Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De AI-beveiligingsparadox: dezelfde technologie, tegengestelde oordelen
De AI-beveiligingsparadox: dezelfde technologie, tegengestelde oordelen

De AI-beveiligingsparadox: dezelfde technologie, tegengestelde oordelen

by Patrick Spencer updated mei 29, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

In een enquête onder 16.029 cybersecurityprofessionals door ISC2 werd AI genoemd als de opkomende technologie met de grootste positieve impact op beveiliging — en tegelijkertijd als de technologie met veruit de grootste negatieve impact. Dat lijkt een tegenstrijdigheid, maar dat is het niet. Het is de meest accurate omschrijving die de securitysector dit jaar over AI heeft gegeven.

De verdedigende voordelen zijn reëel en meetbaar. Het WEF-rapport Empowering Defenders: AI for Cybersecurity laat zien dat 94% van de cyberleiders AI ziet als de bepalende kracht in cyberbeveiliging. Organisaties die AI intensief inzetten, verlagen de gemiddelde kosten van datalekken met maximaal $1,9 miljoen en verkorten de duur van datalekken met ongeveer 80 dagen.

De offensieve nadelen zijn evenzeer meetbaar. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% jaar-op-jaar in aanvallen door AI-ondersteunde tegenstanders, waarbij 82% van de detecties nu malwarevrij is — aanvallers maken gebruik van identiteitsmisbruik en legitieme tools in plaats van detecteerbare payloads. De professional die AI zowel de beste als de slechtste ontwikkeling in security noemt, draait er niet omheen. Ze lezen hetzelfde instrument van beide kanten.

5 Belangrijkste Inzichten

1. Securityprofessionals zijn het niet eens over AI — omdat beide oordelen kloppen.

In een enquête onder 16.029 cybersecurityprofessionals stond AI bovenaan als opkomende technologie met de grootste positieve én de grootste negatieve impact op beveiliging. De tegenstrijdigheid is geen verwarring — het is een eerlijke beschrijving van een tool die zowel verdedigers als aanvallers even snel maakt. Anders voordoen is hoe organisaties aan de verkeerde kant van de balans belanden.

2. De variabele is niet de technologie. Het is de governance.

AI is een krachtvermenigvuldiger in beide richtingen. Of het je beveiligingsstatus versterkt of verzwakt, hangt volledig af van of de toegang tot data wordt gereguleerd. Een AI-assistent die door beleid wordt beperkt, is een tool. Dezelfde assistent met blijvende, niet-gecontroleerde toegang tot alles is een risico. Zelfde model, tegenovergesteld oordeel — en het enige verschil is de AI-governance-laag.

3. Agentic AI is waar de angst zich concentreert.

34% van de securityprofessionals noemde agentic AI een van de grootste negatieve krachten. De reden is structureel: een agent handelt, geeft niet alleen antwoorden. 63% van de organisaties kan geen doellimieten afdwingen bij AI-agents, 60% kan een ontspoorde agent niet beëindigen, en 55% kan AI-systemen niet isoleren van het bredere netwerk volgens de Kiteworks 2026 Forecast. De angst is niet speculatief — het is een kloof van 15 tot 20 punten tussen governancecontroles en containmentcontroles.

4. Het negatieve oordeel volgt een echte control gap.

100% van de ondervraagde organisaties heeft agentic AI op hun stappenplan voor 2026, maar doellimieten, kill switches en netwerkisolatie behoren tot de grootste beveiligingsgaten in de hele Kiteworks 2026 Forecast. De Agents of Chaos-studie — 38 auteurs van onder meer MIT, Harvard, Stanford, CMU — documenteerde agents die alleen al via gesprekken in live omgevingen werden gecompromitteerd. De kloof is meetbaar, niet ingebeeld.

5. Governance is de AI-versneller, niet de rem.

Het WEF Empowering Defenders-rapport toont aan dat organisaties die AI intensief inzetten in security de gemiddelde kosten van datalekken met maximaal $1,9 miljoen verlagen en de duur van datalekken met ongeveer 80 dagen verkorten. Dat voordeel is alleen beschikbaar voor organisaties die eerst de toegang tot data reguleren en daarna snel handelen. AI blokkeren vernietigt de verdedigende voordelen en duwt het gebruik naar schaduwkanalen. Door governance toe te passen, hoeven snelheid en veiligheid niet langer te concurreren.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

De Variabele Die Bepaalt Welk Oordeel Voor Jou Geldt

De richting van AI in jouw organisatie wordt door één ding bepaald: of de toegang tot data wordt gereguleerd. Een AI-assistent die alleen data kan bereiken waarvoor een gebruiker geautoriseerd is — onder beleid dat bij elk verzoek wordt afgedwongen — is een tool. Dezelfde assistent met blijvende, niet-gecontroleerde toegang tot alles is een risico. Zelfde model, tegenovergesteld oordeel, en het enige verschil is de governance-laag.

