Slechts 1 op 10 bedrijven voorbereid op ai-aanvallen
Ondanks alle waarschuwingen is cybersecurity nog steeds niet top-of-mind bij de hoogste leiding van grote ondernemingen. De interesse is er wel, maar dit thema leeft onvoldoende op het C-niveau. Michael Teichmann, global managing director cyber security risk & architecture bij Accenture, vreest dat de komst van ai de problemen vergroot. ‘Cybersecurity moet ‘by design’ worden ingebouwd in elk initiatief dat wordt gedreven door ai.’
Wanneer die inbedding ontbreekt, gaat het onherroepelijk een keer mis met als gevolg verlies van klantvertrouwen. Teichmann hamert erop dat cybersecurity geen bijzaak is; geen verplichting die voortvloeit uit compliance. ‘Je kunt cybersecurity niet langer zien als iets wat je alleen doet om aan regels te voldoen.’
Het recente Accenture-rapport ‘State of Cybersecurity Resilience 2025‘ is als een wake-upcall te zien. Slechts één op de tien zeer grote ondernemingen (met een omzet van meer dan een miljard dollar) is voorbereid op ai-gedreven cyberaanvallen. Bijna twee derde heeft voor cybersecurity geen samenhangende strategie. Deze groep mist ook de technische basis om deze (nieuwe) bedreigingen het hoofd te bieden. Zo blijkt uit het onderzoek onder 2.286 executives (waarvan tachtig procent ciso en twintig cio is).
Gebrek aan ervaring
Dat het topmanagement, vaak bestaande uit economen, bedrijfskundigen, juristen of ingenieurs, op dit gebied niet tot een proactieve benadering komt, is mede te verklaren uit het grote aantal issues. Teichmann: ‘Je kan zo twintig onderwerpen noemen die directe aandacht opeisen, zoals toenemende geopolitieke spanningen en ai. Cybersecurity wordt dan beschouwd als een indirect gevaar. De hoogste leiding van een onderneming ziet de kosten die daarvoor worden gemaakt, als een soort verzekeringspremie.’
Een belangrijke reden dat het topmanagement weinig oog heeft voor cybersecurity is volgens Teichmann een gebrek aan ervaring. Tijdens hun carrière hebben de meeste ceo’s op dit gebied zelden een directe betrokkenheid gehad. De generatie die nu aan de top staat, is in tegenstelling tot millennials niet honderd procent digital native.
Teichmann: ‘Ze hebben erover gelezen en gehoord, maar nooit risicovolle dingen van nabij meegemaakt. Het is voor deze generatie een ver-van-mijn-bedshow, tenzij er een significant incident in hun eigen bedrijf is geweest. Dat zal op de lange termijn veranderen met het aantreden van de volgende generatie.’
Generatieve ai
Uit genoemd onderzoek van Accenture blijkt dat cyberdreigingen sneller evolueren dan de verdediging van ondernemingen zich kan aanpassen. Generatieve ai vergroot daarbij de kloof. Met ongekende snelheid en schaal stelt ai aanvallers in staat om legacy systemen te omzeilen en beveiligingsteams te overweldigen. Traditionele verdedigingen zijn niet langer toereikend.
Teichmann noemt in dit opzicht malware die als een kameleon van gedaante kan veranderen. In het ene geval ziet deze kwaadaardige software eruit als een appel, in het andere geval als een peer. Wanneer de malware zich aanpast aan zijn omgeving en doelwit, worden detectie en bestrijding lastig. Alleen door zelf ook ai toe te passen, valt dit probleem goed op te lossen.
De securityexpert herinnert zich de discussies van tien jaar geleden waarbij de vraag werd gesteld wat op gebied van cybersecurity het ergste zou zijn. ‘We kwamen toen uit op het verschijnsel ‘data poisoning’. Door heel langzaam over langere tijd informatie te veranderen en telkens nieuwe fouten toe te voegen kan een enorme verwarring ontstaan. Je weet niet meer welke backup je gegevens weer herstelt. Zo kunnen kwaadwillenden nu opzettelijk de trainingsdata van ai-modellen manipuleren om hun gedrag te beïnvloeden of te ondermijnen.’
