Cybersecurity & AI in 2026: wat organisaties écht moeten regelen

In februari 2024 keek een medewerker van de multinational Arup in een videocall naar zijn CFO en enkele vertrouwde collega's, om vervolgens $25,6 miljoen over te maken naar een frauduleuze rekening; niemand in die meeting was een mens van vlees en bloed. Nu we in 2026 AI niet langer zien als een experimentele chatbot, maar autonome AI Agents in de kern van onze operationele processen verweven, is de realiteit hard: het aanvalsoppervlak van de gemiddelde enterprise is fundamenteel en exponentieel vergroot, en traditionele cybersecurity-paradigmas voldoen niet meer.

De staat van AI-security in 2026

De tijd van onschuldig experimenteren met generatieve modellen is definitief voorbij. AI is operationeel geworden, en aanvallers weten dat. AI-security onderscheidt zich fundamenteel van traditionele cybersecurity omdat grote taalmodellen (LLMs) non-deterministisch zijn. In traditionele software scheiden we strikt de executie-code van de gebruikersinput. Bij een LLM is de input van de gebruiker, oftewel de prompt, direct de instructieset voor de engine. Dat breekt elk bestaand beveiligingsmodel dat gericht is op deterministische systemen.

Voor een CISO of CTO betekent dit dat het beveiligen van bedrijfsdata een geheel nieuwe dimensie heeft gekregen. Waar we voorheen spraken over firewalls, endpoints en identity and access management (IAM), moeten we nu nadenken over de context-vensters van modellen, API-gateways voor AI en de besturingsrechten van geautomatiseerde workflows. De urgentie blijkt pijnlijk duidelijk uit recente data uit het veld.

"Volgens IBM's Cost of a Data Breach 2025 had 13% van de organisaties te maken met een AI-model of applicatie datalek. Schokkender is dat 97% van die getroffen organisaties elementaire AI access controls miste."

Dit gebrek aan controle leidt wereldwijd tot schadeposten van gemiddeld $4,44 miljoen per incident (en meer dan dubbel zoveel in de VS). Ondertussen groeit de dreiging vanuit externe factoren exponentieel mee. Volgens Pindrop is deepfake fraude in 2025 met ruim 1300% toegenomen, met name in de financiële dienstverlening. Tegelijkertijd meldt Cofense dat er in 2026 elke 19 seconden een door AI gegenereerde, sterk gepersonaliseerde phishing-aanval plaatsvindt die 55% effectiever is dan campagnes van elite menselijke red teams. Als CISO sta je tegenover een geautomatiseerde, onvermoeibare tegenstander, terwijl je eigen organisatie vol blinde vlekken zit.

Wat er binnen je organisatie misgaat

De eerste barsten in de verdedigingslinie ontstaan veelal van binnenuit. Terwijl IT-afdelingen krampachtig proberen AI-adoptie in goede banen te leiden, heeft de business de systemen allang omarmd. Dit fenomeen, Shadow AI, is verreweg het grootste onzichtbare risico in enterprise-architecturen. Uit onderzoek van Reco.ai in 2025 blijkt dat een gemiddelde organisatie zo'n 490 SaaS-applicaties gebruikt, waarvan 53% zonder enige autorisatie of vetting door IT. Executives, developers en marketeers dumpen dagelijks financiële projecties, broncode en klantinformatie in publieke LLMs zonder na te denken over de consequenties.

Het meest illustere en concrete voorbeeld hiervan is nog steeds de reeks incidenten bij Samsung in april 2023. Binnen slechts één maand lekte het bedrijf driemaal cruciale data via ChatGPT. Medewerkers uploadden interne broncode voor foutopsporing, deelden testsequenties voor nieuwe halfgeleiders om deze te optimaliseren, en voerden complete meeting notes vol bedrijfsgeheimen in om notulen te laten genereren. Het directe gevolg: Samsung moest een verbanning van generatieve AI instellen voor al het personeel.

Naast directe datalekken via prompts speelt het probleem van memorization. Wanneer organisaties propriëtaire data gebruiken voor het fine-tunen van open-weights modellen, ontstaat het risico dat het model die exacte trainingsdata – inclusief PII (Personally Identifiable Information) en hardcoded wachtwoorden – verbatim begint te reciteren wanneer het onder druk wordt gezet door specifieke queries. Dit is geen hypothetisch scenario, dwingende prompts kunnen modellen 'forceren' hun interne gewichten te vertalen naar exacte trainingsfragmenten.

Tot slot kampen we intern met Excessive Agency. We bouwen steeds vaker een AI Agent die we koppelen aan onze cloud-infrastructuur. Ontwikkelaars, in hun enthousiasme om een autonome Agentic Engineer of virtuele analist te bouwen, geven zo'n AI Agent vaak te brede IAM-rollen in de cloud. Een onderzoek naar Vertex AI toonde onlangs aan dat deze over-gepermissioneerde agents structureel kunnen leiden tot cloud privilege escalation. Een AI die de opdracht krijgt logs te lezen, hoeft geen schrijfrechten op de volledige S3-bucket of database te hebben. Toch is dit vandaag de dag de standaardpraktijk.

De aanvalsvectoren van buitenaf

Waar de interne chaos vooral voortkomt uit nalatigheid, zijn de externe vectoren kwaadaardig, gericht en technisch geavanceerd. De belangrijkste kwetsbaarheid blijft prompt injection. Dit kan direct gebeuren, waarbij een aanvaller het systeem een commando voert dat de originele systeeminstructies overschrijft, maar in 2026 zien we vooral een toename in indirect prompt injection. Palo Alto's Unit42 observeerde talloze incidenten in het wild waarbij verborgen tekst op een website – onzichtbaar voor de mens – gelezen werd door een AI Agent. Die tekst instrueerde de agent geruisloos om gebruikersdata via een webrequest te exfiltreren naar de server van de aanvaller. Het ontdekken van CVE-2025-32711, ook wel EchoLeak genoemd, markeerde de eerste zero-click exploit in een productie-LLM: de gebruiker hoeft enkel een kwaadaardige pagina te laten samenvatten door zijn assistent om zijn weblocale session tokens kwijt te raken.

Aanvallers worden ook creatiever. Via de zogenaamde markdown image trick demonstreerde Checkmarx hoe via systemen als GitHub Copilot Chat en Gemini ongezien code geëxtraheerd kan worden. De LLM wordt geforceerd een markdown-afbeelding te renderen waarbij de gehashte broncode wordt meegegeven als URL-parameter naar de server van de hacker. De gebruiker ziet enkel een gebroken image-icoontje, de hacker heeft de code.

Met de opkomst van de Model Context Protocol (MCP) standaard zien we een nieuwe dreiging: MCP Tool Poisoning. Microsoft noemt MCP gekscherend de "USB-poort voor AI" – het standaardiseert hoe AI verbinding maakt met lokale en cloudbronnen. Invariant Labs ontdekte in 2025 kritieke kwetsbaarheden waarbij malafide MCP-servers verborgen instructies konden injecteren wanneer een developer of bedrijfsagent hieraan koppelde. Applicaties zoals Cursor, Zapier en de platformen van Anthropic en OpenAI bleken vatbaar voor zogenaamde Shadow Server attacks en RugPull exploits, die onbedoelde commando's laten uitvoeren op de hostcomputer van de AI Agent.

Daarnaast is er de supply chain. Het ML-ecosysteem steunt hevig op platforms als HuggingFace. In tegenstelling tot reguliere software is er nog geen volwassen SBOM-standaard (Software Bill of Materials) voor AI-modellen. Onderzoek van JFrog bracht in 2024 honderden ML-modellen met ingebouwde backdoors in beeld. Via kwaadaardige pickle exploits in modelgewichten krijgt een aanvaller direct Remote Code Execution (RCE) op de server die het model laadt. Modellen laden was nog nooit zo riskant. Gekoppeld met de wetenschap rondom Model Poisoning – waarbij onderzoekers in 2025 lieten zien dat een verwaarloosbaar klein aantal bewerkte trainingssamples voldoende is voor een 'Sure Trap' backdoor die zelfs na secure fine-tuning overleeft – besef je als organisatie dat je modellen die je van buiten haalt per definitie als untrusted moet benaderen.

OWASP LLM Top 10 als checklist

Om deze lawine aan nieuwe aanvalstechnieken behapbaar te maken voor security operaties en compliance teams, is standardisatie de redding. De OWASP LLM Top 10 voor 2025 biedt een solide framework dat, gekoppeld aan de MITRE ATLAS v5.6 (Adversarial Threat Landscape for AI Systems), als basis dient voor elke risk assessment.

