Slechts 1 op 10 bedrijven voorbereid op ai-aanvallen. Ondanks alle waarschuwingen is cybersecurity nog steeds niet top-of-mind bij de hoogste leiding van grote ondernemingen. De interesse is er wel, maar dit thema leeft onvoldoende op het C-niveau. Michael Teichmann, global managing director cyber security risk & architecture bij Accenture, vreest dat de komst van ai de problemen vergroot. ‘Cybersecurity moet ‘by design’ worden ingebouwd in elk initiatief dat wordt gedreven door ai.’

Wanneer die inbedding ontbreekt, gaat het onherroepelijk een keer mis met als gevolg verlies van klantvertrouwen. Teichmann hamert erop dat cybersecurity geen bijzaak is; geen verplichting die voortvloeit uit compliance. ‘Je kunt cybersecurity niet langer zien als iets wat je alleen doet om aan regels te voldoen.’

Het recente Accenture-rapport ‘State of Cybersecurity Resilience 2025‘ is als een wake-upcall te zien. Slechts één op de tien zeer grote ondernemingen (met een omzet van meer dan een miljard dollar) is voorbereid op ai-gedreven cyberaanvallen. Bijna twee derde heeft voor cybersecurity geen samenhangende strategie. Deze groep mist ook de technische basis om deze (nieuwe) bedreigingen het hoofd te bieden. Zo blijkt uit het onderzoek onder 2.286 executives (waarvan tachtig procent ciso en twintig cio is).

Gebrek aan ervaring

Dat het topmanagement, vaak bestaande uit economen, bedrijfskundigen, juristen of ingenieurs, op dit gebied niet tot een proactieve benadering komt, is mede te verklaren uit het grote aantal issues. Teichmann: ‘Je kan zo twintig onderwerpen noemen die directe aandacht opeisen, zoals toenemende geopolitieke spanningen en ai. Cybersecurity wordt dan beschouwd als een indirect gevaar. De hoogste leiding van een onderneming ziet de kosten die daarvoor worden gemaakt, als een soort verzekeringspremie.’

Een belangrijke reden dat het topmanagement weinig oog heeft voor cybersecurity is volgens Teichmann een gebrek aan ervaring. Tijdens hun carrière hebben de meeste ceo’s op dit gebied zelden een directe betrokkenheid gehad. De generatie die nu aan de top staat, is in tegenstelling tot millennials niet honderd procent digital native. 

Teichmann: ‘Ze hebben erover gelezen en gehoord, maar nooit risicovolle dingen van nabij meegemaakt. Het is voor deze generatie een ver-van-mijn-bedshow, tenzij er een significant incident in hun eigen bedrijf is geweest. Dat zal op de lange termijn veranderen met het aantreden van de volgende generatie.’

Generatieve ai

Uit genoemd onderzoek van Accenture blijkt dat cyberdreigingen sneller evolueren dan de verdediging van ondernemingen zich kan aanpassen. Generatieve ai vergroot daarbij de kloof. Met ongekende snelheid en schaal stelt ai aanvallers in staat om legacy systemen te omzeilen en beveiligingsteams te overweldigen. Traditionele verdedigingen zijn niet langer toereikend.

Teichmann noemt in dit opzicht malware die als een kameleon van gedaante kan veranderen. In het ene geval ziet deze kwaadaardige software eruit als een appel, in het andere geval als een peer. Wanneer de malware zich aanpast aan zijn omgeving en doelwit, worden detectie en bestrijding lastig. Alleen door zelf ook ai toe te passen, valt dit probleem goed op te lossen.

De securityexpert herinnert zich de discussies van tien jaar geleden waarbij de vraag werd gesteld wat op gebied van cybersecurity het ergste zou zijn. ‘We kwamen toen uit op het verschijnsel ‘data poisoning’. Door heel langzaam over langere tijd informatie te veranderen en telkens nieuwe fouten toe te voegen kan een enorme verwarring ontstaan. Je weet niet meer welke backup je gegevens weer herstelt. Zo kunnen kwaadwillenden nu opzettelijk de trainingsdata van ai-modellen manipuleren om hun gedrag te beïnvloeden of te ondermijnen.’ 

Zoals gezegd, bezit negentig procent van de bedrijven niet de volwassenheid om moderne ai-gedreven bedreigingen te weerstaan. Teichmann constateert dat ondernemers in ai vooral investeren om hun omzet te vergroten of kosten te verlagen. De top-line growth-agenda krijgt alle aandacht. De nadruk ligt op verkoop, marketing en expansie.

‘In de adoptie van ai wordt 2,6 keer meer geïnvesteerd dan in beveiliging tegen de – nieuwe – gevaren. Maar veelal ontbreekt het aan voldoende veiligheid in de basis. Om generatieve ai op de juiste manier toe te passen moeten juist die basiselementen goed worden ingevuld. Het belang daarvan kan niet genoeg worden benadrukt. Bij nieuwe ai-projecten moet je starten met het fundament. Zie het als een piramide met onderaan de basisbehoeften en ai aan de top. Als het fundament onvoldoende is beveiligd, kan je nooit tot verantwoorde en betrouwbare ai komen.’

Machine-ID

Een van de zaken die veel aandacht verdient is het Identity and Access Management (IAM), een cybersecurity raamwerk dat garandeert dat de juiste personen de juiste toegang tot de juiste hulpbronnen krijgen op het juiste moment. Niet alleen van medewerkers en klanten, maar ook van machines en ai-agenten moeten de digitale identiteiten beheerd worden. 

Deze versturen we 3-4x per jaar.