Aan het einde van elk jaar publiceert Fortinet zijn Global Threat Landscape Report, waarin de gebeurtenissen van het afgelopen jaar worden samengevat en het cybersecuritylandschap voor het komende jaar wordt voorspeld. Dit jaar voltooide het bedrijf zijn eerste jaarlijkse CISO Forecast, die loopt tot 2026.
AI stimuleert innovatie, maar brengt ook risico's met zich mee
AI transformeert bijna elk bedrijf, niet alleen door taken te automatiseren, maar ook door de manier waarop beslissingen worden genomen, hoe waarde wordt gecreëerd en hoe bedrijven concurreren te veranderen. De voordelen die AI met zich meebrengt, inclusief het vermogen om innovatie te stimuleren, lijken geen grenzen te kennen.
Brede technologische veranderingen waren traditioneel het domein van IT-teams (informatietechnologie). De nieuwe golf van generatieve AI (GenAI) transformeert echter de technologie en legt de controle in handen van teams in productie, verkoop, financiën en IT. Elke afdeling benut de kracht van AI om de efficiëntie te verhogen door processen te automatiseren, de schaalbaarheid te verbeteren, betere besluitvorming mogelijk te maken en een meer gepersonaliseerde klantervaring te bieden.
Deze verandering brengt echter ook nieuwe risico's met zich mee:
Gebrek aan transparantie: veel AI-modellen zijn ondoorzichtig, waardoor het lastig is te interpreteren hoe het systeem beslissingen neemt. Dit kan leiden tot uitdagingen op het gebied van verantwoording en naleving.
Privacy en datamisbruik: AI vereist het uploaden van grote, vaak gevoelige datasets naar AI-cloudsystemen. Als gebruikers niet voldoende worden voorgelicht over de risico's, kan dit leiden tot het lekken van gevoelige persoonlijke informatie of intellectuele eigendom, wat kan leiden tot privacyschendingen of overtredingen van de regelgeving.
Beveiligingslek
Tegenaanvallen: subtiele manipulatie van invoergegevens (zoals afbeeldingen, tekst, audio) om het model te misleiden en zo valse voorspellingen te doen.
Modelinversie en -extractie: door modelquery's toe te passen, kunnen aanvallers gevoelige trainingsgegevens opnieuw creëren of het model zelf kopiëren, zoals het extraheren van individuele gezichten uit AI voor gezichtsherkenning.
Datavergiftiging: Het manipuleren van data om deze te dwingen onjuiste voorspellingen te doen.
Prompt Injection-aanvallen: omzeil barrières door verborgen instructies in tekst of webpagina's op te nemen, waardoor AI-systemen beveiligingsregels omzeilen of gegevens lekken.
Zwakke identiteit en authenticatie: Agent AI kan ervoor zorgen dat meerdere agenten elkaar kunnen bevragen, autonome, rationele beslissingen kunnen nemen en acties kunnen uitvoeren om specifieke doelen te bereiken, vaak zonder menselijke tussenkomst.
Het gebruik van AI voor schadelijke doeleinden
Misinformatie en deepfake-diensten. Er zijn veel gevallen geweest van misinformatie die gebruikt werd om mensen onnodig te beïnvloeden, met name tijdens de Brexit in het Verenigd Koninkrijk. De kracht van AI heeft dit naar een hoger niveau getild met diensten zoals OpenAI DALL-E en Sora 2, die het gemakkelijk maken om audio-, beeld- en videobestanden te maken die bijna niet van echt te onderscheiden zijn.
Voorspelling: Deepfake-diensten zullen de inbreuk op zakelijke e-mails en social engineering naar een hoger niveau tillen. In 2024 en 2025 zagen we een duidelijke verschuiving in de kwaliteit van phishing-e-mails, waarbij AI zorgvuldig opgestelde, zeer gerichte e-mails creëerde die steeds moeilijker te detecteren zijn.
Het gebruik van door AI gegenereerde audio is al waargenomen bij chantagepogingen, maar tegen 2026 zullen organisaties naar verwachting te maken krijgen met een enorme hoeveelheid audio- en videocontent die wordt gebruikt voor het compromitteren van zakelijke e-mail, phishing en andere gerichte aanvallen. Als zoveel mensen al slachtoffer zijn geworden van sms-aanvallen, met miljarden dollars aan verliezen tot gevolg, stel je dan eens voor hoeveel mensen er dan in de val zullen lopen en een telefoontje of zelfs een videogesprek zullen ontvangen van een CEO met het verzoek om geld over te maken.