• LLM01: Prompt Injection: Nog steeds het absolute nummer één risico. Direct of indirect, het manipuleren van het gedrag van een LLM via input is de fundamentele zwakte van non-deterministische systemen.
• LLM02: Sensitive Information Disclosure: Het ongefilterd teruggeven van PII of interne logica via foutmeldingen, pure ongecensureerde responses of memorization.
• LLM03: Supply Chain Vulnerabilities: Modellen met backdoors of gecompromitteerde datasets van derden (zoals de HuggingFace pickle exploits).
• LLM04: Data and Model Poisoning: Gerichte corruptie van de trainings- of fine-tuning data, resulterend in verlaagde integriteit, racisme of voorgeprogrammeerde blinde vlekken.
• LLM05: Improper Output Handling: Blind vertrouwen op de output van een LLM door naadloze integratie met backend systemen, resulterend in XSS, CSRF of RCE op interne systemen.
• LLM06: Excessive Agency: Het toekennen van te veel permissies of ongecontroleerde autonomie aan een AI Agent. Geef een LLM nooit delete-rechten in een database tenzij strikt noodzakelijk.
• LLM07: System Prompt Leakage: Het onthullen van de core instructies van het bedrijf (vaak intellectueel eigendom) aan de eindgebruiker.
• LLM08: Vector and Embedding Weaknesses: Manipulaties in RAG-systemen (Retrieval-Augmented Generation) waarbij kwaadaardige vectors het zoeksysteem beïnvloeden.
• LLM09: Misinformation: Het met vertrouwen presenteren van foutieve informatie, wat leidt tot reputatieschade en slechte bedrijfsvoering.
• LLM10: Unbounded Consumption: Het equivalent van DDoS specifiek voor LLM API's. Aanvallers jagen de inference-kosten astronomisch omhoog, wat de portemonnee van de organisatie raakt in plaats van de server offline te halen.

Wat de wet van je vraagt

Terwijl de technologische strijd in de loopgraven plaatsvindt, verandert de compliance-laag erboven ingrijpend. Innovatie zonder governance was 2023; in 2026 stuit dit op een muur van keiharde wetgeving, torenhoge boetes en bestuursrechtelijke aansprakelijkheid. We benaderen het punt waarbij AI-security niet langer alleen een IT-vraagstuk is, maar het bestaansrecht van een applicatie in de EU bepaalt.

De EU AI Act trekt een harde lijn. Artikel 15 stelt resoluut dat high-risk AI-systemen afdoende robuust moeten zijn tegen adversarial attacks, model poisoning en geavanceerde prompt manipulation. Je mag domweg geen high-risk model live zetten als je niet kunt aantonen dat je tegen Prompt Injection hebt beveiligd. Bovendien dwingt Artikel 12 tot minutieuze logging (record keeping) van interacties voor traceerbaarheid, en stelt Artikel 14 eisen aan human oversight, wat volledige autonomie uitsluit in kritieke use cases. Wie de AI Act negeert, riskeert boetes die oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet – sancties die in vergelijking met de AVG astronomisch zijn afgestemd.

Aanvullend werd in de herfst van 2024 de NIS2-richtlijn van kracht, die strakke eisen stelt aan incidentrapportages (binnen 24 tot 72 uur). Gekoppeld aan de supply chain security-eisen van NIS2 betekent dit dat 'softwarecomponenten' onder toezicht vallen. In AI-termen betekent dit dat ook open-source modelgewichten, vector databases en tools zoals LangChain formeel onderworpen zijn aan supply chain audits.

En dan is er de bestaande AVG (GDPR). De verplichte Data Protection Impact Assessment (DPIA) vanuit Artikel 35 is bij nagenoeg elke wezenlijke AI-implementatie noodzakelijk geworden, terwijl Artikel 22 verbiedt dat puur geautomatiseerde besluiten ingrijpende rechtsgevolgen hebben voor individuen. Om te voldoen aan dit oerwoud van eisen, bouwen volwassen organisaties stevig op certificeringen. Frameworks als ISO 42001:2023 (in feite de ISO 27001-equivalent specifiek voor AI) en de beproefde NIST AI RMF 1.0 (met iteratieve stappen: Govern, Map, Measure, Manage) vormen het lingua franca tussen een auditfirma en de CISO.

Een werkbare verdedigingsarchitectuur

Wetgeving, abstracte dreigingen en frameworks zijn cruciaal, maar een Agentic Engineer wil maandagochtend weten wat hij moet bouwen. De transitie van theorie naar een robuuste enterprise AI-architectuur vereist harde, implementeerbare patronen. Geen academische discussies, maar pragmatische security controls op infrastructuurniveau.

Het startpunt van elke controle is de Model Gateway. Sta ontwikkelaars binnen je organisatie niet toe om rechtstreeks API-keys van OpenAI, Anthropic of Google aan te roepen vanuit hun applicaties. Iedere LLM-aanroep, waar dan ook in het bedrijf, moet door één centrale interne reverse-proxy (de gateway) lopen. Dit garandeert gecentraliseerde logging conform EU AI Act Artikel 12, maakt enterprise-brede rate-limiting mogelijk om Unbounded Consumption (LLM10) te voorkomen, en geeft IT eindelijk zichtbaarheid om Shadow AI gestructureerd te detecteren en in te perken.

