat we altijd al deden, maar dan binnenstebuiten gekeerd. “We hebben AI direct op de data vastgeschroefd en daarmee alle verdedigingslagen die we normaal hanteren overgeslagen”, legt Weijdema uit. Hij trekt de vergelijking met een pretpark: “Het is alsof je met een ‘fast-track lane’ direct overal naar binnen mag. We hebben altijd security gebouwd rondom menselijke identiteiten. Dat wat we niet kenden, hielden we buiten. Nu heeft het onbekende ineens directe toegang tot onze data. Daarom moeten we een compleet nieuwe ’trust layer’ introduceren. AI-security omvat alles wat de data raakt via de pijplijn van het AI-model.”
Proactief versus reactief
Zodra AI daadwerkelijk diep in bedrijfsprocessen wordt geïntegreerd, veranderen ook de kwetsbaarheden. Cybersecurity was voorheen vaak grotendeels reactief, waarbij het meer ging om het dichten van een lek nadat het werd ontdekt. AI vereist echter een proactieve aanpak. Bart Herps van TrendAI waarschuwt hiervoor: “Alles draait nu om snelheid. AI maakt nog steeds gebruik van traditionele IT: het netwerk, de storage, de hardware. Het verschil is dat als er nu een configuratiefout of een kwetsbaarheid is, deze in een extreem hoog tempo wordt misbruikt. Een datalek via AI escaleert razendsnel. We moeten daarom verschuiven van een reactieve naar een proactieve securityhouding.”
Praveen Das van ManageEngine vult aan dat de aard van de cyberaanvallen zelf ook verandert. Het patroon van de dreiging is niet meer wat het geweest is. “Bij een traditionele kwetsbaarheid heb je een patroon of een handtekening waartegen je kunt patchen. Maar hier is ‘jailbreaking’ een van de grootste problemen, en dat draagt geen enkele handtekening met zich mee”, benadrukt Das. Hij pleit ervoor dat security holistisch moet zijn. “Je kunt niet één stukje van je AI beveiligen. Het moet op álle lagen gebeuren, in je infrastructuur, model en data.” Alleen dan kan je in zijn optiek slagkrachtig zijn. “Denk aan het vergiftigen van je data, waardoor de output van je model verandert, of een agent die plotseling toegang zoekt tot documenten die hij niet mag inzien.”
Honderden onzichtbare AI-agents
Een van de meest complexe uitdagingen in het huidige landschap is de populariteit van agentic AI. Deze autonome agents voeren namens de gebruiker taken uit. Waar het bij traditionele security gaat om de menselijke werknemer, opereren deze agents volledig autonoom. En ze zijn met velen. Weijdema merkt op dat de verhoudingen volledig scheefgetrokken zijn: “We zien nu al scenario’s waarbij er 82 agents draaien voor één fysiek persoon. Deze agents verschijnen, doen hun werk en zijn soms vijf minuten of vijf seconden later weer verdwenen. Hoe bouw je een systeem dat daarmee omgaat?”
Rob Sanders van Okta diept deze identiteitscrisis verder uit. “We moeten kijken naar wie de actie uitvoert: is het de agent of de menselijke gebruiker in wiens context de agent draait? Je hebt te maken met meervoudige identiteiten.” Sanders wijst op de noodzaak van fine-grained authorization. “Als ik als werknemer volledige schrijfrechten heb in Salesforce, wil dat niet zeggen dat de AI-agent die ik heb gebouwd dezelfde rechten moet krijgen. We zien agents die zelf weer tien extra agents opstarten om een taak uit te voeren en ze daarna weer afsluiten. Je kunt dat onmogelijk beveiligen met traditionele tools. We moeten deze agents behandelen als volwaardige identiteiten, gebruikmaken van kortdurende tokens en ervoor zorgen dat we ze kunnen detecteren.”
Stephan Wibier van Nutanix voegt hier nog een belangrijke dimensie aan toe: de achterliggende intentie. “Is het een agent die ‘rogue’ is gegaan, is het gewoon een heel efficiënte werknemer, of is het een aanvaller die met gerichte prompts probeert het LLM zijn volledige context te laten dumpen? Hoe maken we dat onderscheid?”, vraagt Wibier zich af. Het toont volgens hem feilloos aan dat security vanaf de eerste dag onzichtbaar in het platform geïntegreerd moet zijn en er niet achteraf op vastgeschroefd kan worden.
Een nieuwe nachtmerrie voor de CISO?
