Organisaties onvoldoende voorbereid op AI-cyberaanvallen in 2026
Een groot deel van de organisaties is structureel onvoorbereid op de toenemende AI-gedreven cyberdreigingen. Twee op de drie Chief Information Security Officers (CISO’s) en securityexperts deze dreigingen zien als hun grootste zorg voor het komende jaar. Bovendien is 99,5% van de beveiligingsmeldingen waar teams mee te maken krijgen vals positief, waardoor securityprofessionals meer tijd besteden aan het verwerken van alerts dan aan het daadwerkelijk oplossen van problemen. Hierdoor blijven cyberdreigingen vaak onopgemerkt.
Dit blijkt uit onderzoek van cybersecuritybedrijf Hadrian. “Traditionele defensieve cybersecurity is in een AI-first realiteit in 2026 niet langer voldoende,” zegt Rogier Fischer, CEO van Hadrian. “De enige weg vooruit is een duidelijke verschuiving naar continue, offensieve cybersecurity, aangedreven door automatisering en van echte exploit validatie.”
Kritiek punt
Uit Hadrian’s 2026 Offensive Security Benchmark Report komt een sector naar voren die op een kritiek punt is beland. Securityteams worden overspoeld door meldingen, hebben onvoldoende zicht op AI-gedreven aanvalsoppervlakken en lopen achter op tegenstanders die al op machinesnelheid opereren. Bijna 90% van alle geverifieerde kwetsbaarheden krijgt het risicolabel medium of laag, wat niet altijd overeenkomt met de werkelijke blootstelling. Kritieke risico’s vormen slechts 3% van de gevalideerde bevindingen, maar verdwijnen in een stroom van duizenden meldingen.
“Het grootste risico richting 2026 is niet dat organisaties te weinig securitytools hebben, maar dat ze niet meer weten welke dreigingen écht zijn. Terwijl aanvallers precies weten waar ze moeten toeslaan,” aldus Fischer.
AI versterkt de dreiging
AI heeft de machtsbalans in cybersecurity verschoven. Aanvallers gebruiken automatisering, grote taalmodellen (LLM’s) en AI-gestuurde verkenning om binnen enkele uren kwetsbaarheden te ontdekken, te combineren en uit te buiten. Verdedigers blijven echter vaak steken in handmatige validatie van alerts en discussies over prioriteiten.
De impact is duidelijk meetbaar: het duurt gemiddeld vier dagen om kritieke kwetsbaarheden te verhelpen, terwijl sommige langer dan vier maanden open blijven. Blootstelling aan kwetsbaarheden begint echter vaak al binnen enkele uren. Wanneer de urgentie hoog is, kan actie wel snel volgen: 94% van de zero-day-kwetsbaarheden wordt binnen vijf dagen opgelost. Het verschil zit niet in technische beperkingen, maar in zekerheid over de dreiging.
Offensieve security als noodzaak
Het rapport concludeert dat organisaties zich alleen kunnen verdedigen als zij de realiteit net zo snel kunnen valideren als aanvallers opereren. Aanvallers denken offensief: zij testen, combineren en misbruiken kwetsbaarheden continu. In 2026 moeten verdedigers hetzelfde doen door automatisering, adversarial emulation en continue exploit-validatie in te zetten om te bepalen wat écht risico vormt, voordat het wordt misbruikt.
Dit vereist geen nieuwe tools, maar een strategische verschuiving: van compliance naar confrontatie en van verdediging naar aantoonbare controle over het aanvalsoppervlak. Voor bestuurders is de boodschap helder: wie vandaag niet kan vaststellen wat daadwerkelijk exploiteerbaar is, kan morgen geen datalekken voorkomen.
“De sector heeft offensieve cybersecurity te lang gezien als iets geavanceerds of optioneels,” legt Fischer uit. “Het zou de norm moeten zijn. Als je je omgeving niet continu test zoals aanvallers dat doen, ben je niet aan het verdedigen, je gokt.”
Over Wouter Hoeffnagel
