In de vorige blog met dezelfde titel zijn wij uitvoerig ingegaan op het gebruik van AI door cybercriminelen. In deze blog verkennen wij de consequenties daarvan voor bedrijfsprocessen en medewerkers en management die de bedrijfsprocessen aansturen.
Beveiligingsanalyse, AI neemt routinewerk over
In 2026 verwacht Google een grootschalige implementatie van AI in de bedrijfsprocessen van de organisatie. De werkzaamheden van de CISO, en in het bijzonder de beveiligingsanalist, zullen fundamenteel veranderen. De analisten verdrinken niet meer in alerts omdat AI-agents de voorbereiding voor een integrale risico-analyse uitvoeren en prioriteiten aangeven. Dit komt neer op een “Agentic SOC”. Voor een incidentresponder betekent dit dat een alert wordt geleverd met een volledige casussamenvatting. De taak van de analist verschuift van handmatige datacorrelatie naar strategische validatie, waardoor ze binnen enkele minuten, in plaats van uren, een Security Orchestration, Automation, and Response,(SOAR)-containmentactie kunnen goedkeuren.
Hetzelfde principe is ook van toepassing op threat hunting en intelligence-productie. De AI neemt het zware werk van het verzamelen en correleren van data voor zijn rekening. Een inlichtingenanalist kan een malwarevoorbeeld en voorlopige notities aanleveren, waarna de AI een volledig dreigingsrapport opstelt, inclusief identificatie van de dader en voorgestelde oplossingen. De AI doet het routinewerk, waardoor de analist zich kan concentreren op de analyse op hoog niveau en het uiteindelijke oordeel. Het gaat erom menselijke intuïtie te versterken, niet te vervangen.
Risico van schaduw-AI
De snelle toename van geavanceerde AI-agents in 2026 zullen het probleem van “schaduw-AI” doen escaleren tot een kritieke uitdaging. Zo waarschuwen sprekers op de eerder genoemde One Conference, wat door Google bevestigd wordt. Medewerkers zullen in organisaties krachtige, autonome agents zelfstandig inzetten voor werktaken, ongeacht of het bedrijf hiervoor toestemming heeft gegeven. Dit creëert onzichtbare, ongecontroleerde datastromen van gevoelige gegevens, wat mogelijk kan leiden tot incidenten, datalekken, schendingen van compliance en diefstal van intellectueel eigendom.
Het verbieden van agents is geen haalbare optie, omdat dit het gebruik alleen maar buiten het bedrijfsnetwerk verplaatst en de zichtbaarheid wegneemt. De toekomststrategie zal bestaan uit het creëren van een nieuwe discipline op het gebied van AI-beveiliging en -governance. In navolging van het beschermen van persoonsgegevens en het opbouwen van cyberweerbaarheid is een ‘secure-by-design’-aanpak nodig.
Succesvolle bedrijven creëren werkomgevingen die AI-innovatie mogelijk maken en tegelijkertijd zorgen voor aantoonbare beveiliging en bescherming van gegevens.
Bedrijven betreden onbekend terrein
Zoals wij vaker zeggen, is het organiseren van cyberweerbaarheid, het beschermen van de rechten en vrijheden van personen waarvan gegevens worden verwerkt (privacy) en het beschermen van de bedrijfsgeheimen een integraal vraagstuk. Het op grote schaal toepassen van AI, zowel bedrijfsmatig als persoonlijk, maakt dit vraagstuk complex. Daar komt de wettelijk geregelde ketenverantwoordelijkheid en -aansprakelijkheid voor het verwerken van gegevens door partners uit het informatie-ecosysteem van het bedrijf nog bij.
Wetswijzigingen zoals die van de NIS2 / Cyberbeveiligingswet en de Europese AI-Act, de cyber- en AI-dreigingen maken extra aandacht voor het toereikend organiseren van de informatiehuishouding en de automatisering noodzakelijk. Partners in een informatie-ecosysteem zullen – vanwege de ketenverantwoordelijkheid -elkaar vragen hoe zijn risico’s afdekken en wettelijke verplichtingen nakomen.
Vaak leidt een analyse van de impact van de dreigingen en verplichtingen tot voorstellen voor het aanpassen van bedrijfsprocessen. De voorwaarde voor het succesvol veranderen van bedrijfsprocessen is de medewerking van management en medewerkers die de bedrijfsprocessen aansturen. Daar begint het met bewustwording van de gevaren en de risico’s. Vervolgens vragen de medewerkers om kennis om succesvol de processen te veranderen en de veranderingen te bestendigen.
Die noodzaak van bewustwording is onderkend in NIS2. Het is één van de zorgplichtmaatregelen. Daarnaast vereist NIS2 aantoonbare kennis van bestuurders/ directieleden en, indien van toepassing, de raad van commissarissen.
Tenslotte
Duthler Academy voorziet daarin. Zij biedt bewustwordings- en trainingsprogramma’s aan, die verzorgd worden door de professionals van Duthler Associates en advocaten van First Lawyers. In de afgelopen maanden hebben zij zich gericht op het uitbouwen van een programma digitale weerbaarheid voor bestuurders en management en een programma digitale weerbaarheid voor medewerkers.
Duthler Academy biedt meer concreet aan:
- Een bewustwordings- en trainingsprogramma digitale weerbaarheid voor bestuurders. Het succesvol volgen van het programma resulteert in een certificaat waarmee het bestuur voldoet aan één van de verplichtingen van de NIS2/ Cbw. Voor het eerste jaar is dit programma gratis voor bestuurders.
- Een bewustwordings- en trainingsprogramma digitale weerbaarheid voor medewerkers. Vanaf € 1 per medewerker per maand maakt de bedrijfsleiding medewerkers bewust van de verplichtingen en bedreigingen van privacybescherming, cyberweerbaarheid en AI-geletterdheid.
