'Ai dwingt ons om risico's opnieuw te definiëren'

In dit artikel:

Mandy Andress, chief information security officer bij Elastic en keynotespreker op Cybersec Netherlands 2026 (9–10 september, Jaarbeurs Utrecht), waarschuwt dat de huidige aanpak van cybersecurity — voornamelijk gericht op controles en compliance — niet meer volstaat. Volgens haar brengt de opkomst van kunstmatige intelligentie (ai) en autonome ai‑agents het vakgebied naar een kantelpunt: aanvallen worden sneller, slimmer en gemakkelijker op te schalen, waardoor traditionele dreigingsmodellen en beheersmaatregelen snel verouderen.

Andress stelt dat organisaties hun risicobenadering fundamenteel moeten herzien. In plaats van security te zien als een checklist voor wet- en regelgeving (denk aan NIS2, DORA en strengere digitale weerbaarheidseisen), is een strategische, risicogedreven visie nodig. Cruciale vraag voor bestuurders en ciso’s wordt niet langer “voldoen we aan de regels?”, maar “hoeveel risico zijn we bereid te accepteren?” De snelle ontwikkeling van ai heeft volgens haar de planningshorizon verkort: voorspellingen die ooit tien jaar reikten, zijn nu soms nog maar één kwartaal houdbaar.

Specifiek wijzen cybercriminelen ai al in te zetten voor geavanceerde phishing, social engineering, malwareontwikkeling en geautomatiseerde verkenning van kwetsbaarheden. Daarbij ontstaan ook geheel nieuwe risicocategorieën door autonome ai‑agents: systemen die zelfstandig informatie verzamelen, beslissingen nemen en acties uitvoeren binnen bedrijfsnetwerken. Zulke agents roepen vragen op over autonomie, toegangsrechten, datagebruik, aansprakelijkheid en monitoring — vraagstukken waarvoor veel bestaande security‑frameworks nog geen antwoord bieden.

Tegelijk ziet Andress ai niet alleen als bedreiging maar ook als sleutelcomponent van defensie. In security operations centers verschuift ai van proefproject naar standaardinstrument: voor afwijkingsdetectie, incidentanalyse en versnelde respons. In een markt met tekort aan securityspecialisten kan ai helpen risico’s en incidenten sneller te doorgronden. “Ai is zowel de dreiging als de kans”, aldus Andress — wie ai bewust inzet voor verdediging kan volgens haar een voorsprong opbouwen.

De kern van Andress’ boodschap voor Cybersec Netherlands 2026 is dat cybersecurity moet bewegen van reactief blokkeren naar proactief begrijpen, voorspellen en beheersen van risico’s in een dynamische digitale omgeving. Organisaties die vasthouden aan puur compliance‑gedreven modellen lopen risico achter te blijven; zij die ai omarmen en hun governance en risicomanagement herontwerpen, bereiden zich beter voor op de komende transformatie.