Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CISA heeft van Agentic AI Governance een IAM-probleem gemaakt
CISA heeft van Agentic AI Governance een IAM-probleem gemaakt

CISA heeft van Agentic AI Governance een IAM-probleem gemaakt

by Danielle Barbour updated mei 28, 2026 Wettelijke naleving
Reading Time: 8 minutes

Op 1 mei 2026 publiceerden CISA en de Five Eyes-cybersecurityagentschappen “Voorzichtige Adoptie van Agentic AI-diensten” — stop met agentic AI te behandelen als een slimme softwarefunctie en begin het te behandelen als een bevoorrechte identiteit. De richtlijn benoemt vijf risicocategorieën — privileges, ontwerp en configuratie, gedrag, structuur en verantwoordelijkheid — en de aanbevolen aanpak leest minder als een AI-veiligheidsdocument en meer als een IAM-versterkingsgids.

Zoals gerapporteerd door CSO Online positioneert het advies agentic AI als een systeem dat gemanipuleerd kan worden via prompt injection en verkeerd gebruik van tools, waardoor governance vereist is “vergelijkbaar met hoog-risico service-accounts”. Elke agent krijgt een naam. Elke actie wordt gelogd. Elke autorisatiebeslissing wordt geëvalueerd aan de hand van een beleid dat het voornemen van de agent niet vertrouwt.

Voor de CISO die dit operationaliseert, is de praktische vraag waar de handhaving plaatsvindt. Als het antwoord is “in elke applicatie die een AI-agent gebruikt”, is dat het verkeerde antwoord. Gedistribueerde handhaving schaalt tot het instort onder audit. De CISA-richtlijn gaat impliciet uit van een gecentraliseerd knelpunt — een plek waar elk agentic AI-verzoek een enkele beleid-engine passeert voordat het de data bereikt.

5 Belangrijkste Inzichten

1. Toezichthouders classificeren AI-agents nu als identiteiten.

Het door CISA geleide gezamenlijke advies behandelt agentic AI als een nieuwe klasse van identiteit die gemanipuleerd kan worden via prompt injection en verkeerd gebruik van tools — governance moet lijken op privileged access management, niet op applicatiebeveiliging. Deze herclassificatie verandert de eigenaarschap van het probleem: AI-veiligheid hoort bij data science; identiteit hoort bij de CISO. De beveiligingsorganisatie erft nu de verplichting — en de aansprakelijkheid. AI-beleidsdocumenten schrijven is niet langer het eindproduct. AI-auditbewijs leveren wel.

2. Least privilege is de nieuwe standaard.

Agentschappen willen nauw afgebakende rollen, continue monitoring en audittrails voor elke agent-actie. Impliciet vertrouwen in AI-systemen is niet langer verdedigbaar. Een agent die namens een juridisch medewerker opereert, mag geen dossiers ophalen die voorbehouden zijn aan de general counsel, ongeacht hoe overtuigend een prompt dat vraagt. Het beleid dat het verzoek van de agent evalueert — niet de uitgesproken intentie van de agent — is het enige vertrouwensanker dat prompt injection overleeft.

3. Het control gap is structureel.

Slechts 43% van de organisaties beschikt over een gecentraliseerde AI Data Gateway. De overige 57% zijn gefragmenteerd: 27% heeft gedistribueerde controles met beleid, 19% heeft gedeeltelijke of ad-hoc controles, 7% heeft helemaal geen specifieke AI-governancecontroles. De vereiste uit het advies — least privilege, continue monitoring, gelogde autorisatie, formele risicobeoordeling — zijn gateway-functies. Gedistribueerde controles werken voor een enkele pilot. Ze storten in onder audit wanneer een organisatie meerdere agentic workflows draait over diverse business units.

