Terugblik MEET UP XL - Cyber en AI

Shadow AI: de opmars van de onzichtbare collega

Sjoerd van Veldhuizen (sociaal psycholoog) en Maarten Timmerman (CEO) van Awareways namen de zaal mee in de wereld van Shadow AI, het gebruik van AI-tools die niet door de organisatie zijn goedgekeurd. Denk aan ChatGPT, Gemini of andere tools die medewerkers zelf installeren of gewoon via de browser openen.

De cijfers zijn niet mis. Volgens onderzoek van Microsoft en LinkedIn gebruikt 59% van de medewerkers Shadow AI, terwijl maar 16% werkt met goedgekeurde AI-tools. Tegelijkertijd weet 89% van de medewerkers eigenlijk wel hoe het hoort. De kennis is er dus, maar toch gaat het regelmatig mis met soms flinke gevolgen. Phishing mails die inspelen op AI-angst worden inmiddels vijf keer zo vaak aangeklikt als twee jaar geleden. En als zo'n phishing aanval lukt via Shadow AI, dan is de schade gemiddeld 670.000 dollar hoger dan bij een gewoon datalek (IBM, 2025).

Awareways hanteert daarom een opvallende boodschap: verbied het niet, maar maak het makkelijker om het goed te doen. Shadow AI vult namelijk een menselijke behoefte in. Mensen kiezen nu eenmaal voor de oplossing die de minste moeite kost, ook als die eigenlijk niet helemaal toegestaan is. Als de goedgekeurde tool ingewikkelder is dan ChatGPT, verlies je het gevecht al voordat het is begonnen.

De sleutel zit in gedragsverandering op vier lagen tegelijk: structuur en systemen aanpassen, bewustzijn vergroten, gedrag beïnvloeden en een cultuur opbouwen waarin veilig AI-gebruik de norm is. Daarvoor gaven ze vijf concrete stappen mee: inventariseer welke AI-tools er al worden gebruikt, faciliteer minstens één veilige en toegankelijke AI-tool, stel een duidelijk en kort AI-beleid op, train medewerkers in effectief gebruik, en geef zelf het goede voorbeeld.

AI gedreven cybercrime: is jouw organisatie voorbereid?

Sebastiaan de Vries, Head of Technology Services bij Orange Cyberdefense, gaf een scherpe analyse van hoe AI het dreigingslandschap verandert. En niet per se in ons voordeel.

Generatieve AI maakt aanvallen sneller, goedkoper en overtuigender. Criminelen en staatsgerelateerde actoren gebruiken AI al volop voor phishing, malware-ontwikkeling en desinformatie. Phishingmails zijn daardoor nauwelijks meer te onderscheiden van echte communicatie. Tegelijkertijd opent elk AI-systeem dat je als organisatie inzet een nieuw aanvalsoppervlak: van de inputs van het model tot de plugins, dataverbindingen en leveranciersketen.

De cijfers uit de Orange Cyberdefense Security Navigator 2026 zijn veelzeggend. Het aantal detecties per klant steeg het afgelopen jaar met 20%. De meeste incidenten komen van binnenuit (57%), en de meest voorkomende dreiging is ongeautoriseerd software- en AI-gebruik (43% van alle detecties). Voor het MKB geldt dat malware (47%) en spyware (20%) de grootste dreigingen vormen.

Er is een groot verschil tussen iets detecteren en er ook echt last van hebben. Veel alarmen zijn ruis. Maar de echte incidenten zijn er wel degelijk, en dreigingen komen van zowel buiten als binnen. Zijn advies is daarom om de basis op orde te houden.

In de workshop gingen deelnemers zelf aan de slag met een verkorte versie van de methode die grote internationale organisaties gebruiken om hun IT-landschap veilig te houden: van bedrijfsdoel naar primair proces, naar IT-systemen, naar concrete maatregelen.