De drang naar efficiëntie op de werkvloer zorgt ervoor dat werknemers niet wachten tot de IT-afdeling de perfecte, veilige AI-oplossing heeft gebouwd. Ze zoeken zelf naar de handigste tools op het internet. Dit leidt tot een explosie van Shadow AI. Bart Herps van TrendAI deelt een sprekend voorbeeld uit de praktijk: “Ik was onlangs bij een klant die in de monitoringtools zag dat er momenteel meer dan 250 verschillende, cloudgebaseerde AI-applicaties worden gebruikt binnen hun netwerk. En dat aantal groeit wekelijks. Ze kunnen dit echter niet zomaar blokkeren, omdat deze tools soms ongemerkt verweven zitten in kritieke productieprocessen. Zo gebruiken ze slimme brillen die met AI specifieke taken uitvoeren, maar de IT-afdeling weet niet precies wélke AI daarachter draait.”
Voor de CISO klinkt dit als pure chaos. Herps schetst de dynamiek in de bestuurskamer treffend: “Als je met de directie praat, hebben ze het over productiviteit. Praat je met de IT-manager, dan ziet hij complexiteit. Maar praat je met de CISO, dan ziet hij paniek en chaos.”
Rob Sanders van Okta snapt die initiële paniekreactie goed. “Als je als CISO persoonlijk verantwoordelijk bent voor datalekken, is de eerste reflex om alles stil te leggen,” geeft hij toe. “Maar net als Shadow IT gaan we Shadow AI niet tegenhouden. Het is immers goed voor de productiviteit. Wat we wél moeten doen, is vangrails bouwen. Je stelt kaders in waarbij werknemers weliswaar met hun eigen tools kunnen werken, maar waarbij het systeem de toegang simpelweg blokkeert zodra zo’n ongeautoriseerd model bij je gevoelige bedrijfsdata probeert te komen.”
Krampachtig alles blokkeren is volgens de rest van de tafel dan ook niet de oplossing. Kramer waarschuwt dat de geest al uit de fles is. “Gebruikers zien AI als een gereedschapskist. De bedrijfstool doet misschien 80 procent van wat ze willen, maar voor die overige 20 procent uploaden ze hun data net zo makkelijk naar een onbekende cloudapplicatie omdat die sneller is.” Weijdema ziet hier echter ook een kans met shadow innovation. “Werknemers gebruiken deze tools met een reden. Ze willen de business versnellen. De rol van de CISO moet daarom veranderen van het ‘nee-departement’ naar de afdeling die bedrijfscontinuïteit waarborgt. Faciliteer de behoefte, maar doe het via gecontroleerde, goedgekeurde kanalen.”
De blinde vlek in de pijplijn
Steven Maas van Thales wijst bij de discussie over de ontelbare modellen en agents op het absolute fundament: de data. “Het begint allemaal met data”, stelt Maas resoluut. “Hoe geavanceerd je controleknoppen ook zijn, als je gevoelige data hebt, moet je die in de kern beschermen met encryptie. Je moet voorkomen dat je data gemanipuleerd is of wordt. Modellen vinden namelijk wegen en verbanden die we voorheen niet voor mogelijk hielden.”
Dit risico wordt vergroot bij het gebruik van RAG (Retrieval-Augmented Generation), een techniek waarbij AI direct in de eigen bedrijfsdocumenten zoekt. Herps waarschuwt voor de gevaren hiervan: “Zelfs als je je eigen RAG creëert, moet je absoluut zeker weten dat de data daarin veilig is. Een RAG-systeem hakt al je data in kleine stukjes. Het begrijpt de data zelf niet, het kent alleen de stukjes, en het taalmodel plakt het vervolgens weer aan elkaar. Traditionele bestanden kun je beveiligen met permissies, maar die stukjes in een RAG vaak niet.”
Volgens Weijdema worstelen veel bedrijven bovendien met de ‘illusie van vooruitgang’. “We zijn naar de cloud gegaan, we hebben AI en agents, maar we zijn de datalaag vergeten. We hebben data van dertig jaar oud op onze servers staan die niemand meer gebruikt, maar die wel vol zit met PII. Als we dat niet eerst opschonen, voeden we slechte en gevoelige data aan onze modellen en ontstaat er razendsnel chaos. AI dwingt ons nu om met terugwerkende kracht onze data governance op orde te krijgen.”
