Het Global Security Research Report van Fastly en de AI-beveiligingskloof: wanneer innovatie sneller groeit dan defensie

Schaduw-AI op kantoor: het enorme veiligheidsrisico dat niemand onder controle heeft

Een veelbesproken onderzoek van cybersecuritybedrijf Fastly luidt nu de alarmbel met alarmerende cijfers – van drastisch hogere schadekosten tot maandenlange downtime in de DACH-regio (Duitsland, Oostenrijk en Zwitserland). Maar in hoeverre is dit sombere scenario een terechte waarschuwing en in hoeverre is het gewoon slimme marketingpraat van een bedrijf dat flink profiteert van precies deze angsten? Een kritische blik achter de schermen van deze angstgedreven PR onthult dat het echte risico niet in de AI-technologie zelf schuilt. Het gaat om de ongecontroleerde verspreiding van 'schaduw-AI' op kantoor, een schrijnend tekort aan geschoolde werknemers en de zorgwekkende misvatting dat innovatie veilig kan plaatsvinden zonder uitgebreide governance-structuren. Het is tijd voor een nuchtere beoordeling van de werkelijke kwetsbaarheden achter de wijdverspreide AI-euforie.

Wie het hardst waarschuwt, verkoopt de brandblussers – een kritische beoordeling van het Fastly-onderzoek en de werkelijke zwakheden achter de euforie rond AI

De digitalisering van de economie heeft met de AI-revolutie een nieuw escalatiestadium bereikt. Bedrijven die zichzelf AI-first noemen – dat wil zeggen, bedrijven die kunstmatige intelligentie vanaf het begin in hun kernprocessen en bedrijfsmodellen integreren – staan ​​voor een paradox: de technologie die hen een concurrentievoordeel zou moeten geven, maakt hen tegelijkertijd kwetsbaarder dan ooit. Het vierde Global Security Research Report van Fastly Inc., gepubliceerd in februari 2026, presenteert alarmerende cijfers: 123 dagen langere hersteltijden in de DACH-regio (Duitsland, Oostenrijk en Zwitserland), 140,5 procent hogere schadekosten en een aanvalsoppervlak dat ongecontroleerd groeit als gevolg van agentgebaseerde workflows en gedecentraliseerde datastromen. Maar voordat deze cijfers als onweerlegbare waarheid worden aangenomen, is het de moeite waard om de bron van de boodschap, de methodologische grondslagen en de diepere structurele oorzaken die veel verder reiken dan een enkel onderzoek, nader te bekijken.

De zender als begunstigde: Fastly's bedrijfsmodel in het licht van haar eigen waarschuwingen

Fastly Inc., een beursgenoteerd bedrijf met hoofdkantoor in San Francisco, positioneert zijn edge cloud-platform als een oplossing voor contentdistributie, rekenkracht en, belangrijker nog, cybersecurity. In het vierde kwartaal van 2025 genereerde Fastly een totale omzet van $ 172,6 miljoen, een groei van 23 procent ten opzichte van hetzelfde kwartaal een jaar eerder. De groei in de beveiligingsdivisie is bijzonder opmerkelijk: de omzet uit beveiliging steeg met 32 ​​procent tot $ 35,4 miljoen en vertegenwoordigt nu 21 procent van de totale omzet. Over heel 2025 bedroeg de omzet uit beveiliging $ 125,1 miljoen, van een totale omzet van $ 624 miljoen. Fastly vierde in 2025 zijn eerste winstgevende boekjaar ooit.

Deze cijfers zijn cruciaal voor het begrijpen van het Global Security Research Report. Fastly verkoopt precies de producten die, volgens hun eigen rapport, dringend nodig zijn: webapplicatie-firewalls, API-beveiliging, botmanagement en DDoS-bescherming. Wanneer Marshall Erwin, Fastly's Chief Information Security Officer, in het onderzoek stelt dat webapplicatie- en API-bescherming bedrijfskritische tools worden, beveelt hij in feite de producten van zijn werkgever aan. Dit betekent niet automatisch dat de gegevens onjuist zijn, maar het creëert wel een structureel belangenconflict waarmee rekening moet worden gehouden bij de interpretatie. Een bedrijf waarvan het snelstgroeiende bedrijfssegment beveiligingsoplossingen zijn, heeft er een economisch belang bij om beveiligingsdreigingen zo dramatisch mogelijk af te schilderen.

Dit soort angstgedreven marketing is niet ongebruikelijk in de cybersecuritybranche. Het is een vast patroon: beveiligingsleveranciers publiceren onderzoeken die alarmerende dreigingsscenario's schetsen en bieden tegelijkertijd bijbehorende oplossingen aan. Dit maakt de gegevens niet waardeloos, maar wel kritische verificatie ervan essentieel.

De onderzochte methodologie: Wat kunnen 2000 respondenten daadwerkelijk bewijzen?

Het onderzoek is gebaseerd op een online enquête onder 2.000 IT-besluitvormers met invloed op cybersecuritybeslissingen in grote bedrijven in diverse sectoren. De enquête werd in het vierde kwartaal van 2025 uitgevoerd door Sapio Research, een marktonderzoeksbureau, dat de enquête via e-mailuitnodigingen en een online vragenlijst verstuurde. 200 deelnemers werden ondervraagd in de DACH-regio (Duitsland, Oostenrijk en Zwitserland).

Verschillende methodologische aspecten verdienen een kritische blik. Ten eerste de steekproefomvang: 200 respondenten uit de gehele DACH-regio is een relatief kleine dwarsdoorsnede, vooral wanneer er specifieke conclusies worden getrokken over bedrijven die AI als eerste inzetten versus bedrijven die dat niet doen. Het verdelen van de steekproef in twee subgroepen vermindert de statistische power van elke afzonderlijke subgroep aanzienlijk. Een resultaat zoals het beweerde cijfer van nul procent AI-gebruik onder bedrijven die AI niet als eerste inzetten in de DACH-regio lijkt minder op een empirische bevinding en meer op een methodologisch artefact: bedrijven die geen AI gebruiken, kunnen geen AI-specifieke inbreuken melden, maar dit betekent niet dat deze bedrijven veiliger zijn.

Vervolgens de definitie van de centrale term: Wat maakt een bedrijf precies een AI-first bedrijf? De studie definieert het als bedrijven die AI vanaf het begin integreren in hun kernprocessen en -aanbod, in plaats van het slechts als aanvulling te gebruiken. Deze definitie is voor interpretatie vatbaar en gebaseerd op zelfevaluatie. Bedrijven die zichzelf als AI-first omschrijven, zijn doorgaans groter, technologisch ambitieuzer en beschikken over complexere IT-infrastructuren. Alleen al om die reden hebben ze een groter aanvalsoppervlak, wat de hogere schadekosten en langere hersteltijden ten minste gedeeltelijk zou kunnen verklaren, zonder dat de AI-integratie zelf per se de oorzaak is. Bewijs van correlatie is niet hetzelfde als bewijs van causaliteit.

Bovendien zijn de hersteltijden zelfbeoordelingen van de respondenten en geen objectief gemeten waarden. De vraag wanneer een bedrijf zichzelf als volledig hersteld beschouwt, is onderhevig aan subjectieve criteria. Bedrijven die AI als eerste technologie gebruiken, hanteren vanwege hun grotere technologische complexiteit mogelijk strengere normen voor volledig herstel, wat het gemeten verschil van 123 dagen in ieder geval gedeeltelijk zou kunnen verklaren.

Wereldwijde cijfers versus cijfers voor de DACH-regio: opvallende verschillen

Een opvallend aspect van de studie is de aanzienlijke discrepantie tussen de wereldwijde resultaten en de DACH-specifieke gegevens. Wereldwijd bedraagt ​​het verschil in hersteltijd tussen bedrijven die AI als eerste inzetten en bedrijven die dat niet doen 80 dagen, met schadekosten die 135 procent hoger liggen. In de DACH-regio is het verschil echter 123 dagen en liggen de kosten 140,5 procent hoger. Het verschil in AI-gebruik is nog dramatischer: wereldwijd meldt 44 procent van de bedrijven die AI als eerste inzetten directe AI-gebruik, vergeleken met zes procent van de bedrijven die dat niet doen. In de DACH-regio loopt dit percentage op tot 49 procent voor bedrijven die AI als eerste inzetten, terwijl het percentage voor bedrijven die dat niet doen daalt tot nul procent.

Een vergelijking van de belangrijkste prestatie-indicatoren laat significante verschillen zien tussen het wereldwijde gemiddelde en de DACH-regio (Duitsland, Oostenrijk en Zwitserland). Het verschil in hersteltijd na een incident tussen AI-first en niet-AI-first bedrijven bedraagt ​​wereldwijd 80 dagen, maar 123 dagen in de DACH-regio. Ook de schadekosten liggen hoger voor AI-first bedrijven in de DACH-regio, namelijk 140,5%, vergeleken met een wereldwijd gemiddelde van 135%.

Bij 44% van de bedrijven wereldwijd die AI als eerste prioriteit stellen, werd AI direct misbruikt bij aanvallen; in de DACH-regio (Duitsland, Oostenrijk en Zwitserland) lag dit percentage zelfs nog hoger, namelijk 49%. Bij bedrijven die AI niet als eerste prioriteit stellen, was dit wereldwijd slechts in 6% van de gevallen zo, en in de DACH-regio werd geen enkel geval gemeld (0%).

Wereldwijd beschouwt 64% van de respondenten AI-scraping als een kostenfactor, terwijl dit percentage in de DACH-regio (Duitsland, Oostenrijk, Zwitserland) oploopt tot 57%. De gemiddelde jaarlijkse kosten voor scraping bedragen wereldwijd ongeveer US$ 348.000 en in de DACH-regio circa € 372.059.

Deze discrepanties roepen vragen op. De DACH-regio lijkt in bijna alle categorieën extremer dan het wereldwijde gemiddelde. Dit kan te wijten zijn aan regiospecifieke kenmerken, zoals een andere samenstelling van de onderzochte bedrijven, de complexere regelgeving in Duitsland, Oostenrijk en Zwitserland, of simpelweg aan statistische schommelingen bij een steekproefomvang van slechts 200 respondenten.

Wat zit er nu echt achter het beveiligingslek: structurele oorzaken die verder gaan dan de marketingpraatjes?

Ondanks de terechte kritiek op de Fastly-studie, kan één centrale stelling niet worden verworpen: de adoptie van AI overstijgt in veel bedrijven de capaciteit van de IT-beveiliging. Dit fenomeen wordt bevestigd door tal van onafhankelijke bronnen zonder vergelijkbare commerciële belangen.

De Allianz Risk Barometer 2026, gebaseerd op een enquête onder 3.338 risico-experts uit 97 landen, laat een opmerkelijke verschuiving in de ranglijst zien: kunstmatige intelligentie (AI) is gestegen van de tiende naar de tweede plaats onder de wereldwijde bedrijfsrisico's, alleen overtroffen door cyberincidenten, die voor het vijfde opeenvolgende jaar bovenaan de lijst staan. In Duitsland staat AI op de vierde plaats, goed voor 26 procent van de vermeldingen. De Allianz-studie merkt op dat de technologische adoptie vaak sneller gaat dan de ontwikkeling van bestuursstructuren en regelgeving, waardoor juridische risico's toenemen.

Het IBM-rapport 'Cost of a Data Breach Report 2025', gebaseerd op de analyse van daadwerkelijke beveiligingsincidenten, biedt verdere inzichten. Hoewel de gemiddelde kosten van datalekken wereldwijd zijn gedaald tot $ 4,44 miljoen, kostten incidenten met zogenaamde schaduw-AI gemiddeld $ 4,63 miljoen, $ 670.000 meer dan typische incidenten. Schaduw-AI-incidenten zijn al verantwoordelijk voor 20 procent van alle datalekken. Bijzonder alarmerend is de bevinding dat 97 procent van de bedrijven die te maken kregen met een AI-gerelateerd beveiligingslek, geen adequate toegangscontrole voor AI hadden.

Het CrowdStrike Global Threat Report 2026 documenteert een toename van 89 procent in AI-gestuurde aanvallen ten opzichte van het voorgaande jaar. Aanvallers gebruiken AI voor doeleinden zoals verkenning, identiteitsdiefstal en het verbergen van hun activiteiten. Kwaadaardige prompts werden geïnjecteerd in generatieve AI-tools bij meer dan 90 bedrijven. De breakout time, de tijd tussen de eerste toegang en laterale verplaatsing binnen het netwerk, is in sommige gevallen gedaald tot minder dan 30 minuten.

Schaduw-AI: de onzichtbare epidemie in bedrijven

Een van de belangrijkste oorzaken van de beveiligingsproblemen bij bedrijven die AI als eerste inzetten, is niet het geautoriseerde, maar het ongeautoriseerde gebruik van AI. Shadow AI, het gebruik van AI-tools zonder goedkeuring of toezicht van de IT-afdeling, heeft een omvang bereikt die de meeste managers onderschatten.

De gegevens spreken voor zich: 98 procent van alle organisaties heeft werknemers die ongeautoriseerde applicaties gebruiken, waaronder AI-tools. Bijna 90 procent van het AI-gebruik binnen bedrijven is onzichtbaar voor de organisatie. Een onderzoek van Gartner onder 175 werknemers wees uit dat 57 procent persoonlijke GenAI-accounts voor werk gebruikt. Een derde gaf toe vertrouwelijke informatie te hebben geüpload naar ongeautoriseerde tools. De hoeveelheid bedrijfsgegevens die naar AI-tools werd gekopieerd of geüpload, nam tussen 2023 en 2024 met 485 procent toe. Van 2024 tot 2025 is de datastroom van werknemers naar GenAI-diensten dertigvoudig toegenomen.

Het probleem zit hem minder in kwade opzet dan in een structureel belangenconflict. Werknemers gebruiken AI-tools omdat ze productiever willen zijn. Zestig procent van de werknemers is het ermee eens dat het gebruik van ongeautoriseerde AI-tools de beveiligingsrisico's waard is als het hen helpt sneller te werken. Dit plaatst IT-beveiliging voor een dilemma: beperkende maatregelen drijven het gebruik alleen maar verder ondergronds, terwijl een permissieve houding het aanvalsoppervlak verder vergroot.

Slechts 17 procent van de bedrijven heeft technische controles geïmplementeerd die daadwerkelijk kunnen voorkomen dat vertrouwelijke gegevens in AI-tools worden geüpload. 63 procent heeft helemaal geen formeel beleid voor AI-governance. Slechts zes procent van de bedrijven heeft een geavanceerde AI-beveiligingsstrategie. Deze cijfers tonen aan dat het probleem niet zozeer in de technologie ligt, maar in een enorm tekort aan governance.

Profiteer van de uitgebreide, vijfvoudige expertise van Xpert.Digital in een compleet servicepakket | R&D, XR, PR & Optimalisatie van digitale zichtbaarheid - Afbeelding: Xpert.Digital

Xpert.Digital beschikt over diepgaande kennis van diverse sectoren. Hierdoor kunnen we strategieën op maat ontwikkelen die precies aansluiten op de behoeften en uitdagingen van uw specifieke marktsegment. Door continu markttrends te analyseren en ontwikkelingen in de sector te volgen, kunnen we proactief handelen en innovatieve oplossingen bieden. De combinatie van ervaring en expertise genereert toegevoegde waarde en geeft onze klanten een doorslaggevend concurrentievoordeel.

Meer informatie vindt u hier:

• Profiteer van de 5 expertisegebieden van Xpert.Digital in één pakket – al vanaf €500 per maand

Het probleem van de geschoolde arbeider: een industrie die niet aan haar eigen vraag kan voldoen

De beveiligingskloof bij de integratie van AI wordt verergerd door een chronisch tekort aan gekwalificeerde professionals. De wereldwijde cybersecuritysector kampt met een tekort van 4,8 miljoen geschoolde werknemers. Alleen al in de VS is er een tekort van 225.000 specialisten op middenniveau. De situatie is niet verbeterd: in Noord-Amerika en Europa is het aantal cybersecurityprofessionals zelfs afgenomen.

De kwalitatieve dimensie van dit tekort is bijzonder problematisch. Volgens een ISC2-studie uit 2025 meldde 59 procent van de ondervraagde professionals een kritiek of significant tekort aan vaardigheden binnen hun organisatie, een stijging van 44 procent ten opzichte van het voorgaande jaar. AI-beveiliging werd genoemd als de meest dringend benodigde vaardigheid (41 procent), gevolgd door cloudbeveiliging (36 procent). De impact van dit tekort is direct meetbaar: 88 procent van de professionals meldde ten minste één negatief gevolg van het tekort aan vaardigheden binnen hun organisatie. Een kwart gaf aan dat werknemers taken krijgen toegewezen die hun opleidingsniveau te boven gaan.

Dit tekort aan gekwalificeerd personeel verklaart een belangrijk deel van de bevindingen van het Fastly-onderzoek. Wanneer bedrijven AI in hun processen integreren zonder over het personeel te beschikken om hun beveiligingsarchitectuur in hetzelfde tempo te moderniseren, ontstaat er onvermijdelijk een groeiende kloof. Het probleem is niet zozeer dat AI onveilig is, maar eerder het gebrek aan mensen die het veilig kunnen maken.

De economische dimensie: Uitgaven aan veiligheid op recordhoogte, maar verkeerd besteed?

De reactie van het bedrijfsleven op het groeiende dreigingslandschap wordt weerspiegeld in stijgende investeringen. Gartner voorspelt dat de wereldwijde uitgaven aan informatiebeveiliging in 2026 $240 miljard zullen bereiken, een stijging van 12,5 procent ten opzichte van het voorgaande jaar. Vergeleken met $193,5 miljard in 2024, vertegenwoordigt dit een toename van bijna $47 miljard in slechts twee jaar. De markt voor AI-gestuurde beveiliging alleen al zal naar verwachting groeien van $49 miljard in 2025 tot $160 miljard in 2029.

De enorme bedragen die eraan worden uitgegeven, zeggen echter weinig over de effectiviteit ervan. Een verontrustende bevinding uit het Thales-onderzoek uit 2025 laat zien dat in 52 procent van de onderzochte bedrijven de uitgaven voor AI-beveiliging ten koste gaan van bestaande beveiligingsbudgetten. Dit betekent dat er geen extra middelen worden vrijgemaakt voor de bescherming van AI-systemen, maar dat deze worden onttrokken aan het budget voor traditionele beveiligingsmaatregelen zoals cloudgegevensbescherming en identiteitsbeheer. Deze herverdeling creëert nieuwe kwetsbaarheden elders.

De gegevens van IBM bieden een interessant tegengeluid. Bedrijven die AI en automatisering volledig integreren in hun beveiligingsarchitectuur besparen gemiddeld $ 1,9 miljoen per beveiligingsincident, met gemiddelde kosten van $ 3,62 miljoen vergeleken met $ 5,52 miljoen voor bedrijven zonder dergelijke investeringen. De paradox is opvallend: dezelfde technologie die nieuwe aanvalsoppervlakken creëert, biedt tegelijkertijd de meest effectieve verdediging, mits deze met de juiste beheersmaatregelen wordt ingezet.

Agentische AI: De volgende stap in de escalatie van het aanvalsoppervlak

Hoewel de Fastly-studie de huidige stand van zaken documenteert, doemt de volgende escalatie al aan de horizon op. Agentische AI, oftewel autonome AI-systemen die zelfstandig taken uitvoeren, toegang hebben tot databases en communiceren met andere systemen, wordt door 48 procent van de cybersecurity-experts beschouwd als de belangrijkste aanvalsvector voor 2026. Dit risico overtreft daarmee zowel deepfake-dreigingen als andere AI-gerelateerde gevaren.

Het fundamentele probleem: elke AI-agent die in een bedrijfsomgeving wordt ingezet, genereert een niet-menselijke identiteit die API-toegang en machine-naar-machine-authenticatie vereist. Traditionele identiteitsbeheersystemen zijn ontworpen om mensen te authenticeren, niet machines. Als een marketingteam een ​​AI-agent gebruikt om campagneanalyses te automatiseren, heeft het toegang nodig tot het CRM-systeem, het e-mailplatform, klantdatabases en advertentie-API's – vier verschillende systemen, elk met hun eigen authenticatievereisten. Vermenigvuldig dit met het aantal teams dat vergelijkbare tools test, en je ziet hoe snel het aanvalsoppervlak uit de hand kan lopen.

In december 2025 publiceerde het Open Web Application Security Project (OWASP) zijn eerste top 10-lijst van agentgebaseerde applicaties, samengesteld door meer dan 100 beveiligingsexperts uit het bedrijfsleven, de academische wereld en de overheid. Aanvallen in de praktijk, zoals EchoLeak en ForcedLeak, met kritieke CVSS-scores van respectievelijk 9,3 en 9,4, tonen aan dat dit geen louter theoretische scenario's zijn. De dreiging van gecompromitteerde agents die autonoom gegevens repliceren en exfiltreren, is al een realiteit.

De race tussen aanvallers en verdedigers: een structureel onevenwicht

De beveiligingsproblemen van de AI-gedreven transformatie weerspiegelen uiteindelijk een fundamenteel structureel onevenwicht. AI verlaagt de kosten en de drempels voor aanvallers sneller dan verdedigers hun tegenmaatregelen kunnen aanpassen. Generatieve AI maakt het mogelijk om overtuigende phishingcampagnes in minuten in plaats van dagen te creëren. De tijd die nodig is om phishing-aas te maken is drastisch verkort. Zestien procent van alle datalekken betreft nu het misbruik van AI-tools door aanvallers, waarvan 37 procent AI-gegenereerde phishingcampagnes en 35 procent deepfake-aanvallen.

Aan de defensiezijde is er niet alleen een tekort aan personeel, maar ook aan snelheid. Hoewel de gemiddelde hersteltijd is gedaald van 7,34 maanden in 2024 naar 6,08 maanden in 2025, een afname van 17 procent, is deze verbetering voornamelijk bereikt door evaluaties na incidenten (52 procent van de organisaties) en de automatisering van responsmaatregelen (43 procent). De fundamentele architectuurproblemen, met name het gebrek aan transparantie met betrekking tot de inzet van AI en datastromen, blijven bestaan.

De werkelijke oorzaken: Vier systemische problemen

De fundamentele oorzaken van de beveiligingsproblemen bij de AI-first transformatie zijn terug te voeren op vier systemische tekortkomingen die veel verder gaan dan wat de Fastly-studie aan de orde stelt.

De eerste problematische ontwikkeling is de organisatorische ontkoppeling van innovatie en beveiliging. In veel bedrijven worden AI-projecten aangestuurd door businessunits of innovatieteams, terwijl IT-beveiliging als een secundair controleproces wordt beschouwd. Uit het onderzoek blijkt dat 51 procent van de bedrijven met een AI-prioriteit een gebrek aan duidelijkheid ervaart over wie verantwoordelijk is voor incidentafhandeling, vergeleken met 23 procent van de bedrijven zonder AI-prioriteit. Deze onduidelijkheid is symptomatisch voor een gebrek aan governance-structuren die AI-beveiliging als integraal onderdeel van de AI-strategie verankeren.

Het tweede probleem is het gebrek aan technische controles in combinatie met een overvloed aan beleidsmaatregelen. De gegevens tonen duidelijk aan dat mensgerichte maatregelen zoals training (gebruikt door 40 procent van de bedrijven), waarschuwingsmails (20 procent) en schriftelijk beleid (10 procent) geen aantoonbare bescherming bieden. Alleen technische controles – zoals geautomatiseerde blokkering, realtime gegevensclassificatie en uniforme governanceplatforms – bieden meetbare bescherming. Toch heeft slechts 17 procent van de bedrijven dergelijke controles geïmplementeerd.

De derde problematische ontwikkeling is budgetmigratie in plaats van budgetuitbreiding. Wanneer 52 procent van de bedrijven de uitgaven voor AI-beveiliging financiert vanuit bestaande beveiligingsbudgetten, wordt het probleem niet opgelost, maar slechts uitgesteld. De beveiliging van nieuwe AI-systemen mag niet ten koste gaan van de bescherming van de bestaande infrastructuur. Toch is dit precies wat er in de praktijk gebeurt.

De vierde negatieve ontwikkeling is de door de markt gedreven haast. De concurrentiedruk om snel AI in te zetten om achterstand te voorkomen, leidt ertoe dat beveiligingsaudits worden overgeslagen of ingekort. Ontwikkelaars gebruiken AI met minimale beveiligingscontroles, waaronder ongeteste open-source MCP-servers en code die is gegenereerd via zogenaamde vibe coding. Het resultaat is een groeiende hoeveelheid kwetsbare infrastructuur die onvermijdelijk het doelwit van aanvallers zal worden.

Het regelgevingskader: De EU AI-wet als een tweesnijdend zwaard

De regelgeving rond de beveiligingsuitdagingen van AI begint vorm te krijgen, maar brengt ook de nodige complexiteit met zich mee. Met maar liefst 59 nieuwe AI-gerelateerde regelgevingen in 2024, meer dan het dubbele van het voorgaande jaar, worden bedrijven geconfronteerd met een perfecte combinatie van beveiligingslekken, nalevingsschendingen en concurrentierisico's. De EU-wetgeving inzake kunstmatige intelligentie (AI) versterkt deze druk nog verder en creëert nieuwe aansprakelijkheidsvraagstukken, met name met betrekking tot geautomatiseerde besluitvormingsprocessen.

Het onderzoek van Allianz benadrukt dat veel bedrijven AI nu niet alleen als een strategische kans zien, maar ook als een complexe bron van operationele, juridische en reputatierisico's. In veel gevallen verloopt de implementatie sneller dan de governance, regelgeving en bedrijfscultuur kunnen bijbenen. Bijna 55 procent van de bedrijven is niet voorbereid op de naleving van de regelgeving rondom AI.

De regelgeving pakt reële problemen aan, maar dreigt het concurrentienadeel van Europese bedrijven te verergeren als de nalevingskosten onevenredig zwaar drukken op innovatieve AI-gebruikers. Bedrijven die AI diepgaand integreren en daardoor grotere economische voordelen behalen, dragen ook de hoogste nalevingslasten. Paradoxaal genoeg zou dit ertoe kunnen leiden dat Europese bedrijven AI langzamer implementeren zonder dat hun beveiliging verbetert, omdat aanvallers zich niet aan de Europese regelgeving houden.

De kosten-batenanalyse: Wat kost AI-First nu echt?

Een nuchtere economische analyse van de AI-first strategie vereist een vergelijking van de hogere beveiligingskosten met de productiviteitswinst. De Fastly-studie belicht de kostenkant, maar negeert grotendeels de voordelen. AI-first bedrijven zijn vaak innovatiever, efficiënter en concurrerender. De vraag is niet of AI-integratie beveiligingskosten met zich meebrengt, maar of het netto-effect positief blijft.

