← Terug naar blog

The 2025 security operations 

AI Security

Deel I: Roadmap

1.1. Van het beveiligen van infrastructuur naar het besturen van intelligentie

De kern van cyberbeveiliging ondergaat in 2025 een fundamentele transformatie. De focus verschuift van het verdedigen van statische, definieerbare perimeters naar het beheersen van de risico’s die inherent zijn aan autonome, intelligente en diep onderling verbonden systemen. Organisaties worden geconfronteerd met een nieuwe, complexe uitdaging die wordt gevormd door de convergentie van drie krachtige factoren: de opkomst van geavanceerde, door AI aangedreven aanvalstechnieken; de adoptie van geautomatiseerde agent-georiënteerde architecturen zoals Agent-to-Agent (A2A) protocollen en Multi-Agent Control Panels (MCP); en een aanzienlijk verzwaard compliance-landschap, aangevoerd door regelgeving zoals de NIS2-richtlijn en de EU AI Act.1

Deze convergentie creëert een omgeving waarin traditionele beveiligingsmodellen, gebaseerd op het detecteren van bekende signaturen en het bewaken van netwerkverkeer aan de rand, ontoereikend zijn. De dreigingen zijn niet langer alleen gericht op het compromitteren van systemen, maar op het manipuleren van de logica en het vertrouwen van de geautomatiseerde processen die de kern van de moderne onderneming vormen. Dit rapport presenteert geen lijst van geïsoleerde dreigingen, maar een geïntegreerde blauwdruk voor de transformatie van het Security Operations Center (SOC) en de onderliggende beveiligingsarchitectuur om deze nieuwe realiteit het hoofd te bieden. De strategie die hierin wordt uiteengezet, is gebaseerd op een proactieve, op identiteit gerichte en continu geverifieerde aanpak, essentieel voor overleving en veerkracht in het agentic tijdperk.4

1.2. Strategie

Om de organisatie succesvol door dit veranderende landschap te navigeren, moeten leiderschap en directie vier strategische imperatieven omarmen. Deze vormen de pijlers voor investeringen, beleid en operationele focus voor de komende jaren.

Imperatief 1: Omarm identiteit

De traditionele netwerkperimeter is vervaagd. De ware perimeter wordt nu gevormd door de identiteit van elke entiteit die toegang vraagt tot data of systemen, of dit nu een menselijke gebruiker, een IoT-apparaat, een microservice of een autonome AI-agent is. De explosieve groei van niet-menselijke identiteiten, met name binnen A2A- en MCP-frameworks, vereist een radicale verschuiving naar een Zero Trust-model. Dit model gaat uit van het principe “never trust, always verify” en dwingt af dat elke interactie, zonder uitzondering, expliciet wordt geauthenticeerd en geautoriseerd op basis van de minst benodigde privileges. Investeringen in geavanceerd Identity and Access Management (IAM) voor niet-menselijke identiteiten zijn niet langer optioneel, maar een fundamentele voorwaarde voor beveiliging.7

Imperatief 2: Investeer in AI-specifieke verdediging en monitoring

Standaard security-oplossingen zoals EDR en SIEM zijn grotendeels blind voor de nieuwe generatie AI-specifieke aanvallen. Dreigingen zoals datavergiftiging (data poisoning), modelontwijking (evasion attacks) en het stelen van modellen (model theft) opereren op een laag die voor deze tools onzichtbaar is. Effectieve verdediging vereist gespecialiseerde databronnen, zoals de logs van AI API’s en MCP-transacties, en nieuwe detectiemodellen die zijn getraind om afwijkend gedrag van AI-systemen zelf te herkennen. Het monitoren van de output en het gedrag van een model is even belangrijk geworden als het monitoren van netwerkverkeer.9

Imperatief 3: Operationaliseer AI governance

Voldoen aan de EU AI Act is geen papieren exercitie voor de juridische afdeling; het is een diepgaande technische en operationele uitdaging. De wet stelt strenge eisen aan de robuustheid, transparantie en traceerbaarheid van AI-systemen die als “hoog risico” worden geclassificeerd. Dit vertaalt zich direct naar technische controles die het SOC moet kunnen handhaven en auditen. Het vereist onveranderlijke (immutable) logging van alle beslissingen van het AI-systeem, een robuust risicomanagementproces voor de AI-levenscyclus en sterke cyberbeveiligings maatregelen om de integriteit van de modellen en data te waarborgen. AI governance moet worden geïntegreerd in de DevSecOps-pijplijn en de dagelijkse operaties van het SOC.12

Imperatief 4: Herdefinieer het SOC voor het agentic tijdperk

Het traditionele SOC, dat functioneert als een centrum voor het triageren van door mensen geanalyseerde alerts, is niet opgewassen tegen de snelheid en schaal van geautomatiseerde, AI-gedreven aanvallen. Het SOC van de toekomst moet zelf een agentic model omarmen. Het moet evolueren naar een orchestrator van geautomatiseerde detectie- en respons-agents, die opereren binnen een eigen, streng beveiligd Multi-Agent Control Panel. Deze transformatie stelt het SOC in staat om op machinesnelheid te reageren, menselijke analisten te focussen op proactieve threat hunting en strategische analyse, en de veerkracht van de organisatie significant te verhogen.4

1.3. 12-Maanden roadmap

De volgende roadmap biedt een gestructureerd plan om de organisatie binnen 12 maanden voor te bereiden op de uitdagingen van 2025. Het plan is opgedeeld in vier kwartalen, elk met een duidelijke focus.

Q1: Fundamentele Analyse & Governance

Q2: Architectuur voor Zero Trus

Q3: Verbetering van SOC-capaciteiten

Q4: Automatisering & validatie

Deel II: Het dreigingslandschap van 2025

2.1. Inleiding van het dreigingslandschap

Artificiële intelligentie is een technologie met een duaal karakter: het biedt ongekende mogelijkheden voor verdedigers om dreigingen te detecteren en te neutraliseren, maar het bewapent tegelijkertijd aanvallers met krachtige nieuwe tools om aanvallen te schalen, te personaliseren en te verhullen. Het dreigingslandschap van 2025 wordt gekenmerkt door deze dualiteit. Om effectief te kunnen verdedigen, is een gestructureerd begrip van de methoden van de tegenstander essentieel.

Hiervoor zijn gestandaardiseerde raamwerken onmisbaar. Het MITRE ATT&CK®-framework biedt een uitgebreide kennisbank van tactieken, technieken en procedures (TTP’s) die door aanvallers worden gebruikt tegen traditionele IT-infrastructuren.17 Echter, met de opkomst van AI-systemen als primair doelwit, is ATT&CK alleen niet meer voldoende. Het MITRE ATLAS™-framework is specifiek ontwikkeld om de unieke aanvalsvectoren tegen AI- en machine learning-systemen te catalogiseren.9 Een holistische verdedigingsstrategie vereist een geïntegreerde visie die beide raamwerken combineert, omdat moderne aanvalsketens vaak TTP’s uit beide domeinen omvatten.20

Table 1: Cyber threat intelligence

https://docs.google.com/spreadsheets/d/e/2PACX-1vSId8q9Kxb2-ms30F8oUmOppvMlEV2UbAO8-jcGeDfItKZsxUgqM3jBrIIlsE5JS2PjBOOzUyQeQDKO/pubhtml?gid=0&single=true

Tabel 2: Aanvalsmatrix (2025)

De volgende matrix biedt een gestructureerd overzicht van de 26 geïdentificeerde geavanceerde aanvalstypes. Deze tabel dient als het centrale referentiedocument voor de rest van dit rapport en verbindt elke aanval met zijn operationele kenmerken, detectievereisten en potentiële bedrijfsimpact.

https://docs.google.com/spreadsheets/d/e/2PACX-1vSId8q9Kxb2-ms30F8oUmOppvMlEV2UbAO8-jcGeDfItKZsxUgqM3jBrIIlsE5JS2PjBOOzUyQeQDKO/pubhtml?gid=1758752997&single=true

2.2. Adversarial Machine Learning (AML)

Adversarial Machine Learning (AML) vertegenwoordigt een klasse van aanvallen die specifiek gericht is op de inherente kwetsbaarheden van machine learning-algoritmes. In tegenstelling tot traditionele cyberaanvallen die softwarefouten exploiteren, misbruiken AML-technieken de wiskundige fundamenten van het model zelf. Deze aanvallen omzeilen vaak traditionele beveiligingsmaatregelen omdat de inputs niet “malicious” zijn in de klassieke zin; ze bevatten geen malware of exploit-code, maar zijn subtiel gemanipuleerd om het model te misleiden.11 De MITRE ATLAS-matrix is het essentiële raamwerk om deze dreigingen te begrijpen en te categoriseren.9

