Cybersecuritybedrijf Fortinet meldt in een nieuw rapport een groeiende kloof in de beveiliging van applicaties, API’s en AI-workloads. Organisaties in Europa en Nederland bouwen razendsnel nieuwe digitale diensten, maar de bescherming groeit niet mee. Dat vergroot het risico op datalekken en verstoringen, terwijl de AVG, NIS2 en de Europese AI-verordening strenger toezicht brengen. Dit speelt nu, met Europese AI-verordening gevolgen overheid en bedrijven.
Beveiliging loopt achter bij AI
Bedrijven zetten steeds vaker algoritmen in om processen te versnellen, maar doen dat vaak zonder volledige beveiliging. AI wordt ingezet in klantenservice, fraudeopsporing en productiviteitstools. De controles op data, modellen en toegang blijven daarbij achter. Dat vergroot de kans op misbruik en fouten.
AI-workloads zijn modellen, data en rekenprocessen die in productie draaien, vaak in de cloud of in containers.
Kwetsbaarheden ontstaan in de hele keten: van dataverzameling en training tot het gebruik van het model. Denk aan diefstal van trainingsdata, manipulatie van modelbestanden en misbruik van inference-API’s. Voor generatieve AI spelen ook prompt-injecties en datalekken mee. Logging en toetsing ontbreken vaak of zijn versnipperd.
Bescherming vraagt om basismaatregelen zoals sterke toegangsrechten, versleuteling en netwerksegmentatie. Ook zijn controles op modelwijzigingen nodig, plus monitoring van uitkomsten en misbruik. Zonder dit blijft de betrouwbaarheid onduidelijk. Dat is extra gevoelig onder de AVG, waar dataminimalisatie en doelbinding gelden.
API’s zwakke schakel
API’s, koppelingen tussen software, groeien sneller dan teams ze kunnen beheren. Veel organisaties weten niet precies welke API’s draaien, of wie toegang heeft. “Shadow API’s” buiten het zicht blijven een risico. Dit leidt tot lekken en misbruik van sleutels.
Een actuele inventaris is de basis: automatisch ontdekken, labelen en uitfaseren van oude endpoints. Strikte authenticatie en autorisatie horen daarbij, bijvoorbeeld via OAuth of mTLS. Validatie van invoer en schema’s voorkomt dat foutieve data systemen omver trekt.
Specifieke bescherming helpt het webverkeer te filteren. Web Application and API Protection (WAAP) bundelt firewall, botbeheer en API-beveiliging in één laag. Rate limiting, threat feeds en anomaly-detectie verlagen de kans op uitval. Testen met SAST en DAST (automatische code- en runtime-tests) voorkomt fouten vroeg in de keten.
Complexe cloud belemmert zicht
Multicloud en containers maken het lastig om alles te overzien. Teams gebruiken veel losse tools, die niet goed samenwerken. Dit “toolsprawl” vertraagt reactie op incidenten. Het tekort aan securityspecialisten versterkt het probleem.
Een Cloud-Native Application Protection Platform (CNAPP) kan zicht en beleid bundelen. Zo’n platform koppelt configuratiecontroles, kwetsbaarhedenscans en runtime-bewaking. Eén beleid over meerdere clouds geeft minder gaten. Telemetrie uit applicaties, API’s en AI-pijplijnen komt zo bij elkaar.
Zero-trust helpt ook: verleen alleen het hoogstnoodzakelijke toegang en verifieer continu. Geheimenbeheer voor API-sleutels en tokens is een randvoorwaarde. En voer regelmatige hersteltesten uit, zodat back-ups en failover echt werken. Zonder oefenen blijft crisisrespons een papieren plan.
AI-verordening raakt ook overheid
De Europese AI-verordening (AI Act) verplicht risicobeheer, datagovernance en logging voor hoog-risico systemen, op het moment van schrijven in de afrondende invoering. Overheden en publieke diensten vallen daar vaak onder, bijvoorbeeld bij inzet van algoritmen voor toekenning of toezicht. Transparantie over dataherkomst en modelprestaties wordt dan verplicht. Ook moeten gebruikers geïnformeerd worden over het gebruik van AI.
NIS2, de vernieuwde Europese cyberrichtlijn, vraagt om strengere basisbeveiliging en snelle melding van incidenten. Veel vitale en belangrijke organisaties in Nederland gaan hieronder vallen. Zij moeten ketenrisico’s van toeleveranciers en clouddiensten adresseren. API- en AI-beveiliging worden daarmee bestuurlijke thema’s, niet alleen technische.
De AVG blijft leidend bij verwerking van persoonsgegevens. Dat betekent dataminimalisatie, duidelijke doelen en rechten van betrokkenen. Voor sommige toepassingen is een Data Protection Impact Assessment (DPIA) nodig. Zonder goede logging en dataclassificatie is naleving nauwelijks aantoonbaar.
In Nederland publiceren NCSC en Digital Trust Center praktische handreikingen. Sectorregels zoals DORA gelden daarbovenop voor financiële instellingen. Harmonisatie van beleid en tooling bespaart kosten en auditdruk. Dit vraagt om samenwerking tussen CISO, data team en juridische afdeling.
Aanpak: van ontwerp tot runtime
Beveilig op drie lagen: code, pipeline en productie. Begin met “security by design”: dreigingsmodellen, codebeoordeling en geautomatiseerde tests. Voeg SAST/DAST toe in de CI/CD-pijplijn, zodat fouten vroeg worden gevonden. Maak voor elke applicatie en AI-pipeline een Software Bill of Materials (SBOM), een “ingrediëntenlijst” van gebruikte componenten.
Voor API’s hoort daar automatische discovery, versleuteling en strikte versiecontrole bij. WAAP en API-gateways bieden centrale policies en zicht. Voor AI-workloads geldt: registreer modellen, beheer datasets en versies, en beperk toegang tot gevoelige prompts en uitkomsten. Test modellen met red-teaming om misbruik en bias te vinden.
In productie is continue bewaking nodig: anomaliedetectie, rate limiting en break-glass procedures. Versleutel data in rust en tijdens transport. Houd geheimen veilig in een kluis en roteer sleutels automatisch. Automatiseer rollback als een update risico’s verhoogt.
Tot slot: train teams en koppel meetbare doelen aan beleid. Meet tijd tot detectie en herstel, en audit-logdekking. Koppel compliance-eisen (AI Act, AVG, NIS2) aan technische controles in dashboards. Zo groeit beveiliging wél mee met applicaties, API’s en AI-systemen.