Bedenk wat een AI-systeem binnen een bedrijf doet. Het leest data. Het haalt data op. Het verplaatst data. De waarde komt voort uit toegang — tot documenten, dossiers, intelligence, de gereguleerde inhoud die output waardevol maakt. Maar ongecontroleerde toegang tot diezelfde inhoud is precies de blootstelling die gegevensbeschermingsprogramma’s willen voorkomen. Organisaties die AI-adoptie als een afweging tussen snelheid en veiligheid zien, hebben het probleem al verkeerd gediagnosticeerd. Die afweging bestaat alleen als toegang niet wordt gereguleerd. Regel het, en snelheid en veiligheid hoeven niet langer te concurreren.

Agentic AI: Waar het Negatieve Oordeel Zich Concentreert

De ISC2-angst is niet gelijk verdeeld. Agentic AI kreeg van 34% van de respondenten een top-negatieve beoordeling — ruim vóór quantum computing. De reden is structureel: een agent analyseert niet alleen, maar handelt. En een actor met toegang die je niet kunt beperken, is een fundamenteel ander risico dan een tool die alleen vragen beantwoordt.

De control gap achter die angst is gedocumenteerd. 63% van de organisaties kan geen doellimieten afdwingen bij AI-agents. 60% kan een ontspoorde agent niet snel beëindigen. 55% kan AI-systemen niet isoleren van het bredere netwerk. 100% heeft agentic AI op hun stappenplan voor 2026 — terwijl doellimieten, kill switches en netwerkisolatie tot de grootste beveiligingsgaten behoren, en governancecontroles 15 tot 20 punten voorlopen.

De Agents of Chaos-studie onderstreept deze zorg. Uitgevoerd begin 2026 door onderzoekers van MIT, Harvard, Stanford en CMU, documenteerde het agents in live omgevingen die alleen door gesprekken werden gecompromitteerd — zonder complexe exploitatie. Prompt injection, social engineering, identity spoofing. De agents werden niet gehackt, ze werden overgehaald tot verkeerd gedrag. Model-laag guardrails zijn niet de oplossing; handhaving op de datalaag wel.

Waarom “AI blokkeren” en “AI omarmen” beide verkeerde antwoorden zijn

AI blokkeren betekent de verdedigende voordelen die het WEF kwantificeert opgeven en het gebruik naar schaduwkanalen duwen zonder audittrail of toegangscontrole. Shadow AI wordt consequent genoemd als een van de belangrijkste oorzaken van nalatige insider-incidenten — verbod elimineert AI-risico niet, het verwijdert het zicht erop.

AI omarmen zonder governance leidt direct tot de blootstelling die CrowdStrike en Kiteworks beschrijven. Een AI-systeem met brede data-toegang wordt een single point of failure — één prompt injection, één overgeautoriseerde agent, één gecompromitteerde workflow verwijderd van het exfiltreren van data die nooit toegankelijk had mogen zijn.

De oplossing is gereguleerde inzet. Authenticeer elk AI-verzoek. Autoriseer het op basis van beleid. Beperk het tot het doel. Log alles. Zodra deze controles werken, verdwijnt de spanning tussen snelheid en veiligheid en wordt AI de positieve kracht die professionals verwachten.

De Kiteworks-aanpak: Governance als AI-enabler

De manier om de AI-securityparadox op te lossen is door data-toegang te reguleren op de laag waar AI data bereikt — de contentlaag — zodat dezelfde technologie die de CISO zorgen baart, hen juist helpt.

De Kiteworks Secure MCP Server laat AI-assistenten werken met bedrijfsdata via natuurlijke taal, maar elk verzoek wordt geauthenticeerd, geautoriseerd op basis van op attributen gebaseerde toegangscontrole, en gelogd — gereguleerd door dezelfde regels die gelden voor menselijke gebruikers. De AI Data Gateway breidt dit uit naar RAG-pijplijnen, zodat AI de benodigde data krijgt zonder toegang te erven die het niet zou mogen hebben. Inloggegevens worden nooit aan het model zelf blootgesteld. FIPS 140-3 gevalideerde encryptie beschermt elk datapad.