De drie belangrijkste categorieën van AML-aanvallen zijn:

De verdediging tegen AML vereist een fundamenteel andere aanpak. Het gaat niet om het blokkeren van bekende slechte inputs, maar om het bouwen van robuustere modellen (bv. via adversarial training) en het monitoren van het gedrag en de prestaties van het model in productie om onverwachte degradatie of afwijkende beslissingspatronen te detecteren.

2.3. LLM Supply chain en data

De levenscyclus van een Large Language Model (LLM) is complex en biedt meerdere toegangspunten voor data Poisoning aanvallen. Deze aanvallen zijn bijzonder verraderlijk omdat de compromittering plaatsvindt vóórdat het model in productie wordt genomen, waardoor de kwetsbaarheid diep in de logica van het model is ingebed.27 De aanvalsvector is niet een netwerkpakket of een malafide executable, maar de data die het model vormt.

De belangrijkste fasen en bijbehorende risico’s zijn:

Een bijkomend risico is de “memory persistence” van agentic systemen. In tegenstelling tot stateless applicaties, onthouden deze agenten informatie over interacties heen. Een aanvaller kan een agent geleidelijk “vergiftigen” met misleidende informatie via meerdere, schijnbaar onschuldige interacties. Deze informatie wordt opgeslagen in het geheugen van de agent en kan zijn beslissingen in de toekomst subtiel beïnvloeden, een vorm van “low-and-slow” manipulatie die extreem moeilijk te detecteren is.28

2.4. Convergentie van dreigingen

De analyse van het dreigingslandschap onthult twee fundamentele verschuivingen die de strategie voor cyberverdediging bepalen.

Ten eerste vervagen de grenzen tussen de traditionele en de AI-specifieke aanvalskaders. Een geavanceerde aanvalsketen is zelden beperkt tot alleen TTP’s uit MITRE ATT&CK of alleen uit MITRE ATLAS. In plaats daarvan zien we een hybride aanpak. Een aanval kan beginnen met een klassieke ATT&CK-techniek, zoals Phishing (T1566), om initiële toegang te verkrijgen. De payload die via deze phishing-e-mail wordt afgeleverd, is echter geen traditionele malware, maar een zorgvuldig geconstrueerd “adversarial example” (ATLAS-techniek AML.T0043). Dit voorbeeld is ontworpen om een AI-gebaseerd e-mailfilter of een andere interne beveiligingscontrole te omzeilen. Eenmaal binnen kan de aanvaller overgaan tot het vergiftigen van een productiemodel (ATLAS-techniek AML.T0033) om bedrijfsprocessen te saboteren. Een SOC dat zijn monitoring en threat modeling beperkt tot slechts één van deze raamwerken, zal de volledige context en het uiteindelijke doel van de aanval missen. Een geïntegreerde verdediging die detectiesignalen uit beide domeinen correleert, is daarom noodzakelijk.

Ten tweede transformeert de opkomst van A2A- en MCP-architecturen de aard van de aanvalsdoelen. Deze systemen, ontworpen voor automatisering en schaalbaarheid, introduceren een nieuw, uiterst waardevol doelwit: de orchestratielaag zelf.1 Waar aanvallers zich traditioneel richtten op het compromitteren van een gebruiker of een server, verschuift de focus nu naar het compromitteren van de identiteit of de logica van een autonome agent. Het compromitteren van een enkele, hoog-geprivilegieerde agent of het MCP stelt een aanvaller in staat om kwaadaardige acties op machinesnelheid en -schaal te orkestreren, waarbij menselijke controlemechanismen volledig worden omzeild. Wanneer een aanvaller een malafide taak kan injecteren in een MCP, zal het panel deze taak plichtsgetrouw uitvoeren met de legitieme credentials van zijn ondergeschikte agents.4 Dit is een geavanceerde vorm van “Living off the Land”, die niet op het niveau van het besturingssysteem, maar op de logische orchestratielaag opereert. Dit verheft “API Abuse” van een tactische techniek tot een strategisch einddoel en maakt de beveiliging van de A2A/MCP-infrastructuur zelf tot een nieuwe, kritieke controlepijler.