Fortinet voorspelt dat de waarde van zakelijke e-mailphishing en andere vormen van oplichting in het komende jaar sterk zal toenemen, met veel opvallende en waardevolle aanvallen.
Vooraf geplande aanvallen
In 2024 en 2025 zal de activiteit van natiestaten die gericht is op het stelen van gevoelige gegevens en het heimelijk aanwezig houden binnen organisatienetwerken aanzienlijk toenemen. Gezien de huidige geopolitieke spanningen wereldwijd voorspelt Fortinet dat deze activiteit in 2026 zal toenemen, aangezien natiestaten hun positie in het wereldwijde ecosysteem willen consolideren.
De volgende generatie beveiligingsprofessionals
Generatie Z (geboren tussen 1997 en 2012) is al stevig op de arbeidsmarkt, en Generatie Alpha (geboren tussen 2013 en 2029) zal de komende jaren de arbeidsmarkt betreden. Dit zijn de eerste iPad-generaties die zijn opgegroeid met Instagram, Snapchat en TikTok.
Deze huidige en toekomstige werknemers zijn niet bekend met traditionele 'zakelijke' technologieën zoals e-mail. Omdat veel nieuwe werknemers opgroeien in een digitaal tijdperk waarin informatie overvloedig aanwezig is, maar de aandachtsspanne beperkt wordt door platforms zoals TikTok, YouTube en Instagram, moeten we onze aanpak van werving, training en uiteindelijk ook banen aanpassen. Erger nog, de snelle ontwikkeling van AI vervangt veel van de instapfuncties die pas afgestudeerden in het verleden bekleedden. Dit betekent dat er geen opstap meer is naar hogere functies, waar nog steeds veel vraag naar is.
Als we ons niet aanpassen aan deze veranderingen, lopen we het risico dat we de volgende generatie cybersecurityprofessionals uitsluiten.
Quantum - Een onvoorspelbare uitdaging
Quantum computing is een verwarrende technologie voor CISO's om te navigeren en plannen voor te maken. Het is complex, anders dan alles wat we gewend zijn. En hoewel het bijna onmogelijk te begrijpen is, zijn de directe risico's nog niet duidelijk, aangezien een quantumcomputer die de huidige encryptie kan kraken waarschijnlijk meer dan 10 jaar op zich laat wachten (tenzij er een plotselinge technologische sprong voorwaarts plaatsvindt, wat altijd mogelijk is).
Vereisten voor elke Chief Information Security Officer
2026 zal elke aanname over hoe we ons verdedigen, herstellen en aanpassen aan het huidige, voortdurend veranderende dreigingslandschap op de proef stellen. Het tempo van verandering neemt (opnieuw) toe, AI is nu zowel een wapen als een schild, geopolitieke spanningen sijpelen door naar bedrijfsnetwerken en de grens tussen IT-risico en bedrijfsrisico vervaagt.
CISO's moeten eerst veerkracht opbouwen. Ga ervan uit dat verstoring onvermijdelijk is en investeer in bedrijfscontinuïteit, segmentatie en herstelbereidheid.
Beschouw AI als een beheerde mogelijkheid, niet als een snelle oplossing. Gebruik het om detectie en respons te verbeteren, maar bescherm modellen, data en toegang met dezelfde strengheid als elk ander kritisch systeem.
Identiteit overal versterken. Naarmate menselijke en machinale actoren toenemen, moeten niet-menselijke identiteiten continu worden beveiligd en geverifieerd.
Versterk de samenwerking. Doorbreek de kloof tussen beveiliging, operations en leiderschap. Veerkracht is afhankelijk van gedeeld begrip en een gezamenlijke reactie.
Blijf op de hoogte en pas je aan. Criminelen innoveren snel naarmate de technologie evolueert. Continue ontwikkeling en testen zijn daarom kernprincipes van beveiliging geworden.
De rol van de CISO is nog nooit zo breed en belangrijk geweest. Succes in 2026 zal toekomen aan degenen die technische expertise kunnen combineren met strategische visie, en beveiliging kunnen transformeren van een reactieve functie naar een kracht die veerkracht, vertrouwen en groei stimuleert.
Bron: https://doanhnghiepvn.vn/chuyen-doi-so/nhung-thach-thuc-cac-giam-doc-an-ninh-thong-tin-se-phai-doi-mat-trong-nam-2026/20251126034618176
Reactie (0)