Zoals gezegd, bezit negentig procent van de bedrijven niet de volwassenheid om moderne ai-gedreven bedreigingen te weerstaan. Teichmann constateert dat ondernemers in ai vooral investeren om hun omzet te vergroten of kosten te verlagen. De top-line growth-agenda krijgt alle aandacht. De nadruk ligt op verkoop, marketing en expansie.
‘In de adoptie van ai wordt 2,6 keer meer geïnvesteerd dan in beveiliging tegen de – nieuwe – gevaren. Maar veelal ontbreekt het aan voldoende veiligheid in de basis. Om generatieve ai op de juiste manier toe te passen moeten juist die basiselementen goed worden ingevuld. Het belang daarvan kan niet genoeg worden benadrukt. Bij nieuwe ai-projecten moet je starten met het fundament. Zie het als een piramide met onderaan de basisbehoeften en ai aan de top. Als het fundament onvoldoende is beveiligd, kan je nooit tot verantwoorde en betrouwbare ai komen.’
Machine-ID
Een van de zaken die veel aandacht verdient is het Identity and Access Management (IAM), een cybersecurity raamwerk dat garandeert dat de juiste personen de juiste toegang tot de juiste hulpbronnen krijgen op het juiste moment. Niet alleen van medewerkers en klanten, maar ook van machines en ai-agenten moeten de digitale identiteiten beheerd worden.
De toegang die een ai-agent heeft tot bepaalde informatie, dient nauwkeurig te worden vastgelegd in een machine-ID. Geef ai-agenten alleen toegang tot de informatie die ze vanuit hun rol nodig hebben. Na het volbrengen van hun taak moet de rechten tot de informatie weer worden ingetrokken zodat alleen toegang tot informatie beschikbaar is wanneer het nodig is.
Altijd moet zichtbaar zijn welke ai-agent wat waar heeft gedaan. En let erop dat de geprivilegieerde toegang die (ai)developers voor een testomgeving krijgen, na afloop van de test weer wordt ingetrokken, aldus Teichmann. Want als hackers zo’n ID vinden, kan het heel erg mis gaan. IAM moet daarom klaar zijn voor de komende ai-transformatie.
Opmerkelijke uitkomst van het onderzoek is ook dat slechts 13 procent van de organisaties over geavanceerde cyber-vaardigheden zegt te beschikken. Dit is niet alleen een kwestie van budget en talent, maar ook van cultuur. En veranderingen in bedrijfscultuur beginnen aan de top, zegt Teichmann.
Crisis-simulaties kunnen de ondernemingsleiding beter bewust maken van de noodzaak tot meer cybersecurity. Executives die zo’n training hebben gedaan, voelen dan beter aan hoe zo’n crisis zich kan ontwikkelen en wat je moet doen. Belangrijk is dat de board bij security-problemen niet meteen alles doorschuift naar de ciso maar zelf ook verantwoordelijkheid neemt.
Cybersecurity is niet alleen een technisch probleem, maar bovenal ook een kwestie van cultuur en bewustwording. Dit vraagt om meer verankering van veiligheid in de totale organisatie. Medewerkers moeten ook beter aanvoelen wat de impact kan zijn van bepaalde handelingen.
Het gaat niet louter om intellectueel vermogen. Als iedereen bijspringt en bijdraagt tot meer cyberveiligheid, wordt de krapte in de arbeidsmarkt in dit vakgebied ook kleiner. Ai moet niet alleen op de juiste manier worden beveiligd, maar ook verstandig worden gebruikt. Governance moet ervoor zorgen dat medewerkers zich bewust zijn van wat ze met ChatGPT delen en geen vertrouwelijke informatie invoeren, zoals het toetsen van een voorstel tot fusie of overname in ChatGPT. Het volledig inbedden van cybersecurity in ai, zowel qua strategie als in de uitvoering. Daar gaat het om, besluit Teichmann.
De nieuwste ontwikkelingen op cybersecurity gebied komen aan de orde op de Cybersec Netherlands beurs. Het event vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