De architectuur gaat uit van een compromis. Als een AI-agent wordt gecompromitteerd via prompt injection, beperkt beleidsafhandeling de impact — de agent kan geen data exfiltreren waarvoor het nooit geautoriseerd was. Rate limiting voorkomt bulkextractie. Manipulatiebestendige audit logs zorgen ervoor dat elke AI-interactie met gereguleerde data reconstrueerbaar is, waardoor AI-adoptie verandert van een compliance-risico in compliance-bewijs.

Het Kiteworks Private Data Network breidt deze architectuur uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één beleidssysteem en één geconsolideerde auditlog. Geen rem op AI — maar een control plane die snel handelen mogelijk maakt zonder het risico te vergroten.

Wat Organisaties Moeten Doen aan de AI Security Paradox

Ten eerste, stop met het debat goed versus slecht en begin met het auditen van toegang. 63% van de organisaties kan geen doellimieten afdwingen bij AI-agents volgens de Kiteworks 2026 Forecast. Richt energie op de toegangscontrole — daar ligt het antwoord.

Ten tweede, sluit de containment gap voordat je agents op schaal inzet. Met 100% van de organisaties die agentic AI plannen terwijl containmentcontroles 15 tot 20 punten achterlopen op governancecontroles, is de prioriteit doellimieten, kill switches en netwerkisolatie — gebouwd vóór de inzet op schaal, niet pas na een incident.

Ten derde, breng shadow AI aan het licht in plaats van het te verbieden. Verbod vernietigt zichtbaarheid. Bied gereguleerde AI-paden zodat medewerkers geen gevoelige data via onbeheerde consumententools sturen, en voorzie deze paden van logging en toegangscontrole.

Ten vierde, benut het verdedigende voordeel bewust. WEF-data toont aan dat AI in security de kosten van datalekken met maximaal $1,9 miljoen verlaagt en de duur van datalekken met circa 80 dagen verkort. Het positieve oordeel is beschikbaar — maar alleen voor organisaties die AI defensief inzetten onder governance, niet voor wie bevriest door het negatieve oordeel.

Ten vijfde, maak AI-toegang auditklaar. Toezichthouders geven aan dat AI-data-toegang dezelfde governance vereist als menselijke toegang. Log elke AI-interactie met gereguleerde data in een manipulatiebestendige keten, zodat beleidsafhandeling het compliance-document wordt dat een auditor accepteert.

Wil je meer weten over het beschermen van gevoelige data in een steeds meer door AI geoptimaliseerde organisatie? Plan vandaag nog een persoonlijke demo.

Veelgestelde Vragen

Herformuleer het: AI is beide, en governance bepaalt welk oordeel voor jou geldt. 63% van de organisaties kan geen doellimieten afdwingen bij AI-agents volgens de Kiteworks 2026 Forecast. De beslissing is niet óf je AI inzet — maar of je de toegang tot data reguleert vóórdat je dat doet. AI-governance is de vraag; adoptie is het antwoord dat het mogelijk maakt.

Omdat agents handelen op data in plaats van het alleen te analyseren, en de meeste organisaties ze niet kunnen beperken. 60% kan een ontspoorde agent niet beëindigen en 100% heeft agentic AI gepland — terwijl containmentcontroles 15 tot 20 punten achterlopen op governancecontroles volgens de Kiteworks 2026 Forecast. De Agents of Chaos-studie toonde aan dat agents alleen door gesprekken gecompromitteerd kunnen worden, zonder complexe exploitatie.

Ja — als AI-toegang wordt gereguleerd op de contentlaag. Het risico zit in ongecontroleerde agenttoegang. Authenticeer, autoriseer op basis van beleid, beperk tot het doel en log elk AI-verzoek via een gereguleerd gateway zoals de AI Data Gateway, en de spanning tussen snelheid en veiligheid verdwijnt. Het WEF Empowering Defenders-rapport documenteert het voordeel: tot $1,9 miljoen minder kosten bij datalekken voor organisaties die AI intensief en gereguleerd inzetten.

Nee — blokkeren vernietigt zichtbaarheid en geeft verdedigende waarde op. Medewerkers gebruiken AI toch via onbeheerde tools, waardoor je audittrail en toegangscontrole verdwijnen. Shadow AI is de belangrijkste oorzaak van nalatige insider-incidenten volgens het DTEX 2026 Insider Threat Report. Gereguleerde AI-paden met logging en beleidsafhandeling — niet verbod — zijn het antwoord.

Gereguleerde toegang levert compliance-bewijs als bijproduct. 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Door elke AI-interactie met gereguleerde data te loggen in een manipulatiebestendige keten — real-time geleverd aan SIEM — wordt beleidsafhandeling het auditklare document dat toezichthouders steeds vaker verwachten voor AI-toegang tot PHI, CUI en persoonsgegevens.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks