Exposure First: cybersecurity in het tijdperk van AI

09 juni 2026

Afgelopen donderdag (4 juni) vond de 5e editie van de Cybersecurity Summit plaats. Een dag waarop klanten, partners en securityprofessionals samenkwamen om stil te staan bij de ontwikkelingen die het cybersecuritylandschap op dit moment fundamenteel veranderen.

Deze blog is geschreven door Ronald Kingma en verwoordt de rode draad van de dag: AI versnelt het speelveld, exposure bepaalt waar organisaties geraakt kunnen worden en eigenaarschap bepaalt of er op tijd wordt gehandeld.

We staan aan het begin van een nieuw tijdperk. Een tijdperk waarin AI niet langer alleen helpt met het schrijven van teksten, het samenvatten van documenten of het analyseren van code. AI ontwikkelt zich razendsnel richting systemen die kunnen redeneren, plannen, tools gebruiken en zelfstandig taken uitvoeren in digitale omgevingen.

Dat biedt enorme kansen. Voor organisaties, ontwikkelaars, securityteams en de business. Maar dezelfde versnelling verandert ook het dreigingslandschap. Want als verdedigers toegang krijgen tot krachtige AI, krijgen aanvallers die uiteindelijk ook.

De vraag is daarom niet meer of AI impact heeft op cybersecurity. De vraag is: weten organisaties eigenlijk waar AI hun risico’s al verandert?

AI vergroot niet alleen mogelijkheden, maar ook exposure

AI maakt organisaties sneller. Medewerkers gebruiken AI-tools om efficiënter te werken, developers gebruiken AI bij het schrijven of controleren van code en securityteams gebruiken AI om sneller signalen te analyseren. Tegelijkertijd ontstaan er nieuwe lagen in de digitale organisatie.

Denk aan prompts waarin mogelijk gevoelige informatie wordt ingevoerd. Aan modellen die publiek, privaat of via SaaS-oplossingen worden gebruikt. Aan AI-agents die namens gebruikers acties mogen uitvoeren. Aan bedrijfsdata die wordt verrijkt, gedeeld of onbedoeld blootgesteld. En aan shadow AI: tools die medewerkers gebruiken zonder governance, logging of risicobeoordeling.

Daarmee ontstaat een nieuwe realiteit. AI vergroot niet alleen wat we kunnen, maar ook waar we kwetsbaar zijn.

AI verkort de tijd

Waar aanvallen vroeger veel tijd, specialistische kennis en handwerk vereisten, verlaagt AI de drempel. Met de juiste intentie en een goede prompt kunnen aanvallers sneller verkennen, overtuigender communiceren, code genereren, kwetsbaarheden analyseren en aanvalspaden combineren.

Dat betekent niet dat iedere aanvaller ineens een expert is. Maar het betekent wel dat het tempo verandert. Aanvallen worden sneller. Kwetsbaarheden worden sneller gevonden. Exploits verspreiden zich sneller. En organisaties krijgen steeds minder tijd om te reageren.

Als AI de aanvalsketen versnelt, exposure continu verandert en de hoeveelheid signalen blijft groeien, kunnen organisaties niet blijven vertrouwen op volledig handmatige en lineaire securityprocessen. Niet omdat mensen tekortschieten, maar omdat het speelveld te snel is geworden.

Van SOC naar Agentic SOC

Veel security operations centers werken nog steeds grotendeels sequentieel. Er komt een alert binnen. Een analist onderzoekt. Iemand verzamelt context. Iemand correleert signalen. Iemand bepaalt de prioriteit. Daarna volgt pas actie.

In een wereld waarin aanvallen steeds sneller verlopen, wordt die keten kwetsbaar.

Daarom ontstaat de beweging richting een Agentic SOC. Dat betekent niet dat mensen worden vervangen door AI. Het betekent dat AI-agents worden ingezet om mensen sneller en beter te laten beslissen. Agents kunnen helpen met triage, context verzamelen, verbanden leggen, prioriteiten bepalen en response-acties voorbereiden.

De waarde zit dus niet in blind automatiseren. De waarde zit in sneller begrijpen wat er gebeurt, welke risico’s ertoe doen en welke actie nodig is.

Maar een Agentic SOC werkt alleen als je weet waar je exposure zit.

Exposure Management als basis

Exposure Management is geen scan. Het is ook geen dashboard. Het is een continu proces waarmee organisaties steeds opnieuw bepalen waar zij risico lopen, wat belangrijk is en wat als eerste moet worden aangepakt.

Het begint bij ontdekken: wat hebben we eigenlijk? Welke systemen, applicaties, identiteiten, cloudomgevingen, accounts, koppelingen en AI-tools zijn onderdeel van onze digitale voetafdruk?

