Thomas Verwer, CEO & Founder Nedscaper

Denk even aan een zeepbel. Je blaast lucht in een dun laagje zeep en er ontstaat iets moois. Hoe harder je blaast, hoe meer belletjes je krijgt en hoe groter ze worden. Glimmend met regenboogkleuren in het licht, zeepbellen trekken de aandacht. Maar van binnen zit er één ding: lucht. Hoe groter een bel wordt, hoe dunner het velletje eromheen. Tot hij ineens knapt en er niets overblijft. En er zweven er sinds begin 2025 wel honderden op de markt.

Zo kijk ik op dit moment naar veel van de AI-verhalen in mijn vakgebied. Op de markt blaast iedereen zijn eigen belletje. Het durfkapitaal is de lucht die erin gaat: hoe meer geld erin wordt geblazen, hoe groter de bel wordt, hoe harder hij glimt en hoe meer hij opvalt. In cybersecurity zie ik het wekelijks: er staat weer een nieuwe AI-startup op die belooft dat een slimme agent voortaan je hele beveiliging regelt. Zonder mensen.

Dat klinkt allemaal indrukwekkend en natuurlijk weet ik ook dat cybersecurity fundamenteel gaat veranderen door AI. De disruptie is al gaande, vooralsnog met meer succes op aanvallend vlak dan op verdedigend. Pentesting is een mooi voorbeeld. Tegelijkertijd zie ik nog een ontwikkeling die serieus fundamenteel is. AI-modellen (zoals Mythos) worden steeds beter in het doorzoeken van enorme codebases en het herkennen van kwetsbaarheden die traditionele scanners missen. Dat gaat de komende jaren waarschijnlijk leiden tot een golf aan nieuwe patches, updates en mogelijk ook meer misbruik van zero-days, totdat het gebruik van AI in softwareontwikkeling net zo vanzelfsprekend wordt als eerdere beveiligingstechnieken zoals fuzzing en static code analysis. De echte vraag is alleen waar in de cybersecurityketen duurzame waarde ontstaat en waar je slechts naar een glimmende bel met lucht zit te kijken.

Veel geld, minder fundament

Laten we eerst even uitzoomen. Wie het macroplaatje van AI bekijkt, ziet een enorme geldverbrandingsmachine. Mensen die mij kennen zullen mijn beeldspraak gelijk herkennen “ruik je het”? Bedrijven die miljarden investeren tegenover een fractie daarvan aan omzet. Investeerders gaan er al vanuit dat een deel van de initiatieven zeepbellen zullen blijken die uiteindelijk knappen. Slechts een klein deel van de initiatieven zal solide blijken en de markt echt veranderen. En zo werkt de markt gewoon. Ook op de beurs zien we afgelopen weken de eerste scheurtjes ontstaan. Een klein aantal AI- en chipbedrijven draagt een onevenredig groot deel van de marktwaarde, terwijl waarderingen in sommige gevallen extreem zijn opgelopen. Tegelijkertijd zien we dat zelfs sterke resultaten niet altijd meer worden beloond; bedrijven als Broadcom leverden goede cijfers af, maar kregen alsnog een forse tik. Dat zijn klassieke signalen dat verwachtingen harder stijgen dan de onderliggende realiteit. Toch lijkt de AI-bubbel nog niet echt geknapt. Marktleiders als Nvidia zijn winstgevend, dominant en bouwen voort op een fundamentele technologische verschuiving. Wat we nu zien is geen crash, maar een verschuiving van ‘AI groeit koste wat kost’ naar een markt die steeds kritischer vraagt: waar zit de daadwerkelijke waarde en het aantoonbare rendement?

Precies diezelfde beweging zie ik in mijn eigen vakgebied. Heel veel AI-initiatieven in security zijn zeepbellen. Ze focussen pur-sang op detectie, of alleen automatische response. Of er zit een slim agentje op één klein stukje van de securityketen. De resultaten klinken dan indrukwekkend in een demo, maar een groot deel van die bellen gaat gewoon knappen. De techniek werkt, maar er zit gewoon teveel mascara en make-up op hun marketing waardoor de beloftes groter zijn dan de realiteit.

Maar hoe weet je nu welk initiatief waarde heeft en welke vooral mooi glimmende zeepbellen zijn? Daarvoor gebruik ik voor niet-techneuten vaak een heel simpel beeld: de vergelijking met je huis.