Deel III: Zero Trust voor menselijke en machine-identiteiten

3.1. Fundamentele principes van Zero Trust 2025

De traditionele beveiligingsfilosofie, gebaseerd op een versterkte perimeter waarbinnen systemen en gebruikers impliciet worden vertrouwd, is obsoleet. De realiteit van cloud-computing, mobiel werken en nu ook autonome AI-agenten dwingt tot de adoptie van een Zero Trust-architectuur. Dit model is gebaseerd op een aantal fundamentele principes die de basis vormen voor een veerkrachtige en moderne verdediging.5

Deze principes evolueren van een netwerk-centrische toepassing (microsegmentatie) naar een identiteit-centrisch model. De identiteit – van mens, machine of AI-agent – is de nieuwe controlelaag. Een centrale, uniforme beleidsengine (Policy Enforcement Point) evalueert continu elke toegangsverzoek tegenover het gedefinieerde beleid, waardoor een dynamische en contextbewuste beveiliging ontstaat.6

3.2. Het beveiligen van het agentic ecosysteem: A2A en MCP architecturen

De principes van Zero Trust zijn direct en noodzakelijk toepasbaar op de opkomende architecturen voor AI-agenten. Deze systemen introduceren een nieuwe klasse van niet-menselijke identiteiten die op hoge snelheid en met grote autonomie opereren, waardoor traditionele, handmatige beveiligingscontroles onwerkbaar worden.

A2A Protocol Security

Het Agent-to-Agent (A2A) protocol standaardiseert de communicatie tussen autonome agents en bestaat uit drie hoofdfasen: Discovery, Authenticatie en Communicatie.32 Elke fase introduceert specifieke risico’s die met Zero Trust-controles moeten worden gemitigeerd.

MCP Architectuur Security

Een Multi-Agent Control Panel (MCP) fungeert als de centrale orchestrator voor een vloot van AI-agenten. Het beheert de intelligente routering van taken, de integratie met externe tools en API’s, het governance-beleid en het statusbeheer (geheugen) van de agents.1 Hoewel krachtig, vormt het MCP ook een gecentraliseerd punt van falen en een uiterst waardevol doelwit voor aanvallers.

Zero Trust Controles voor MCP:

3.3. Architecturale imperatieven

De analyse van deze nieuwe architecturen leidt tot twee strategische conclusies die de toekomstige richting van beveiligingsoperaties en -investeringen bepalen.

Ten eerste is er een duidelijke convergentie zichtbaar tussen de architectuur van een Multi-Agent Control Panel en die van een traditioneel SOAR-platform (Security Orchestration, Automation, and Response). Een MCP, zoals beschreven voor het aansturen van business-agents, routeert taken naar gespecialiseerde agents op basis van de intentie van het verzoek.4 Een SOAR-platform doet conceptueel hetzelfde: het routeert alerts naar geautomatiseerde playbooks op basis van het type alert. Dit betekent dat een modern SOC niet alleen moet leren hoe het zich moet verdedigen tegen kwaadaardige MCP’s, maar ook zijn eigen veilige, interne MCP moet bouwen om een nieuwe generatie van AI-gedreven verdedigings-agents te orkestreren. Een security-incident wordt dan een “taak” die door het SOC-MCP wordt ontvangen en gerouteerd naar gespecialiseerde security-agents voor threat intelligence-verrijking, log-analyse of containment-acties. De principes voor het beveiligen van een business-MCP zijn dus direct van toepassing op het bouwen van een veerkrachtig, geautomatiseerd SOC van de volgende generatie.

Ten tweede wordt een robuuste Public Key Infrastructure (PKI) een fundamentele, kritieke controle voor het beveiligen van AI. De opkomst van kortlevende, autonome agenten maakt traditioneel beheer van credentials, zoals statische API-sleutels, onhoudbaar en onveilig.40 Een Zero Trust-model in een dergelijke dynamische omgeving kan alleen worden gerealiseerd als elke agent een sterke, unieke en kortlevende identiteit heeft. Een moderne, geautomatiseerde PKI, die in staat is om op aanvraag workload-bound certificaten uit te geven (zoals via het SPIFFE/SPIRE-model), is de enige schaalbare oplossing.7 Deze certificaten dienen niet alleen voor de authenticatie van elke A2A-transactie, maar maken ook de oprichting van versleutelde mTLS-kanalen mogelijk, wat vertrouwelijkheid en integriteit garandeert. Investeringen in een moderne PKI zijn daarom geen optionele verbetering meer, maar een absolute voorwaarde voor de veilige inzet van agentic AI-systemen.