Daarna volgt beoordelen: wat is bereikbaar, kwetsbaar of verkeerd geconfigureerd? Vervolgens komt prioriteren: welke risico’s hebben daadwerkelijk business impact? Daarna pas volgt remediation: wat pakken we eerst aan? En tot slot validatie: is het risico echt weg?

Die volgorde is essentieel. Want niet alles wat kwetsbaar is, is urgent. Maar alles wat exposed is en impact kan veroorzaken, vraagt om actie.

Context maakt het verschil

Een kwetsbaarheid op zichzelf is nog geen incident. Een gebruiker op zichzelf ook niet. Maar combineer een exposed systeem met een account met te veel rechten, een overtuigende aanval en onvoldoende detectie, en ineens ontstaat er geen technisch probleem meer. Dan ontstaat er business impact.

Daarom is context zo belangrijk.

Een kwetsbaarheid op een intern testsysteem zonder gevoelige data vraagt om een andere prioriteit dan dezelfde kwetsbaarheid op een internet-facing applicatie die gekoppeld is aan klantgegevens. Een gebruiker die beperkte rechten heeft vormt een ander risico dan een gebruiker met toegang tot kritieke systemen. Een phishingmail is vervelend, maar wordt pas echt gevaarlijk wanneer gedrag, rechten en technische exposure samenkomen.

Exposure Management gaat dus over meer dan kwetsbaarheden. Het gaat over het begrijpen van samenhang.

Human Risk Management: de menselijke kant van exposure

In cybersecurity wordt vaak gezegd dat mensen de zwakste schakel zijn. Dat is te makkelijk.

Mensen werken in systemen die steeds complexer zijn geworden. Ze hebben te maken met veel tools, hoge werkdruk, onduidelijke processen, brede toegangsrechten en steeds overtuigendere aanvallen. Het probleem is vaak niet de mens zelf, maar de context waarin die mens moet handelen. Mensen zijn daarom niet de zwakste schakel.

Human Risk Management kijkt daarom verder dan awareness alleen. Het gaat niet om nog een phishingtraining of een jaarlijkse e-learning. Het gaat om begrijpen waar gedrag, rechten, systemen en omstandigheden samen risico creëren.

Wie heeft toegang tot welke data? Welke gebruikers zijn aantrekkelijk voor aanvallers? Waar is te veel privilege opgebouwd? Welke processen maken misbruik eenvoudig? En waar kunnen we de omgeving zo inrichten dat veilig gedrag vanzelfsprekender wordt?

Ook hier geldt: exposure bepaalt waar je geraakt kunt worden.

Cybersecurity is geen IT-feestje meer

De impact van cybersecurity ligt allang niet meer alleen bij IT. Wanneer dienstverlening stilvalt, raakt dat de operatie. Wanneer klantdata wordt geraakt, raakt dat vertrouwen. Wanneer systemen niet beschikbaar zijn, raakt dat omzet. Wanneer wet- en regelgeving wordt overtreden, raakt dat compliance en aansprakelijkheid.

De impact zit in de business. Dus de verantwoordelijkheid hoort daar ook te liggen.

Dat betekent niet dat IT of security minder belangrijk worden. Integendeel. Hun expertise is onmisbaar. Maar cybersecurity moet worden besproken als risicovraagstuk op directieniveau. Welke risico’s accepteren we? Welke risico’s reduceren we? Waar investeren we? Wie is eigenaar? En hoe weten we of maatregelen daadwerkelijk werken?

Met de komst van regelgeving zoals NIS2 wordt dit nog explicieter. Cybersecurity hoort op de directieagenda, niet als technische update, maar als gesprek over continuïteit, verantwoordelijkheid en risicosturing.

De nieuwe realiteit vraagt om discipline

AI versnelt het speelveld. Dat is de realiteit. Aanvallers bewegen sneller, tools worden krachtiger en de digitale voetafdruk van organisaties groeit continu.

Maar sneller is niet automatisch veiliger. Sterker nog: snelheid zonder overzicht vergroot risico.

Daarom vraagt het AI-tijdperk om de discipline van risicomanagement. Om continu inzicht in exposure. Om prioritering op basis van business impact. Om samenwerking tussen security, IT en directie. En om eigenaarschap op de plekken waar de impact daadwerkelijk gevoeld wordt.

Want je kunt niet beschermen wat je niet ziet.

AI versnelt het speelveld. Exposure bepaalt waar je geraakt wordt. Eigenaarschap bepaalt of je op tijd handelt.

Exposure First.

ExposureFirst