Op de in- en output pas je strikte filters toe. Voordat een prompt de gateway verlaat richting een extern model, passeert deze een redactielaag gebaseerd op tools zoals Microsoft Presidio. PII, BSN-nummers en IBAN-nummers worden hierbij in de prompt gemaskeerd en vervangen door placeholders. Na terugkomst filtert de gateway eveneens de output, idealiter met behulp van systemen zoals Azure Prompt Shields, om te detecteren of de LLM onbedoeld malafide code of geëxtraheerde PII probeert terug te spuwen.

Voor AI Agents implementeren we een Zero Trust-model. Microsoft, Cisco en het Cloud Security Alliance (CSA) Agentic Trust Framework zijn het hier in 2026 over eens geworden: een agent mag nooit onvoorwaardelijke toegang krijgen. Werk via het least privilege principe. Als je Agent via MCP toegang heeft tot acties (tools), moet de executie van deze tools altijd plaatsvinden in een zwaar geïsoleerde sandbox. AWS Prescriptive Guidance raadt sterk aan deze tool-execution buiten de core-infrastructuur te houden. Combineer dit met egress-filtering op netwerkniveau: een agent hoort alleen web-requesten te kunnen maken naar specifieke white-listed domeinen (voorkomt data-exfiltratie via indirecte prompt injection).

Tot slot vereist volwassen agentic infrastructuur Human-in-the-Loop (HITL) tripwires. Conform Artikel 14 van de AI Act moeten bepaalde acties irreversibel en destructief behandeld worden. Een AI Agent mag best autonoom duizenden logregels analyseren en een rapport opstellen via RAG. Echter, zodra de agent de intentie heeft om een mail namens de CEO te sturen, een git-commit naar de hoofd-branch te pushen, of cloud-configuraties aan te passen, pauzeert het systeem. Een menselijke beheerder ontvangt de intentie, keurt deze met één klik goed (of af), waarna het proces hervat. Dit doorbreekt Excessive Agency effectief af.

Begin klein, begin nu

De realiteit van de dreigingen is significant, en direct transformeren naar een enterprise-brede zero-trust AI-omgeving is voor de meeste MKB+ organisaties onrealistisch. Maar stilzitten in een landschap waar phishing, jailbreaks en privilege escalations de nieuwe norm zijn, valt niet uit te leggen aan directies of aandeelhouders. Een stappenplan van 30, 60 en 90 dagen biedt de houvast die engineers en de CISO nodig hebben.

Besteed de eerste 30 dagen louter aan ontdekking en netwerkbeleid. Achterhaal waar de Shadow AI zich schuilhoudt. Analyseer het netwerkverkeer en stuur onofficieel LLM-gebruik via een proxy. Implementeer gelijktijdig een basale interne LLM API Gateway. Dit vereist in eerste instantie geen gecompliceerde PII-redactie, maar zorgt ervoor dat je logs, rate-limits en controle over API-keys terug in huis haalt.

In de 60 dagen daarna richt je je specifiek op Identity and Access Management en het beperken van bestaande rechten van interne AI initiatieven. Ontmantel de god-mode rollen van experimentele Agentic Engineers. Introduceer strikte egress regels op hun containers en breng tool execution onder in een sandbox omgeving. Start in deze fase ook met het actief configureren van PII waarschuwingen de gateway.

Binnen 90 dagen harmoniseer je deze technische implementaties met de verplichte compliance kaders. Begin een nulmeting op basis van de OWASP LLM Top 10 en leg de fundamenten vast om in aanmerking te komen voor ISO 42001 processen. Implementeer de Human-in-the-Loop workflows voor alle processen in de organisatie die ingrijpen in kritieke data, waardoor je robuust staat ten aanzien van de Europese voorschriften. Cyberweerbaarheid in het tijdperk van autonome agenten is geen implementatie van één pakket of tool, het is een fundamentele en doorlopende herziening van infrastructuurarchitectuur.

Bij The Automation Group bouwen en beveiligen we complexe AI-ecosystemen precies tegen deze realiteit, omdat agentic work de toekomst is, maar enkel als we deze kunnen vertrouwen. Loop je tegen onoverzichtelijke risico’s in je modelinfrastructuur op, vermoed je uit de hand gelopen Shadow AI, of wil je de control frameworks van ISO 42001 tastbaar maken voor je ontwikkelingsteam? We sparren graag technisch en nuchter met je verder.