Deel IV: Het proactieve SOC

4.1. Geavanceerde Detectie-Engineering

De verschuiving naar AI-gedreven en agentic aanvallen vereist een parallelle evolutie in de detectiestrategieën van het SOC. Detectie gebaseerd op bekende, statische signaturen verliest aan effectiviteit tegen polymorfe malware en subtiele, gedragsmatige aanvallen. De focus moet verschuiven naar het detecteren van afwijkingen van een normale baseline (anomaliedetectie) en het herkennen van patronen die wijzen op kwaadaardige TTP’s (gedragsanalyse).41 Dit is alleen mogelijk door de juiste databronnen te verzamelen en te analyseren.

Bronnen

Een effectieve detectiestrategie voor het landschap van 2025 is afhankelijk van de integratie van zowel traditionele als nieuwe, AI-specifieke logbronnen:

Tabel 3: SOC detectie & mitigatie matrix

Het beproefde incident response-levenscyclusmodel van NIST – Preparation, Detection & Analysis, Containment, Eradication & Recovery, en Post-Incident Activity – blijft relevant, maar de invulling van elke fase moet worden aangepast aan de specifieke kenmerken van AI-incidenten.53

https://docs.google.com/spreadsheets/d/e/2PACX-1vSId8q9Kxb2-ms30F8oUmOppvMlEV2UbAO8-jcGeDfItKZsxUgqM3jBrIIlsE5JS2PjBOOzUyQeQDKO/pubhtml?gid=137605728&single=true

Gedetailleerde IR Playbooks (Top 5 Dreigingen)

4.3. Het evoluerende SOC

De operationele realiteit van het verdedigen tegen deze dreigingen leidt tot twee onvermijdelijke conclusies over de evolutie van het SOC.

Ten eerste, logbronnen worden een productvereiste. Voor het effectief monitoren van A2A- en MCP-systemen volstaan standaard OS- of netwerklogs niet. De interacties – de intentie van een taak, de gebruikte parameters, de uitkomst – zijn applicatie-laag gebeurtenissen die alleen door het framework zelf kunnen worden gelogd.1 Dit betekent dat het SOC niet langer passief logdata kan consumeren; het moet proactief logging-specificaties definiëren en deze als een niet-onderhandelbare eis opleggen aan de ontwikkelteams die agentic applicaties bouwen. De beveiligingseisen van het SOC worden zo een drijvende kracht achter de architectuur en features van interne applicaties. De SOC-analist moet kunnen zien welke agent welke tool heeft aangeroepen met welke data, en dat kan alleen als de ontwikkelaar die log-hook heeft ingebouwd.51

Ten tweede, incident response wordt MLOps. De respons op een aanval als datavergiftiging of modelontwijking is geen traditionele SecOps-activiteit. Het vereist een diepe, operationele samenwerking tussen het SOC, datawetenschappers en ML-engineers.58 De “eradicatie”-stap is niet het verwijderen van een virus, maar het hertrainen van een neuraal netwerk. De “recovery”-stap is het veilig uitrollen van dit nieuwe model via een MLOps-pijplijn. Dit dwingt de fusie van SecOps- en MLOps-teams, -processen en -tooling. Een incident met een AI-model kan niet worden opgelost zonder de expertise van degenen die het model hebben gebouwd en onderhouden, wat leidt tot de creatie van geïntegreerde, cross-functionele responsteams.25

Deel V: Governance, Risk, and Compliance (GRC)

5.1. Vertaling van regelgevende mandaten naar technische controles

Een robuuste beveiligingsstrategie moet niet alleen technisch effectief zijn, maar ook aantoonbaar voldoen aan de geldende wettelijke en regelgevende kaders. Voor organisaties die in Europa opereren, zijn de GDPR, de NIS2-richtlijn en de EU AI Act de belangrijkste pijlers. Dit gedeelte vertaalt de juridische vereisten van deze regelgeving naar concrete, implementeerbare technische en procedurele controles.

