AI-richtlijnen ontbreken in veel Nederlandse organisaties

Dit blijkt uit onderzoek van KnowBe4 onder cybersecuritybeslissers en medewerkers in Nederland. 84 procent van de cybersecuritybeslissers geeft aan dat AI-tools binnen hun organisatie worden gebruikt. Bovendien zet 58 procent autonome AI-agents in die zelfstandig acties kunnen uitvoeren. Toch heeft 50 procent van de organisaties geen duidelijke governance voor het gebruik van AI. Dit gebrek aan controle vergroot de kans op beveiligings-, privacy- en complianceproblemen, doordat gevoelige bedrijfsgegevens zonder toezicht worden verwerkt.

Shadow AI

Een op de vier medewerkers (27 procent) geeft aan eigen AI-tools te gebruiken wanneer goedgekeurde alternatieven ontbreken of te beperkend zijn. Opvallend is dat 81 procent van de medewerkers zich bewust is van de risico’s: informatie die in AI-tools wordt ingevoerd, kan worden opgeslagen of gebruikt op manieren die gevoelige bedrijfsinformatie blootstellen.

De helft van de cybersecuritybeslissers (50 procent) ziet dan ook dat het gebruik van niet-goedgekeurde software en AI-applicaties een negatieve impact heeft op de beveiligingspositie van hun organisatie. Daarnaast noemt 48 procent het veilig beheren van AI-tools en AI-agents de grootste uitdaging bij het beperken van mensgerelateerde cyberrisico’s.

AI-gedreven aanvallen

Naast Shadow AI wijst het onderzoek op de opkomst van AI-gedreven aanvallen. Zo vindt 90 procent van de Nederlandse medewerkers dat deepfake-video’s en -audiobestanden inmiddels zo realistisch zijn dat het lastig is om te bepalen welke informatie nog te vertrouwen is. Daarnaast geeft 67 procent aan mogelijk slachtoffer te kunnen worden van deepfake-oplichting op de werkvloer.

Toch verwacht slechts 16 procent van de cybersecuritybeslissers dat deze dreigingen het cyberrisico voor hun organisatie het sterkst zullen vergroten in de komende twaalf maanden. Wel denkt de helft van de cybersecuritybeslissers (50 procent) zeer goed voorbereid te zijn op onverwachte of nieuwe AI-gerelateerde dreigingen in het komende jaar.

Slechts 6 procent van de organisaties heeft echter het hoogste volwassenheidsniveau bereikt: een geïntegreerde aanpak die menselijke en AI-gerelateerde cyberrisico’s gelijktijdig beheert.

Nieuwe en complexe fase

“Cybersecurity bevindt zich in een nieuwe en complexe fase. Organisaties moeten tegenwoordig zowel menselijke medewerkers als AI-agents beschermen, terwijl de hybride werkomgeving sneller verandert dan veel securityteams kunnen bijhouden,” zegt Martin Kraemer, CISO Advisor bij KnowBe4. “Aanvallers opereren op machinesnelheid en maken gebruik van technieken zoals deepfakes om medewerkers te misleiden en prompt injections om AI-agents te manipuleren. Dat vier op de tien Nederlandse organisaties hun AI-gebruik onvoldoende beheert, vormt een welkome uitnodiging voor cybercriminelen.”

Het onderzoek is uitgevoerd door Vanson Bourne onder 4.000 respondenten wereldwijd, waaronder 50 cybersecuritybeslissers en 200 medewerkers uit Nederland. Alle deelnemers werken bij organisaties met minimaal 250 medewerkers. De belangrijkste Nederlandse onderzoeksdata zijn hier beschikbaar. Het wereldwijde rapport is hier te downloaden.