De inbreker staat al in de woonkamer

Cybersecurity is eigenlijk niets anders dan het beveiligen van een woning, maar dan digitaal. Je hebt drie dingen nodig:

• Preventie: een hek, een gracht, goede sloten, stevige deuren.

• Detectie: camera's en sensoren die patronen herkennen. Wie loopt er rond? Waar gebeurt iets vreemds?

• Response: de politie (of ons) bellen, deuren automatisch sluiten of een kamer afsluiten zodra iemand binnen is zodat die er niet met de buit vandoor kan. Vroeg indammen en isoleren.

Als ik de huidige AI-verhalen lees, valt me één ding op. Naast de primaire focus op het versimpelen van analysewerk gaat er ook heel veel aandacht naar die laatste stap: de automated response, nog meer dan het onderzoeken en detecteren, het automatisch ingrijpen als het mis gaat. Ook in recente marktonderzoeken, zoals dat van KuppingerCole, ligt de nadruk sterk op die autonome reactie. Het klinkt geweldig: een systeem dat zelf de inbreker in de boeien slaat.

Maar laten we het eens van dichterbij bekijken. Response is per definitie het moment waarop je al te laat bent. De inbreker is dan al binnen. De schade is misschien al deels veroorzaakt. Natuurlijk moet je daarna snel en goed kunnen reageren. Maar de vraag is: hadden we niet veel eerder kunnen zien dat iemand aan het hek stond te rammelen?

De echte waarde ligt in de hele keten

Daar zit voor mij de echte waarde van AI: niet enkel acteren als de inbreker al binnen is, maar door de hele keten. Door continu te leren van preventie-, detectie- én response-data tegelijk.

En daar zit meteen de voorwaarde. AI wordt pas echt krachtig als die data niet versnipperd is over allerlei losse tools, maar samenkomt in één samenhangend model. Als je het aan mij vraagt verschuift de focus van de markt zich meer naar preventie, mede door de hogere snelheid van alles rondom AI, aanvallers, vinden van kwetsbaarheden en bakken van exploits komt het vergrootglas nog meer op “voorkomen is beter dan genezen”. En dan vooral de geintegreerdheid van preventie, detectie en response als geheel. Als je dat holistisch kan samenbrengen tot een hogere cyberweerbaarheid met inzet van AI op de juiste plekken ben je koning.

Want stel je voor: je hebt sloten van leverancier A, camera's van B, sensoren van C en een alarm van D. Iedereen kijkt naar zijn eigen stukje en houdt zijn eigen lijstje bij. Je kunt daar best AI overheen leggen, maar die AI heeft dan moeite met het overzicht. De data is versnipperd en de samenhang ontbreekt. Elke leverancier kan dus wel AI toepassen, maar geen enkele krijgt daardoor het automatisch overzicht.

Werkt alles daarentegen vanuit één datastructuur samen, dan verandert het spel. Dan ziet de AI-tool al dat iemand zich vreemd gedraagt bij het hek, lang voordat hij in de woonkamer staat. Daarom vind ik een geïntegreerd platform zoals dat van Microsoft zo relevant. Want in een stevig geïntegreerd systeem gkan AI juist wel de samenhang tussen losse gebeurtenissen zien en correleren.

Waarom SOAR na tien jaar nog niet autonoom draait

Ja sorry voor de afkorting, maar zie hier. Maar stel dat je toch in een losse responsetool investeert, de volgende vraag is dan of je die autonoom wilt laten draaien. Daar is nog een reden waarom ik terughoudend ben als het gaat om de nieuwe automated response hype. En die reden is niet technisch.

Het automatisch reageren op aanvallen, in vaktaal SOAR, bestaat namelijk al zo'n tien jaar. Dat komt niet ineens bovendrijven door AI. Toch is het nooit echt volledig doorgebroken. Waarom niet? Omdat bestuurders een leverancier zelden het mandaat durven te geven om op eigen houtje accounts te sluiten, servers te isoleren of een productieomgeving plat te leggen.