Tabel 3: Compliance mapping

Deze tabel biedt een directe en auditeerbare koppeling tussen de voorgestelde beveiligingscontroles in dit rapport en de specifieke artikelen uit de relevante regelgeving. Het stelt compliance-teams in staat om de technische strategie te valideren en helpt de CISO om due diligence aan te tonen.

Controle ID / RapportsectieControlebeschrijvingGDPR MappingNIS2 MappingEU AI Act MappingBewijs van Compliance3.2.1Implementeer kortlevende, op certificaten gebaseerde identiteiten voor AI-agenten.Art. 32(1)(b) – Vertrouwelijkheid, integriteitArt. 21(2)(b) – ToegangsbeheerbeleidArt. 15(3) – CybersecurityPKI-uitgifteregisters, mTLS-configuraties, agent-identiteitslogs.4.1Implementeer logging van AI API-requests en -responses in SIEM.Art. 32(1)(b), Art. 33(3) – Aard van de inbreukArt. 21(2)(c) – IncidentbehandelingArt. 12(1) – Automatische logboekregistratieSIEM-dashboards, log-retentiebeleid, voorbeelden van gelogde transacties.2.3 / 4.2.4Ontwikkel een IR-playbook specifiek voor datavergiftigingsincidenten.Art. 32(1)(c) – Herstelvermogen, Art. 33 – Tijdige meldingArt. 21(2)(c) – IncidentbehandelingArt. 15(1) – RobuustheidGedocumenteerd en getest IR-playbook, post-incident rapporten.3.2.2Sandbox alle tool-executies binnen het MCP-framework.Art. 32(1)(b) – IntegriteitArt. 21(2)(d) – Beveiliging in ontwikkelingArt. 15(3) – CybersecurityArchitectuurdocumentatie, configuratie van de sandbox-omgeving.5.3 (Insight 2)Voer security assessments uit op leveranciers van data en pre-trained models.Art. 28 – Verwerkers, Art. 32(1)(d) – Regelmatige toetsingArt. 21(2)(e) – Beveiliging van de toeleveringsketenArt. 10 – Data en databeheerLeveranciersvragenlijsten, contractuele beveiligingsclausules, auditrapporten.

5.2. Risicoregister

Een gestructureerd risicobeheerproces is essentieel om de inspanningen en middelen te richten op de meest significante dreigingen. Het volgende register biedt een raamwerk voor het scoren en prioriteren van de geïdentificeerde aanvallen.

Tabel 4: Hoog-Niveau Risicoregister

Attack IDDreigingsbeschrijvingWaarschijnlijkheid (1-5)Business Impact (1-5)Inherent Risico (W x I)Belangrijkste Mitigerende Controles (Sectie Ref.)A25-01AI-Powered Phishing5420Gebruikerstraining, Geavanceerde e-mailbeveiliging (AI-gebaseerd), MFA (4.2.2)A25-03Cloud Account Takeover (ATO)4520Sterk IAM-beleid, MFA voor alle accounts, JIT-toegang, Cloud audit log monitoring (4.2.1)A25-06LLM Prompt Injection5315Input sanitization, Output encoding, Monitoring van LLM API-logs (4.1, 4.2.3)A25-14Data Poisoning3515Strikte controle op data-inname, Data provenance, Continue model performance monitoring (2.3, 4.2.4)A25-05Supply Chain Compromise3515Software Composition Analysis (SCA), Vetting van leveranciers, Beveiligde CI/CD-pipeline (5.3)A25-18Adversarial ML (Evasion)248Adversarial training van modellen, Monitoring van modelgedrag (2.2, 4.2.3)A25-24Agentic System Hijacking2510Zero Trust-architectuur voor A2A/MCP, Sterke agent-identiteiten, Sandboxing (3.2)

5.3. De Toekomst van GRC

De integratie van AI en de nieuwe regelgevingskaders forceren een fundamentele herijking van de GRC-functie.

