Het Security Office Logo
Het Security Office

AI Security ervaringen en internationale standaarden

AI Security: ervaringen en internationale standaarden

Vandaag had ik het plezier om samen met Rob van der Veer een fireside chat te verzorgen tijdens het CIP webinar ‘AI security: ervaringen en internationale standaarden’. Met meer dan 260 deelnemers en een beoordeling van 7,9 kijken we terug op een sterk en inhoudelijk gesprek over een onderwerp dat zich razendsnel ontwikkelt: de beveiliging van AI.

Onze insteek was niet om AI nóg technischer te maken, maar juist om organisaties te helpen begrijpen wat dit betekent voor governance, risico’s en de rol van de CISO.

Van nieuwsgierigheid naar leiderschap

Een van de eerste vragen was hoe je als CISO het tempo van AI überhaupt kunt bijhouden. Mijn antwoord is simpel: nieuwsgierig blijven. Je hoeft AI niet tot in detail technisch te begrijpen, maar je moet wel begrijpen wat er mis kan gaan – én welke kansen het biedt voor je organisatie.

AI is voor mij geen doel op zich, maar een weapon of mass disruption die vraagt om leiderschap, keuzes en duidelijke kaders.

AI toepassen voor security

We bespraken verschillende praktijkvoorbeelden waarbij AI juist een versneller kan zijn voor security:

Mijn belangrijkste boodschap hier: AI helpt ons sneller denken, maar niet sneller beslissen. Human in the loop blijft essentieel.

Programmereren met AI: Shadow coding is de nieuwe Shadow IT

Een belangrijk thema was het gebruik van AI door ontwikkelaars. Organisaties die geen duidelijke kaders bieden, zien dat developers AI toch gebruiken — vaak buiten zicht van security en governance.

Mijn advies is daarom om gecontroleerde mogelijkheden aan te bieden, bijvoorbeeld via een private endpoint of on prem oplossing, met duidelijke spelregels:

AI coding is geen gewone tool; het is een nieuwe vorm van software supply chain.

Het beveiligen van AI systemen

Het derde deel van het gesprek ging over de vraag die ik momenteel het vaakst hoor: hoe beveilig je AI eigenlijk?

Veel dreigingen lijken nieuw — zoals prompt injectie of model poisoning — maar de kern blijft herkenbaar: data beschermen, toegang beperken en gedrag controleren.

Wat wél verandert, is het dreigingsmodel binnen organisaties. Medewerkers gebruiken AI steeds vaker buiten zicht, data kan via prompts wegvloeien en beleid wordt impliciet overtreden. Voor veel CISOs is dat misschien wel de grootste uitdaging.

Zero Model Trust

Een concept dat we bespraken is Zero Model Trust. Voor mij betekent dat:

Daarom draait AI security voor een groot deel om het beperken van de blast radius: minimale rechten, minimale data en duidelijke grenzen aan autonomie — zeker bij agentic AI.

Standaarden als kompas, niet als beperking

We spraken ook over de rol van standaarden zoals ISO 27001, BIO en nieuwe AI standaarden. Mijn visie blijft dat AI geen volledig nieuwe securitydiscipline is. De meeste risico’s kennen we al; alleen het object verandert.

Standaarden geven een gemeenschappelijke taal, maar compliance alleen maakt je niet veilig. Zoals ik het tijdens het webinar formuleerde:

Compliance is the perfect level of security if your only threat is the auditor.

Blijf daarom sturen op risico’s, weerbaarheid en het valideren van beheersmaatregelen.

Belangrijkste takeaways

Dank aan Rob van der Veer voor het open gesprek en aan iedereen die live aanwezig was en vragen stelde.