IBM-gegevens bieden hier een belangrijke aanwijzing: bedrijven die AI en automatisering volledig omarmen, verlagen hun gemiddelde incidentkosten tot $ 3,62 miljoen, vergeleken met $ 5,52 miljoen voor bedrijven zonder AI-gestuurde beveiliging. De besparing van $ 1,9 miljoen per incident, gecombineerd met een verkorting van de detectietijd met 80 dagen, toont aan dat de oplossing niet ligt in minder AI, maar in beter beheerde AI.

Agentische AI ​​kan de productiviteit vijf tot tien keer zo hoog maken. Deze enorme efficiëntiewinsten moeten echter worden afgewogen tegen de extra kosten van langere hersteltijden en hogere schadekosten. Voor de meeste bedrijven zou de afweging positief moeten uitvallen, mits ze tegelijkertijd investeren in een goede beveiligingsarchitectuur. Het werkelijke risico schuilt niet in het gebruik van AI zelf, maar in de illusie dat men de voordelen van AI kan plukken zonder te investeren in AI-beveiliging.

Opportunisme of terechte waarschuwing: een genuanceerde beoordeling

De aanvankelijke vraag of het Fastly-rapport opportunistische marketing of een gerechtvaardigde waarschuwing betreft, kan niet eenduidig ​​worden beantwoord. Beide elementen zijn aanwezig en hun gewicht hangt af van het perspectief.

Het rapport is opportunistisch, aangezien het afkomstig is van een bedrijf dat direct profiteert van de onzekerheid die het zelf creëert. Het positioneren van WAAP-oplossingen als de oplossing voor de beschreven problemen is nauwelijks verhulde productreclame. De DACH-specifieke gegevens, met hun kleine steekproefomvang en opvallend extremere waarden dan het wereldwijde gemiddelde, moeten met de nodige voorzichtigheid worden geïnterpreteerd.

Tegelijkertijd is het rapport een terechte waarschuwing, omdat de fundamentele stelling dat de adoptie van AI de modernisering van de beveiliging overtreft, wordt ondersteund door tal van onafhankelijke bronnen. De Allianz Risk Barometer, IBM's Cost of a Data Breach Report, CrowdStrikes Threat Report, BigID's AI Risk Report en Gartners uitgavenprognoses schetsen een consistent beeld: het aanvalsoppervlak groeit sneller dan de verdedigingscapaciteit.

De werkelijke oorzaken van beveiligingsproblemen bij bedrijven die AI als eerste inzetten, liggen dieper dan Fastly suggereert. Het gaat niet zozeer om een ​​gebrek aan direct beschikbare beveiligingsproducten, maar eerder om tekortkomingen binnen de organisatie: ontoereikende bestuursstructuren, onvoldoende personeel, verkeerd toegewezen budgetten en een cultuur waarin snelheid boven beveiliging wordt gesteld. Deze structurele problemen kunnen niet worden opgelost door de aanschaf van een webapplicatie-firewall, hoe noodzakelijk dergelijke tools ook mogen zijn. Ze vereisen een fundamentele verschuiving in de manier waarop bedrijven AI-projecten plannen, goedkeuren en monitoren. De technologie zelf is niet het probleem. Het probleem ligt in het gebrek aan, en juist de noodzakelijke, bereidheid om beveiliging als een gelijkwaardige partner van innovatie te beschouwen.

☑️ Onze zakelijke voertaal is Engels of Duits

☑️ NIEUW: Correspondentie in uw moedertaal!

Konrad Wolfenstein

Mijn team en ik staan ​​graag tot uw beschikking als uw persoonlijke adviseur.

U kunt contact met mij opnemen door hier het contactformulier in te vullen of door mij te bellen op +49 89 89 674 804 ( München) . Mijn e-mailadres is: [email protected]

Ik kijk uit naar ons gezamenlijke project.

☑️ Ondersteuning van het MKB op het gebied van strategie, advies, planning en implementatie

☑️ Opstellen of herzien van de digitale strategie en digitalisering

☑️ Uitbreiding en optimalisatie van internationale verkoopprocessen

☑️ Wereldwijde en digitale B2B-handelsplatformen

☑️ Pionier in bedrijfsontwikkeling / marketing / PR / beurzen