Tien jaar geleden begonnen we met een klein team en een duidelijke missie: Nederlandse organisaties weerbaar maken tegen echte aanvallen. Geen compliance theater, maar aantoonbare security. Inmiddels zijn we met zo’n twintig mensen, doen we pentesten, red teaming trajecten, trainingen en monitoring & response, en ondersteunen we klanten met onze CISO diensten. In die tien jaar is er veel veranderd. Maar zelden was die verandering zo fundamenteel als nu.
AI is geen hype meer. Het is een structurele verschuiving. En eerlijk is eerlijk: ons security model loopt daar nog hijgend achteraan.
Wat vroeger tijd, kennis en doorzettingsvermogen vereiste, is nu volledig te automatiseren. Phishingmails zijn overtuigender, foutloos geschreven en perfect afgestemd op de doelgroep. Malware wordt sneller aangepast en getest. Social engineering wordt persoonlijker en enger.
De klassieke gedachte dat een aanval “opvalt” omdat hij slecht geschreven is of technisch rammelt, kunnen we helaas loslaten. AI heeft de ondergrens van kwaliteit drastisch verhoogd.
En dat betekent: meer aanvallen, van hogere kwaliteit, tegen een lagere kostprijs.
Organisaties experimenteren volop met AI-tools. Medewerkers gebruiken ze voor productiviteit, marketing, ontwikkeling, noem maar op. Vaak zonder duidelijke kaders.
Dat brengt nieuwe risico’s met zich mee:
Dit zijn geen hypothetische risico’s meer. We zien ze dagelijks in de praktijk.
Firewalls, EDR, awareness-trainingen etc - ze blijven belangrijk, maar zijn niet ontworpen voor een wereld waarin AI een actieve rol speelt aan beide kanten van het speelveld.
Wat mist er dan?
Wij merken dat organisaties die continu testen (regelmatig of zelfs continu pentesten, red teaming, purple teaming) en actief monitoren, veel beter bestand zijn tegen deze nieuwe realiteit.
Misschien is dit een impopulaire mening, maar: we zijn te defensief geworden.
Te veel focus op compliance, te weinig op echte weerbaarheid. Te veel vertrouwen in tooling, te weinig in het actief zoeken naar zwakke plekken.
AI dwingt ons om weer offensiever te denken:
Dit zijn geen vragen voor een audit. Dit zijn vragen voor een aanvals simulatie. En het Nederlands MKB moet op security gebied een grote stap nemen: van reactief, naar proactief.
De CISO van vandaag moet niet alleen beleid maken, maar ook richting geven aan AI-gebruik binnen de organisatie.
Niet door alles te verbieden (je personeel vindt die weg eromheen echt wel), maar door:
De organisaties die dit goed doen, zien AI niet als risico, maar als versneller. En ja, ook voor hun security.
We staan op een kantelpunt. AI verandert de spelregels sneller dan we gewend zijn. De vraag is niet óf dit impact heeft op je security posture, maar hoe groot die impact al is zonder dat je het doorhebt.
We zijn benieuwd naar jouw visie: Als je vandaag opnieuw zou beginnen met het ontwerpen van je security strategie, in een wereld waar AI de norm is…. wat zou je anders doen?