Dat is geen technisch probleem, maar een kwestie van vertrouwen tussen de business en de techniek. De mensen aan de bestuurstafel weten hoeveel pijn het doet als een productieomgeving, webshop of primaire bedrijfsproces stilvalt. De mensen aan de technische knoppen weten juist hoe groot de dreiging is en welke maatregelen nodig zijn. Die twee werelden begrijpen elkaar niet altijd volledig, en precies daar ontstaat de spanning rondom automated response. Want als zelfs mensen het al lastig vinden om die afweging te maken, waarom zouden we die beslissing dan volledig aan een AI-agent overlaten? Daarom geloof ik dat AI ons vooral moet helpen betere keuzes te maken, niet ze volledig van ons overnemen. Bij kritische beslissingen blijft menselijk mandaat voorlopig onmisbaar.

Mens plus AI, niet mens versus AI

AI is bij ons dus geen vijand, maar een collega. We zetten het gericht in waar het de mens slimmer maakt:

• AI-agents die het saaie, repetitieve uitzoekwerk van phishingmailtjes overnemen.

• AI-agents die steeds lastiger uitzoekwerk kunnen oppakken, ook bij dat werk wat meer context vereist.

• Ruisfilters die de eindeloze stroom meldingen terugbrengen, zodat analisten niet meer verzuipen in alarmen.

• Patroonherkenning die laat zien welk type aanval eraan komt.

• AI-agents die steeds beter worden in het onderscheiden van echte dreigingen van ruis. Waar dergelijke technieken tot voor kort in de praktijk nog veel false positives produceerden, zien we nu dat de kwaliteit iedere maand stukje bij beetje toeneemt.

Het verschil zit hem in het uitgangspunt. AI is inmiddels verrassend goed in het begrijpen van technische context: logregels, kwetsbaarheden, aanvalspatronen, configuraties en enorme hoeveelheden data. Maar de context van de klantwereld is iets anders. Welke systemen bedrijfskritisch zijn, welke processen absoluut niet mogen uitvallen, welke risicos acceptabel zijn en welke niet; dat zijn afwegingen die veel verder gaan dan techniek alleen. Daarom ondersteunt AI onze experts, maar vervangt het ze niet. Onze experts worden er juist ronder van (vroeger noemden we dat T-shaped): diep specialistisch, maar breed genoeg ontwikkeld om met andere disciplines te schakelen. We maken die keuze omdat we altijd kwaliteit willen blijven bieden. Want een foutmarge van 1% door een AI-agent is bij een klantenservice medewerker misschien geen probleem, en een business developer komt zelfs weg met 10%. Een foutmarge van 1% in cybersecurity kan zomaar het einde van je bedrijf betekenen. Daarom is volledig autonome AI-security de komende jaren nog niet de oplossing, hoe hard de AI-bubbel dat soms ook wil beloven. Kies je voor een zeepbel of een stevig fundament?

Kies je voor een zeepbel of een stevig fundament?

Elke bubbel kent zijn verliezers en zijn winnaars. Dat is in het AI tijdperk niet anders. Maar in AI-cybersecurity knapt de zeepbel niet op de beurs. Hij knapt bij de klant. Tijdens een echt incident. Op het moment dat een autonome agent de verkeerde keuze maakt, of dat niemand het mandaat had om in te grijpen.

Kijk als bestuurder daarom vooral niet naar welke AI-tool het hardst glimt. Check vooral of jouw beveiliging in een zeepbel zweeft of op een stevig fundament staat. En zet AI vooral in om headspace terug te geven aan je teams, managers en specialisten. Zet koers om een goede - zoveel mogelijk geautomatiseerde - integratie van detectie, response naar preventie. Want als je leert “hoe en waar ze in je tuin lopen” kan je daar gericht preventief op schakelen. Datagedreven preventie, vroege detectie en menselijk vakmanschap: dáár zit de waarde die overeind blijft terwijl de rest als een zeepbel uit elkaar knapt. Uiteindelijk wint niet die partij met de meeste AI, maar die aanvaller of verdediger die AI het slimst weet te combineren met mensen, realiteit en ervaring. Dáár wordt de komende jaren de wedstrijd gewonnen. En vergeet niet, mensen doen zaken met mensen. Emotie, vertrouwen en risico zijn de drie fundamentele pilaren van ons bestaansrecht, en misschien wel die van de gehele markt. Het duurt nog even voordat we dat 100% aan een machine overlaten.