Ten eerste wordt “Compliance by Design” voor AI een technische realiteit. De vereisten van de EU AI Act voor logboekregistratie, robuustheid en traceerbaarheid zijn geen zaken die na de implementatie kunnen worden gecontroleerd en afgevinkt.3 Ze moeten vanaf de eerste dag worden ingebouwd in de architectuur van het AI-systeem en de MLOps-pijplijn. De eis voor automatische, onveranderlijke logging (Artikel 12) betekent dat de logica voor het vastleggen van data-afkomst, modelversie, input en de resulterende beslissing deel moet uitmaken van de kernapplicatie.67 Dit maakt het security-architectuurteam en het DevSecOps-team direct verantwoordelijk voor compliance-uitkomsten. De vereisten van de compliance-afdeling moeten worden vertaald naar concrete technische specificaties voor ontwikkelaars in de ontwerpfase. Het achteraf proberen toe te voegen van deze functionaliteit is technisch complex, kostbaar en vaak onmogelijk. Compliance is hiermee definitief “naar links verschoven” in de ontwikkeling levenscyclus.

Ten tweede breidt het risico in de toeleveringsketen zich uit naar data en modellen. De NIS2-richtlijn legt een sterke nadruk op de beveiliging van de ICT-toeleveringsketen.63 Voor AI-systemen omvat deze keten veel meer dan alleen softwareleveranciers. De “leveranciers” zijn nu ook open-source modellen van platforms zoals Hugging Face, vooraf getrainde modelgewichten, en datasets die worden aangekocht bij databrokers. Elk van deze componenten kan een vector zijn voor een aanval, zoals datavergiftiging.27 Het doorlichten van deze nieuwe categorie “leveranciers” is een kritieke, en vaak nog onvervulde, GRC-uitdaging. GRC-processen moeten worden uitgebreid om due diligence uit te voeren op data- en model leveranciers, met dezelfde nauwgezetheid als bij traditionele softwareleveranciers. Dit omvat het controleren van de herkomst (provenance), de documentatie, de methodologie voor dataverzameling en eventuele bekende kwetsbaarheden of vooroordelen in de modellen en datasets.

Dreigingsprofielen Cyberaanvallen in het AI-tijdperk

  1. Dreigingsprofiel: AI-Powered Phishing (A25-01)

KenmerkBeschrijving**Wat is het?AI-Powered Phishing is een aanval waarbij cybercriminelen Generatieve AI gebruiken om op grote schaal hyperrealistische en gepersonaliseerde phishing-e-mails, -berichten en -websites te maken. In tegenstelling tot traditionele phishing met spelfouten, zijn deze berichten zeer overtuigend, perfect geschreven en specifiek op de ontvanger afgestemd, waardoor ze traditionele spamfilters makkelijker kunnen omzeilen.Waarom is het gevaarlijk?De primaire risico’s van deze aanval zijn ernstig en kunnen leiden tot aanzienlijke schade. De drie belangrijkste gevaren zijn:<br><br> Diefstal van inloggegevens: Het buitmaken van gebruikersnamen en wachtwoorden.<br> Financiële fraude: Het overtuigen van slachtoffers om geld over te maken of betaalgegevens af te staan.<br> Installatie van schadelijke software (malware): Het misleiden van gebruikers om op een link te klikken die een virus of andere malware installeert.Typische doelwittenDe aanval richt zich primair op de menselijke en technische systemen die de poort naar een organisatie vormen. De belangrijkste doelwitten zijn:<br><br> Eindgebruikers (medewerkers): Omdat zij degenen zijn die verleid moeten worden om op een link te klikken of gegevens af te staan.<br> E-mailsystemen: Omdat dit de primaire route is om de aanval af te leveren.<br> Systemen voor identiteitsbeheer (Identity Providers): Omdat het buitmaken van één account toegang kan geven tot talloze applicaties.

Waar AI-phishing tekst gebruikt om te misleiden, gaat de volgende aanval nog een stap verder door onze zintuigen te manipuleren met behulp van AI-gegenereerde video en audio.

