Tanium: overheid zoekt grip op compliance, cyberweerbaarheid en verantwoorde AI

Dat zijn geen losse dossiers. De praktijk van de overheid vraagt juist om samenhang: beveiligingsmaatregelen moeten aantoonbaar werken, audits worden zwaarder, regelgeving neemt toe en de druk om sneller te handelen bij incidenten wordt groter. Tegelijk ontstaat de volgende golf al: generatieve AI en agentic AI, die alleen waarde kunnen leveren als de onderliggende digitale omgeving op orde is.

Van Veenendaal: “Compliancy komt eigenlijk altijd wel naar voren. Dat is niet alleen het afvinken van normen of inregelen van capabilities als patchmanagement, vulnerability management en compliance management. Het gaat ook om aantonen en bewijzen. Precies daar zit de extra last die veel overheidsorganisaties voelen: niet alleen veilig zijn, maar ook voortdurend kunnen laten zien dat je veilig werkt.”

Compliance

Bronkhorst sluit daarop aan en legt de verbinding met de bredere ontwikkeling die de overheid volgens hem nu doormaakt. “Veel organisaties hebben de afgelopen jaren al een forse stap richting cloud gezet en daarbij meerdere tools en platformen ingevoerd. Daarmee ontstond een nieuwe volwassenheidsfase: na de migratie komt de vraag hoe je weer overzicht, controle en reactiesnelheid terugbrengt in een complexer landschap. Je ziet dat de controle om snel te reageren nu echt urgentie drijft voor onze technologie.”

Die urgentie is volgens Bronkhorst niet alleen ingegeven door regelgeving, maar ook door het aantal cyberincidenten. “Het gesprek met de overheid verschuift van algemene beveiligingsprincipes naar heel concrete eisen rond snelheid, zichtbaarheid en actie. Kun je in real time zien wat er speelt? Kun je snel en gecontroleerd patchen? Kun je kwetsbaarheden niet alleen constateren, maar ook direct aanpakken? En gebeurt dat op een schaal die past bij grote en vaak heterogene overheidsomgevingen?”

Volgens hem is dat precies waar Tanium zich positioneert. “Dan gaat het onder andere om die snelle visibility, de accuratesse van de visibility,” zegt hij. “Organisaties hebben infrastructuur opgebouwd, cloud geïntroduceerd en tooling verzameld, maar moeten nu de stap maken naar integraal en sneller gestuurd beheer.”

Daarin speelt ook AI al een rol, zij het nog niet in de vorm waarin het publiek het vaak ziet. Voor Bronkhorst: ”De toegevoegde waarde zit nu vooral in het voorbereiden van de omgeving op een toekomst waarin AI-gebaseerde processen sneller, autonomer en procesoverstijgend gaan werken.”

Soevereiniteit

Die discussie raakt aan het thema soevereiniteit. Bronkhorst: “De soevereiniteitsdiscussie kan niet los worden gezien van de vraag of organisaties hun huidige omgeving überhaupt goed in beeld hebben. Dat is een essentiële voorwaarde. Klassiek risk management blijft belangrijk, ook in de discussie over soevereiniteit.”

Van Veenendaal voegt daaraan toe: “Het gaat om denken in lagen. Niet elk systeem is even kritisch, niet elk platform raakt direct aan het primaire proces, en niet elke afhankelijkheid vraagt om dezelfde mate van soevereiniteit. Bij ministeries en andere publieke organisaties staat vaak de afweging centraal: wat moet absoluut beschermd worden, wat is acceptabel en waar is volledige autonomie niet realistisch of niet betaalbaar? Het nastreven van 100 procent open source of volledig 100 procent soeverein of 100 procent Nederlands is onrealistisch.”

Praktische architectuurkeuze

Daarin opereert Tanium, als leverancier van een cruciale bouwsteen: het in controle brengen van endpoints, exposure, configuraties en de datadragers waarop processen en applicaties rusten. Van Veenendaal: “Het product kan in afgesloten of volledig on-premises omgevingen draaien, zelfs in netwerken zonder internetverbinding.” Bronkhorst: “Ook het endpoint is een drager van data, beleid en applicaties. Endpointcontrole is dus onderdeel van de soevereiniteitsdiscussie. Een sterk punt van Tanium is het onder controle krijgen van endpoints en exposure.”

AI wordt hierbij steeds belangrijker. Bronkhorst: “We hebben onder meer een alliantie met ServiceNow, waar agentic AI een logische stap is in het verbeteren van IT-processen. Zulke toepassingen krijgen echter pas waarde wanneer de onderliggende omgeving schoon, consistent en betrouwbaar genoeg is. Wat wij doen in zo’n partnership is het goed inrichten van de randvoorwaarden voor agentic AI.”

Van Veenendaal: “Bestuurlijk is AI al sterk aanwezig: organisaties praten over wat ze ermee moeten, kunnen en willen. Maar ‘in de machinekamer’ is het nog minder ver. Klanten zijn duidelijk terughoudend, vooral zodra AI rechtstreeks ingrijpt in processen waar men nu zelf nog volledige controle over heeft.”

Volgens hem is die terughoudendheid niet irrationeel. Zeker in overheidsomgevingen waar patching, updates en endpointbeheer direct gevolgen kunnen hebben voor beschikbaarheid en continuïteit, is de stap naar autonoom of semi-autonoom handelen groot. “Men heeft toch nog een beetje koudwatervrees om het over te laten aan een systeem,” zegt hij. “Het idee dat een AI-gestuurd proces zelfstandig machines gaat updaten of wijzigingen doorvoert, voelt voor veel organisaties nog te ver weg.”

Toch ziet hij ook hoe die drempel in de praktijk kan afnemen: via proeftuinen, pilots en gecontroleerde implementaties. Bronkhorst voegt daaraan toe dat de adoptie van AI niet alleen een technisch vraagstuk is, maar ook een organisatorisch. “Vaak is nog niet helder waar het eigenaarschap moet liggen. Valt dit onder IT, onder security, of onder een bredere transformatielaag?”

Samenwerking

Van Veenendaal: “We zien bij de overheid een relatief grote bereidheid om kennis en ervaring hierover met elkaar te delen. Roadshows, communityvorming, overlegstructuren en informele uitwisseling zijn hier beter ontwikkeld dan in veel delen van de private sector.“ Bronkhorst: “In de commerciële sector daarentegen zie je vaak meer snelheid, meer bereidheid om risico te nemen en minder noodzaak om alles eerst volledig uit te diepen. Dat maakt private organisaties soms slagvaardiger, maar niet per se grondiger. In sectoren als overheid, banken en verzekeraars worden hogere eisen gesteld en worden fundamentele oplossingen vaker afgedwongen. Ik denk dat dergelijke highly regulated industries vaak de kar trekken om dieper te gaan, om die complexiteit aan te pakken.”