De nieuwste dreiging voor organi­sa­ties komt niet van de mens, maar van de algoritmes die ze inzetten. Anders dan AI-systemen die vooral infor­matie genereren of aanbe­ve­lingen doen, kunnen AI-agents zelfstandig acties uitvoeren in bedrijfs­ap­pli­ca­ties. Zonder scherp toezicht en speci­fieke bevei­li­ging leiden fouten of misbruik direct tot datalekken en opera­ti­o­nele versto­ringen. Orange Cyber­de­fense waarschuwt dan ook dat de snelle opkomst van AI-agents een nieuwe ‘insider threat’ creëert.

AI-agents kunnen organi­sa­ties veel werk uit handen nemen door autonoom infor­matie op te halen, te combi­neren en taken uit te voeren. De bevei­li­ging van deze systemen loopt echter vaak achter op de snelheid van de imple­men­tatie. Orange Cyber­de­fense identi­fi­ceert vier nieuwe risico’s:

1. Ongecontroleerde toegang tot systemen

AI-agents hebben vaak toegang tot meer infor­matie dan strikt nodig is voor het uitvoeren van hun taken. Ze maken daarbij geen onder­scheid tussen relevante data en gevoe­lige infor­matie die niet voor de speci­fieke taak bedoeld is. Waar een medewerker zich nog afvraagt of het verstandig is om salaris­ge­ge­vens te mailen naar de marke­ting­af­de­ling, mist een AI-agent dit morele kompas. Hierdoor kan bedrijfs­ge­voe­lige infor­matie onbedoeld worden verwerkt of gedeeld.

2. Verkeerde of misleidende input

Waar een medewerker kriti­sche vragen kan stellen bij een ‘vreemde opdracht’, handelt een agent blinde­lings op basis van de infor­matie die hij ontvangt (e‑mails, documenten, queries). Als deze input onvol­ledig of kwaad­aardig is, kan de agent besluiten om extra data op te halen, veilig­heids­pro­to­collen te omzeilen of data op de verkeerde plek te publi­ceren. De agent wordt in feite ‘verkeerd aange­stuurd’ door de data zelf.

3. Autonome kettingreactie van fouten

AI-agents werken met een snelheid die mense­lijke controle lastig maakt. Daardoor kan een fout in een vroege stap ongemerkt doorwerken in een keten van autonome acties en zich ontwik­kelen tot een groter incident.

4. Onmogelijkheid tot reconstructie

Bij een mense­lijke insider is doorgaans te achter­halen waarom een bepaalde beslis­sing is genomen. Bij AI-agents is die logica vaak minder trans­pa­rant en moeilijker te recon­stru­eren. Daardoor zijn incidenten moeilijker te onder­zoeken en is het lastiger om te bepalen waar het misging en hoe een organi­satie dit in de toekomst voorkomt.

Bestaande securityprincipes consequenter toepassen

Volgens Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyber­de­fense, vraagt de inzet van AI-agents niet om compleet nieuwe securi­ty­prin­cipes. Wel vraagt het om een veel conse­quen­tere toepas­sing van bestaande principes zoals least privi­lege, zero trust, logging en monito­ring, aange­vuld met duide­lijke en onafhan­ke­lijke vangrails.

“Waar organi­sa­ties voor medewer­kers en tradi­ti­o­nele systemen vaak al duide­lijke kaders hebben, gebeurt de inzet van AI-agents in de praktijk nog te vaak ad hoc. Juist daar ontstaat risico.” Van der Wel-ter Weel geeft deze drie aandachts­punten als belang­rijk aan:

• Geef iedere AI-agent een duide­lijke identi­teit, rol en afbakening

Organi­sa­ties werken al langer met uitgangs­punten als least privi­lege, zero trust en duide­lijke taakaf­ba­ke­ning: geef mensen en systemen alleen toegang tot wat nodig is, onder de juiste voorwaarden en voor een duide­lijk doel. Een AI-agent vormt daarop in wezen geen uitzondering.

Deze principes worden bij AI-agents in de praktijk nog niet altijd even conse­quent toege­past. Organi­sa­ties experi­men­teren vaak snel met nieuwe agent­func­ti­o­na­li­teit, zonder scherp vast te leggen welke taak een agent precies heeft, welke data daarvoor nodig zijn en binnen welke grenzen die mag handelen. Daardoor ontstaat het risico dat een agent meer toegang of hande­lings­ruimte krijgt dan nodig is.

• Zorg dat beslis­singen van AI-agents herleid­baar zijn

Voor AI-agents is het niet genoeg om alleen vast te leggen welke acties zijn uitge­voerd. In veel organi­sa­ties registreren logging- en SIEM-systemen al wat een systeem doet, maar daarmee is nog niet duide­lijk waarom een agent tot een bepaalde actie of beslis­sing kwam.

Juist dat maakt AI-agents risico­voller. Wanneer een agent gevoe­lige infor­matie deelt of op basis van verkeerde input een fout besluit neemt, moet een bedrijf kunnen recon­stru­eren welke input, bronnen en context daarbij een rol speelden.

Dat vraagt om meer dan tradi­ti­o­nele logging. Niet alleen de uitge­voerde actie moet zicht­baar zijn, maar ook de afweging daarachter. Alleen met dat niveau van herleid­baar­heid kunnen organi­sa­ties incidenten goed onder­zoeken, verant­woor­de­lijk­heid vaststellen en maatre­gelen nemen om dezelfde fout niet opnieuw te laten ontstaan.

• Richt waar nodig realtime controle en mense­lijke tussen­komst in

Omdat AI-agents autonoom en op hoge snelheid handelen, is vooraf bepalen wat zij mogen doen niet altijd voldoende. Organi­sa­ties moeten daarom ook tijdens de uitvoe­ring grenzen kunnen stellen aan acties met een grote impact op de operatie, de finan­ciën of compliance.

Denk bijvoor­beeld aan het delen van gevoe­lige infor­matie, het aanpassen van rechten, het wijzigen van systemen of het starten van externe commu­ni­catie. Voor dit soort hande­lingen moet duide­lijk zijn wanneer een extra controle, goedkeu­ring of mense­lijke tussen­komst nodig is.

De vraag is niet alleen of een agent toegang heeft, maar ook of een actie op dat moment verant­woord is. Zo voorkom je dat een AI-agent binnen zijn rechten tóch schade veroorzaakt.

“Veel organi­sa­ties experi­men­teren al met AI-agents, maar hebben nog onvol­doende zicht op hun rechten, hun gedrag en hun impact”, zegt Van der Wel-ter Weel. “Het risico is dat bedrijven deze systemen niet alleen te snel invoeren, maar ook dat ze deze zonder duide­lijke afbake­ning, toezicht en verant­woor­ding inzetten. Zo kan AI-agent-sprawl ontstaan: een wildgroei aan agents zonder centraal overzicht, duide­lijke grenzen of eigenaarschap.”

Van der Wel-ter Weel roept organi­sa­ties op om nu beleid te ontwik­kelen voor de inzet van AI-agents, inclu­sief training, bewust­wor­ding, gover­nance en een centraal overzicht van de toepas­singen, verant­woor­de­lijk­heden en risico’s. Dat beleid moet verder­gaan dan techniek alleen: het raakt ook ethiek, compli­ance en leider­schap. “Wie bestaande security- en gover­nan­ce­prin­cipes nu ook conse­quent toepast op AI-agents, voorkomt dat snelheid en gemak de overhand krijgen op controle.”