  1. Dreigingsprofiel: Deepfake Social Engineering (A25-11)

KenmerkBeschrijving**Wat is het?**Bij Deepfake Social Engineering gebruiken aanvallers AI om realistische audio- of video-opnames (deepfakes) te creëren van vertrouwde personen, zoals een CEO of een manager. Met deze deepfakes doen ze zich voor als die persoon om een medewerker te overtuigen een frauduleuze actie uit te voeren, zoals het goedkeuren van een dringende, valse factuur.Waarom is het gevaarlijk?Deze techniek is extreem gevaarlijk omdat het inspeelt op vertrouwen en autoriteit, wat kan leiden tot onmiddellijke en grote schade. De meest kritieke risico’s zijn:<br><br> Financiële fraude: Het autoriseren van valse overboekingen of betalingen.<br> Reputatieschade: De organisatie kan in diskrediet worden gebracht als de acties openbaar worden.<br> Ongeautoriseerde toegang: Het verkrijgen van toegang tot gevoelige systemen door een medewerker te misleiden.Typische doelwittenDe aanval richt zich specifiek op medewerkers die de autoriteit hebben om belangrijke acties uit te voeren. De primaire doelwitten zijn:<br><br> Medewerkers: Met een speciale focus op afdelingen zoals Financiën en HR die transacties of wijzigingen in systemen kunnen doorvoeren.

De vorige aanvallen richten zich op het manipuleren van mensen, maar wat als aanvallers de AI-systemen zelf kunnen corrumperen voordat ze überhaupt worden gebruikt?

  1. Dreigingsprofiel: Data Poisoning (A25-14)

KenmerkBeschrijving**Wat is het?Data Poisoning is het manipuleren van de trainingsdata van een machine learning (ML) model. Een aanvaller injecteert opzettelijk onjuiste, bevooroordeelde of schadelijke data in de dataset waarmee een AI wordt getraind. Je kunt het vergelijken met het toevoegen van foute informatie aan het studiemateriaal van een student: het model leert verkeerde lessen en zal daardoor onbetrouwbare beslissingen nemen of een “achterdeur” bevatten die een aanvaller later kan activeren. Dit kan gebeuren in verschillende fases: door het internet te overspoelen met foute informatie die in een basismodel wordt opgenomen (pre-training), door data te manipuleren waarmee een bedrijf een model specialiseert (fine-tuning), of door de externe kennisdatabase die een AI raadpleegt te corrumperen (RAG).Waarom is het gevaarlijk?Dit is een verraderlijke aanval omdat de kwetsbaarheid diep in de logica van het AI-model zelf wordt ingebakken, wat tot systematische fouten leidt. De belangrijkste gevaren zijn:<br><br> Onbetrouwbare beslissingen door de AI: Een vergiftigd model kan foute diagnoses stellen, verkeerde financiële voorspellingen doen of onveilige acties aanbevelen.<br> Sabotage van bedrijfsprocessen: De prestaties van de AI kunnen worden gedegradeerd, waardoor processen die ervan afhankelijk zijn, falen.<br> Reputatieschade: De AI kan onjuiste of bevooroordeelde output geven, wat het vertrouwen van klanten en partners schaadt.Typische doelwittenDe aanval richt zich op de kern van het AI-ontwikkelproces: de data en de systemen waarin deze wordt opgeslagen en verwerkt. Typische doelwitten zijn:<br><br> Trainingsomgevingen voor Machine Learning: Omdat hier de basiskennis van het AI-model wordt gevormd.<br> Data lakes (centrale opslagplaatsen voor data): Omdat een aanvaller hier de bron van de ‘kennis’ van de AI kan corrumperen.<br> Kennisdatabases voor RAG-systemen (externe databases die AI’s gebruiken voor actuele informatie): Omdat het manipuleren hiervan leidt tot feitelijk onjuiste antwoorden van de AI.

De kern van de nieuwe dreigingen.

Deze dreigingsprofielen tonen een fundamentele verschuiving in het cyberlandschap. Moderne AI-aanvallen zijn niet langer alleen gericht op het binnendringen van systemen, maar focussen zich op het manipuleren van de logica en het vertrouwen van zowel geautomatiseerde processen als de mensen die ze gebruiken. Dit vormt de kern van de uitdaging voor de cyberbeveiliging in het AI-tijdperk.

Geciteerd werk

DjimIT Nieuwsbrief

AI updates, praktijkcases en tool reviews — tweewekelijks, direct in uw inbox.

Gerelateerde artikelen

AI Security

Containment analysis, and mitigation of the “Shai Hulud” supply chain malware campaign

AI Security

From myth to practice security engineering code security and SDLC for modern software teams

AI Security

AI-Orchestrated Cyber-Espionage Campaigns