Eigen modellen, firewalls en de controle over workloads
Omdat de publieke LLM’s risico’s met zich meebrengen, kiezen sommige organisaties ervoor om het heft in eigen hand te nemen. Das legt uit hoe zijn bedrijf deze afweging maakte: “Wij hebben bewust de noodzaak voor third-party LLM’s geëlimineerd door onze eigen ‘narrow LLM’s’ te ontwikkelen. Deze zijn qua pure rekenkracht misschien niet te vergelijken met de giganten op de markt, maar ze zijn specifiek getraind op onze IT-usecases. Omdat we onze eigen modellen en RAG bouwen, hebben we de volledige controle over de permissies en zorgen we ervoor dat er geen vooringenomen (biased) data in ons trainingsmodel terechtkomt.”
Bovendien is zelf bouwen soms de enige optie vanuit soevereiniteitsperspectief. Maas plaatst een kritische noot bij het blinde vertrouwen in techreuzen. “Hoe vertrouw ik het model van een ander? Je zou niet de eerste zijn die ontdekt dat er zaken in een extern model zitten die daar niet thuishoren. Laten we niet naïef zijn over de praktijken van bepaalde grote cloudproviders.” Om die reden bouwt Thales specifieke vangnetten in, legt Maas uit: “Voor klanten in gevoelige sectoren zoals defensie of financiën hebben we AI-firewalls in het leven geroepen, die voorkomen dat bepaalde data gebruikt en geüpload mag worden, of überhaupt de organisatie verlaat.”
Uiteindelijk draait het allemaal om inzicht in de workload, de daadwerkelijke taak die wordt uitgevoerd. Das vergelijkt het met een restaurant: “Het maakt niet uit waar de chef is opgeleid, het gaat om wat er vanavond op het bord komt. Dat orderbonnetje bevat de audit: welk gerecht wordt er gekookt, met welke allergieën moet rekening worden gehouden? De workload moet veiliger zijn dan het model zelf.”
Het einde van het netwerk
Naarmate de discussie vordert, wordt duidelijk dat het traditionele concept van de kasteelmuur definitief heeft afgedaan. Wibier benadrukt dat een groot deel van de AI-security eigenlijk gewoon robuuste infrastructuursecurity is. “Zeventig tot tachtig procent van de security die AI nodig heeft, zou al in je stack moeten zitten. Denk aan netwerkbeveiliging. Als je geen inzicht hebt, en een hacker voert een netwerkinjectie uit, dan ben je nergens.”
Kramer vult aan dat het concept van ‘het netwerk’ wezenlijk is veranderd. “We stappen af van de wereld waarin we alles on-premises hebben. Wat is het netwerk tegenwoordig? Het is het internet. Je kunt het netwerk simpelweg niet meer beschermen.” De oplossing ligt volgens hem in het extreem klein maken van het aanvalsoppervlak. “Je moet de workload beschermen. Dat betekent dat je alles moet micro-segmenteren: de dataset, de gebruiker, de agent. Op basis van die micro-segmentatie bepaal je per specifieke actie of deze is toegestaan of niet. En dan maakt het niet meer uit of de actie plaatsvindt op het kantoor van het bedrijf, bij iemand thuis, of vanuit een internetcafé. Zolang je maar opereert vanuit de filosofie: als het niet te bereiken is, kan het ook niet gehackt worden.”
Van blokkade naar fundament
De succesvolle en veilige inzet van artificial intelligence vraagt onder de streep veel meer dan enkel het afschermen van een algoritme met een extra tooltje. Het vereist een doordachte en proactieve herziening van de gehele IT-architectuur. Van het opschonen en versleutelen van ruwe, dertig jaar oude data tot het dynamisch toewijzen van identiteiten aan vluchtige AI-agents: alles moet naadloos op elkaar aansluiten om catastrofale datalekken te voorkomen.
Daarnaast laat de rondetafel zien dat krampachtig alles blokkeren een heilloze weg is. Het overbruggen van de kloof tussen de innovatiedrang op de werkvloer en de kaders van de IT-afdeling is essentieel. Door deze nieuwe realiteit te erkennen en te bouwen op een moderne, geüpdatete visie van zero trust en micro-segmentatie, kan cybersecurity meebewegen met de snelheid van AI. Pas dan verandert security van een blokkade in het absolute fundament voor duurzame bedrijfscontinuïteit.
Dit was ons eerste stuk in een tweeluik over AI-security. In een volgend artikel gaan we meer in op de oplossingen, de governance, de benodigde vaardigheden en het kostenplaatje van AI-security.