4. Audittrails zijn nu bewijs, geen telemetrie.

Wanneer een AI-agent wordt gecompromitteerd, is de vraag niet “wat deed het?” — maar “kun je bewijzen wat het heeft benaderd, namens wie, en onder welk beleid?” 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Dat gat is het verschil tussen een verdedigbare compliancepositie en een ontdekbare aansprakelijkheid. Toezichthouders stellen auditvragen in de tegenwoordige tijd: ze willen demonstratie, geen reconstructie.

5. De oplossing is architecturaal, niet procedureel.

Beleidsdocumenten zullen een auditor niet tevredenstellen of een gecompromitteerde agent niet indammen. Zero-trust data access — afgedwongen bij elk verzoek, onafhankelijk van het model — is het enige duurzame antwoord. Wanneer de agent wordt gecompromitteerd, is het enige dat de impact beperkt het beleid dat het verzoek weigert dat niet gedaan had mogen worden. Al het andere is herstel. Governance moet in het datapad zitten, niet in een presentatie.

Welke Data Compliance Standards zijn relevant?

Lees nu

Wat “Agent als Identiteit” Echt Vereist

De kernadviezen van het advies splitsen zich op in vier operationele vereisten, elk ervan uitgaande dat de AI-agent een standaard vijandige actor is die elk dataverzoek moet verdienen:

Nauw afgebakende rollen. AI-agents erven gebruikersrechten en kunnen deze niet overschrijden. Het autorisatieniveau van de agent is dat van de gebruiker, niet de ambitie van het model.

Continue monitoring. Elke agent-actie — niet alleen verdachte — genereert een gelogde gebeurtenis. Detectie is gedragsafwijking over tijd, niet eenmalige afwijkingen.

Gelogde autorisatiebeslissingen. Wanneer de agent data opvraagt, evalueert en registreert de beleid-engine de beslissing. Goedgekeurd of geweigerd, de beslissing is bewijs.

Formele risicobeoordeling vóór verbinding. Voordat een agent verbinding maakt met productiedata, eisen governance-teams een gedocumenteerde risicobeoordeling die aansluit bij privileged access management-workflows.

Het technische patroon is zero trust toegepast op een nieuw principal-type. Wat nieuw is, is de principal — een agent die via zijn inputkanaal sociaal gemanipuleerd kan worden en sneller opereert dan een menselijke beoordelaar kan ingrijpen. De Agents of Chaos-studie van februari 2026 — 38 auteurs van Northeastern, MIT, Harvard, Stanford, Carnegie Mellon en andere instellingen — documenteerde ongeautoriseerde naleving met niet-eigenaren, openbaarmaking van gevoelige informatie, destructieve systeemacties en identity spoofing in live omgevingen. De Five Eyes-richtlijn vertaalt deze bevindingen effectief naar een basisset van controles.

Het Gecentraliseerde Gateway-gat

De meeste organisaties kunnen niet voldoen aan de verwachtingen uit het advies omdat ze geen enkel knelpunt hebben waar AI-toegang wordt afgedwongen. Slechts 43% van de organisaties heeft vandaag een gecentraliseerde AI Data Gateway. De overige 57% zijn gefragmenteerd op manieren die van belang zijn bij audit: gedistribueerde controles werken voor een enkele copilot-pilot; ze storten in als een organisatie vijf of tien agentic workflows draait over diverse business units, elk met een eigen beleidsinterpretatie en eigen auditoppervlak.

De Kiteworks 2026 Forecast beschrijft dit als een tekort in het control-plane. AI faalt niet omdat het model zich misdraagt — AI faalt omdat de omliggende infrastructuur — authenticatie, beleidsafdwinging, audit logging, SIEM-integratie — nooit ontworpen was om een niet-menselijke identiteit te beheren die duizenden verzoeken per seconde doet. Het CISA-advies verhoogt de lat precies op het moment dat de meeste organisaties beseffen dat ze de architectuur niet hebben om deze te halen.

