Claude Mythos: het water stijgt, maar hebben we onze digitale deltawerken op orde?

Een dreiging die je ziet aankomen, maar niet kunt stoppen met oude middelen

Nederland heeft niet gewacht tot het water opnieuw toesloeg. Na de watersnoodramp werden de deltawerken gebouwd, niet als reactie op één incident, maar als antwoord op een structureel risico. Een dreiging die je niet elke dag ziet, maar waarvan je weet dat die ooit terugkomt.

In cybersecurity bevinden we ons op een vergelijkbaar moment.

Met de opkomst van AI en concepten zoals Claude Mythos stijgt het digitale waterpeil in hoog tempo. Niet in de vorm van één allesverwoestende aanval, maar als een constante, steeds sneller stromende stroom van nieuwe kwetsbaarheden, complexiteit en systemen die zich moeilijk laten doorgronden.

Waar de storm begint: AI bij hyperscalers

Wat deze ontwikkeling extra uitdagend maakt, is waar die vandaan komt. De nieuwste AI-capabilities ontstaan bij hyperscalers en grote technologiebedrijven. Daar worden ze ontwikkeld, getest en vervolgens razendsnel geïntegreerd in cloudplatformen, API’s en standaard tooling.

Voor organisaties voelt dat als innovatie, en dat is het ook, maar tegelijkertijd betekent het dat nieuwe risico’s zich net zo snel verspreiden. Wat op één plek ontstaat, wordt binnen de kortste keren onderdeel van duizenden omgevingen.

Zo ontstaat een situatie waarin het water niet alleen van buiten komt, maar ook via de infrastructuur die je zelf dagelijks gebruikt naar binnen stroomt.

De versnelling is ingezet, maar het effect moet nog zichtbaar worden

De eerste signalen van die versnelling zijn er al, maar de verwachting is dat deze ontwikkeling in de komende maanden nog zichtbaarder wordt. Nieuwe AI-capabilities worden in eerste instantie vooral door grote technologiebedrijven en hyperscalers zelf getest en doorontwikkeld, vaak met substantiële investeringen en vroege toegang tot deze technologie.

Pas wanneer deze toepassingen breder in productie worden genomen en de eerste grootschalige praktijkervaringen en analyses beschikbaar komen, naar verwachting vanaf de zomer, ontstaat een duidelijker beeld van de werkelijke impact. Dan wordt ook zichtbaar hoe snel het aantal kwetsbaarheden en misconfiguraties toeneemt. Niet als incident, maar als structurele trend.

De Mythos clock: tijd is de nieuwe kwetsbaarheid

Traditionele beveiliging is daar simpelweg niet op gebouwd. Het idee dat je kwetsbaarheden periodiek scant, prioriteert en vervolgens handmatig patcht, begint steeds meer te lijken op het stapelen van zandzakken terwijl het water al tegen de dijk slaat. De snelheid waarmee nieuwe kwetsbaarheden opduiken (en soms binnen zeer korte tijd worden misbruikt) maakt tijd tot de belangrijkste risicofactor.

De zogeheten “Mythos clock” tikt onverbiddelijk door: de tijd tussen het ontdekken van een kwetsbaarheid en het daadwerkelijk oplossen ervan bepaalt in toenemende mate je weerbaarheid. En juist daar wringt het bij veel organisaties. Niet omdat ze geen inzicht hebben, maar omdat opvolging te langzaam gaat.

Daarom zien we een duidelijke verschuiving. Niet alleen naar meer inzicht, maar naar directe actie. AI wordt niet alleen ingezet om risico’s te signaleren, maar ook om ze te duiden, te prioriteren en steeds vaker ook zelfstandig te mitigeren.

Van kwetsbaarheden naar iets fundamentelers: vertrouwen

Tot zover gaat het verhaal over snelheid en schaal. Maar er speelt iets diepers.

Naarmate AI-systemen autonomer worden, verandert niet alleen het aantal kwetsbaarheden, maar ook onze relatie met de systemen die we proberen te beveiligen. Het wordt steeds moeilijker om exact te begrijpen waarom systemen doen wat ze doen. Waar we vroeger konden vertrouwen op reproduceerbare processen, duidelijke logs en voorspelbaar gedrag, zien we nu systemen waarvan de interne besluitvorming minder transparant is en uitkomsten kunnen variëren afhankelijk van context.

Dat betekent dat er een nieuw type risico ontstaat. Niet alleen kwetsbaarheden die je kunt patchen, maar gedrag dat je niet volledig kunt verklaren. En daarmee verschuift cybersecurity van een technisch probleem naar een vertrouwensvraagstuk.

Want als je niet meer met zekerheid kunt zeggen waarom een systeem iets doet, of het consistent hetzelfde blijft doen, en of je detectie daadwerkelijk klopt, wat betekent “controle” dan nog?

De deltawerken, maar met bewegende fundamenten

Als we teruggaan naar de metafoor van de deltawerken, ontstaat er een ongemakkelijke gedachte.

We bouwen dijken. We automatiseren. We versnellen.

Maar wat als de ondergrond zelf begint te bewegen? Wat als de systemen waarop we vertrouwen om risico’s te detecteren, te prioriteren en te mitigeren zelf minder voorspelbaar worden?

Dan bouwen we mogelijk niet alleen tegen het water. Dan bouwen we op aannames.

Van IT-probleem naar boardroom-vraagstuk

Het is dan ook niet verrassend dat deze discussie verschuift naar de boardroom. De vragen veranderen.

Niet langer alleen:
hebben we onze kwetsbaarheden onder controle?

Maar steeds vaker:
hebben we nog grip op ons systeem als geheel?

Begrijpen we hoe beslissingen tot stand komen?
Kunnen we vertrouwen op wat we zien?
En misschien wel de belangrijkste: kunnen onze processen het tempo van verandering nog bijhouden?

Bouwen voordat het te laat is

Organisaties die nu investeren in automatisering, in beter inzicht in hun volledige aanvalsoppervlak en in een geïntegreerde aanpak van security, leggen feitelijk de fundering voor hun eigen digitale deltawerken. Niet als reactie op een incident, maar als voorbereiding op wat onvermijdelijk komt.

Bij Access42 zien we dagelijks hoe die omslag vorm krijgt. Organisaties die de stap maken van reageren naar structureel weerbaar worden. Van losse maatregelen naar een samenhangend geheel. Niet omdat het moet van compliance, maar omdat de realiteit het afdwingt.

De vraag die blijft hangen

Want uiteindelijk is de vergelijking met de deltawerken misschien wel simpel.

Het water stijgt.
En deze keer zien we het aankomen.

De vraag is niet of het komt.
De vraag is of jouw verdediging er al staat.

Maar misschien is dat niet eens de belangrijkste vraag.

Als het water sneller stijgt dan verwacht kun je dan snel genoeg reageren?

En als je reageert…
kun je er dan nog op vertrouwen dat je het juiste ziet?

Tijdens onze Cybersecurity Summit gaan we daar dieper op in. Niet alleen op de technologie, maar juist op de vraag hoe je als organisatie controle houdt in een wereld die steeds autonomer en sneller wordt.