Waarom Prompt Injection het Dreigingsmodel Verandert

Traditionele IAM gaat ervan uit dat de principal consistent is. Een service-account laat zich niet overhalen iets te doen waarvoor het niet geautoriseerd is. Een AI-agent wel. OWASP plaatst prompt injection bovenaan zijn LLM Top 10, en academisch onderzoek documenteert succespercentages tussen 24% en 95% bij grote modelfamilies. Een vergiftigd document, een kwaadaardige link in e-mail, een gemanipuleerde webpagina in een RAG-corpus — elk hiervan kan een agent buiten zijn bedoelde scope laten opereren terwijl het volledig compliant lijkt op het netwerk.

Je kunt niet vertrouwen op de uitgesproken intentie van de agent. Je kunt alleen vertrouwen op het beleid dat het verzoek van de agent evalueert — en dat beleid moet onafhankelijk werken van wat de agent denkt te doen. Daarom is de nadruk van het advies op gelogde autorisatiebeslissingen zo belangrijk. Logs zijn niet alleen forensisch bewijs na een datalek. Ze zijn het lopende bewijs dat de beleid-engine — niet de agent — de beslisser was. Gedragsmonitoring in plaats van op signatures gebaseerde detectie volgt uit dezelfde logica: een gecompromitteerde agent lijkt niet kapot, maar productief. Het patroon over de verzoeken heen is het signaal.

De Audittrail Is het Bewijs

Het advies verschuift audittrails van de operationele naar de bewijscategorie. Onder GDPR Artikel 30 moeten organisaties verwerkingsactiviteiten documenteren. Onder Artikel 32 moeten ze passende technische en organisatorische maatregelen aantonen. Onder de EU AI-wet vereisen hoog-risico AI-systemen gedetailleerde documentatie en conformiteitsbeoordelingen. Elke verplichting gaat uit van een audittrail die vastlegt wat AI-systemen met persoonsgegevens deden, wanneer, en onder wiens autorisatie.

33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Een DSPM-tool die het risico drie maanden geleden signaleerde en werd genegeerd, wordt het bewijsstuk van de aanklager. Een realtime auditlog die het geblokkeerde verzoek van de agent vastlegt, wordt het verdedigingsbewijs. De verschuiving van telemetrie naar bewijs is subtiel maar belangrijk: telemetrie is data die je verzamelt voor het geval je het nodig hebt; bewijs is data die je verzamelt omdat je het nodig zult hebben. Toezichthouders willen demonstratie op verzoek uit een log die manipulatie aantoont — geen reconstructie achteraf.

De Kiteworks-aanpak: Zero-Trust Data Access voor AI-agents

Kiteworks behandelt elk AI-verzoek — of het nu van een interactieve assistent via de Kiteworks Secure MCP Server komt of een RAG-pijplijn via de AI Data Gateway — als een niet-vertrouwd verzoek dat moet worden geauthenticeerd, geautoriseerd volgens beleid en gelogd voordat data wordt verstrekt. Geen impliciete toegang. Geen agent-identiteit die de beleid-engine omzeilt.

OAuth 2.0-authenticatie stelt de agent-sessie vast, met tokens opgeslagen in de OS-sleutelhanger en nooit blootgesteld aan het model. De Kiteworks Data Policy Engine evalueert elke operatie realtime aan de hand van rolgebaseerde en op attributen gebaseerde toegangscontrole, zodat de agent gebruikersrechten erft en deze niet kan overschrijden. Padvalidatie voorkomt toegang tot systeembestanden. Rate limiting blokkeert bulkextractie. Elke operatie wordt direct doorgestuurd naar de geconsolideerde auditlog en naar SIEM.

Het Kiteworks Private Data Network breidt zero-trustprincipes uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s — één beleid-engine, één geconsolideerde auditlog, één architectuur die AI-agents als identiteiten beheert zonder dat het AI-team die governance vanaf nul hoeft op te bouwen.

Wat Organisaties Moeten Doen Voor het Volgende Advies Verschijnt

Ten eerste, inventariseer de agents. Elke AI-agent die is verbonden met productiedata is een principal — benoemd, eigendom, afgebakend en elk kwartaal beoordeeld. De meeste organisaties kunnen niet beantwoorden “hoeveel agentic AI-workflows draaien er nu in productie?” Die vraag heeft nu een regulatoir antwoord.

Ten tweede, modelleer agents als identiteiten in IAM. Ken nauw afgebakende rollen toe. Koppel agentrechten aan de gebruiker namens wie de agent handelt. Slechts 43% van de organisaties kan deze regel vandaag afdwingen via een gecentraliseerde gateway. De rest vertrouwt op applicatiebeleid dat niet systeemoverstijgend werkt.

Ten derde, instrumenteer elk verzoek. Elke agent-actie — benaderde data, beleidsbeslissing, tijdstempel, gebruikerscontext — moet terechtkomen in een doorzoekbare audittrail die integreert met SIEM. Realtime toegangsregistratie is het verschil tussen een operationeel telemetrieprobleem en een bewijskwestie.

Ten vierde, vereis formele risicobeoordeling vóór verbinding. Behandel elke agent die verbinding maakt met productiedata als een nieuwe bevoorrechte service-account: gedocumenteerde risicobeoordeling, beveiligingsgoedkeuring, gedefinieerde rollback. 84% van de organisaties buiten EU AI-wetgeving heeft geen AI-red-teaming gedaan — de groep die het meest waarschijnlijk de risicobeoordeling vooraf overslaat.

Ten vijfde, bereid je voor op prompt injection als standaarddreiging. Ga ervan uit dat de agent sociaal gemanipuleerd zal worden. Ontwerp de beleid-engine om autorisatie af te dwingen, onafhankelijk van wat de agent beweert te willen doen. Detectie komt uit gedragsafwijking over meerdere verzoeken, niet uit eenmalige afwijkingen die op zichzelf schoon lijken.

Meer weten over agentic AI-governance? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Auditors verwachten nu bewijs dat AI-agents worden beheerd als identiteiten — nauw afgebakende rollen, gelogde autorisatiebeslissingen, continue monitoring. 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Zonder die audittrail zijn de acties van de agent niet herleidbaar wanneer ze worden opgevraagd onder toezicht of juridische toetsing — een gat dat niet voldoet aan zowel de CISA-verwachtingen als sectorspecifieke auditstandaarden.

Prompt-level guardrails werken binnen de agent. Het advies vereist controles buiten de agent — omdat prompt injection elke in-model verdediging kan manipuleren. Slechts 43% van de organisaties heeft een gecentraliseerde AI Data Gateway volgens de Kiteworks 2026 Forecast. Een beleid-engine buiten de agent is het verschil tussen defense-in-depth en een enkel faalpunt dat prompt injection direct kan omzeilen.

Copilots erven gebruikersrechten, maar het advies vereist nog steeds gelogde autorisatiebeslissingen, mogelijkheden met beperkte scope en audittrails die gebruikersacties onderscheiden van copilot-acties. De Kiteworks 2026 Forecast benoemt dit als een tekort in het control-plane: Copilot beheert M365-inhoud; gevoelige externe data en partnergedeelde bestanden vereisen nog steeds onafhankelijke handhaving via een beheerde datagateway.

Pilots worden sneller productie dan governance kan bijhouden. 84% van de organisaties buiten EU AI-wetgeving heeft geen AI-red-teaming gedaan, en het advies vereist controles die pilots meestal overslaan. Investeren in een gecentraliseerde gateway tijdens de pilot is goedkoper dan AI-governance achteraf inbouwen nadat agents zijn verbonden met productiedata en compliancebevindingen genereren.

CMMC Level 2 AC-, AU- en IA-families vereisen afgedwongen autorisatie voor elk systeem dat CUI benadert — inclusief AI-agents. Slechts 46% van de DIB-organisaties beschouwt zichzelf als CMMC-gereed volgens het Kiteworks preparedness report. Data-layer governance met ABAC-handhaving voldoet aan alle drie de controlefamilies tegelijk, ook voor agentic AI-workflows die CUI verwerken.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch Roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks