Interview met CEO Maarten Bovée: “AI-agents zijn een tikkende tijdbom voor cybersecurity.”

Interview met Maarten Bovée, CEO bij NTX.

Wat zijn shadow agents precies?

“Veel bedrijven hebben onvoldoende zicht op welke tools medewerkers gebruiken buiten de officiële IT-omgeving. Dat fenomeen kennen we als shadow IT. Met de opkomst van AI gaat dat nog een stap verder. Shadow agents zijn AI-agents die door medewerkers worden ingezet zonder medeweten of controle van de organisatie. Ze opereren buiten de bestaande governance en security-kaders, terwijl ze wél toegang krijgen tot bedrijfsdata en systemen.”

Wat maakt AI-agents anders of risicovoller dan klassieke AI?

“Bij klassiek AI-gebruik ligt het risico vooral bij het delen van informatie. Medewerkers uploaden, bewust of onbewust, vertrouwelijke data in AI-tools. Zeker bij gratis versies is het risico groot dat die data wordt opgeslagen, geïndexeerd en potentieel publiek beschikbaar wordt.

AI-agents gaan echter een stap verder. Ze beperken zich niet tot het analyseren of verwerken van data, maar gaan er ook autonoom mee aan de slag. Ze nemen acties, voeren taken uit en kunnen zelfstandig beslissingen nemen.

Net die autonomie maakt ze fundamenteel anders, en ook een stuk risicovoller.”

Wat zijn de risico’s dan precies?

“De grootste uitdaging is dat AI-agents de bestaande security-logica omzeilen. Identity is de laatste jaren de belangrijkste controlelaag geworden in cybersecurity. Netwerk, endpoints en data-classificatie blijven uiteraard essentieel, maar identity is wel diegene via dewelke vandaag de meeste aanvallen binnenkomen. Via identity bepaal je immers wie toegang heeft tot welke systemen en wat iemand mag doen.

AI-agents krijgen in de meeste kmo’s nog geen eigen identiteit toegekend. De technologie om dat wél te doen bestaat nochtans. Microsoft heeft met Entra Agent ID en het nieuwe Agent 365-platform specifiek voor agents een beheerlaag gebouwd waarmee je een agent registreert, scopebeperkingen oplegt en kan auditeren, net zoals bij een menselijke gebruiker. Maar die tooling staat in de praktijk bij veel bedrijven niet aan, is niet correct geconfigureerd of wordt niet gemonitord.

Dat is het echte gat: niet dat controle onmogelijk is, maar dat niemand ze actief oplegt.”

AI-agents vliegen dus intern onder de radar?

“Het is meer dan dat. Er is ook een externe dreiging. AI-agents kunnen kwetsbaarheden bevatten die misbruikt worden door externe partijen. Die kunnen via zulke agents toegang krijgen tot systemen en data. Het detecteren van dergelijke inbreuken is bovendien bijzonder moeilijk.

Het risico gaat dus verder dan enkel dataverlies. Het gaat ook over potentiële infiltratie van buitenaf. Dat maakt dat dit op termijn kan leiden tot ernstige security-incidenten. Het is een kwestie van tijd voordat dit gebeurt.”

Cybersecurity is essentieel, zeg je. Hoe pak je als bedrijf shadow agents aan zonder innovatie af te remmen?

“AI biedt enorme opportuniteiten, zeker op het vlak van efficiëntie, snelheid en rendabiliteit. De druk op bedrijven om daarin mee te gaan is groot, en AI-agents kunnen daar een belangrijke rol in spelen. We gaan dan ook evolueren naar een realiteit waarin steeds meer agents actief zijn binnen organisaties.

Het antwoord is dus niet om AI of agents te verbieden. Dat zou innovatie en groei afremmen. Tegelijk kan je ze ook niet volledig vrij laten opereren.

De sleutel ligt in het bouwen van een veilige, gecontroleerde omgeving waarin die agents kunnen functioneren. Behandel elke AI-agent zoals je een nieuwe medewerker behandelt. Geef hem een identiteit, bepaal zijn toegangen, log wat hij doet, en zorg dat er een uit-knop is. Zolang dat niet in orde is, weet je niet wie er eigenlijk in je systemen werkt.”

Moeten we bang zijn van AI?

“De technologie zelf is niet het probleem. De echte risico’s zitten in hoe ze gebruikt wordt, en vooral in het potentiële misbruik door externe partijen of kwaadwillige actoren.”

Wat zijn volgens jou de eerste 3 stappen voor kmo’s die naar een AI-gedreven organisatie willen evolueren?

“Een eerste belangrijke stap is het geven van een identiteit aan AI-agents. Op die manier kan je hun rechten en activiteiten beheren en monitoren, net zoals je dat doet bij menselijke gebruikers. AI-agents moeten behandeld worden als volwaardige users binnen je systemen.

Daarnaast is bewustwording cruciaal. Medewerkers moeten inzicht krijgen in de risico’s en de impact van hun gebruik van AI. En ook op vlak van data moet er een sterke basis liggen. Data moet beter beveiligd en beheerd worden, zodat je controle houdt over wat er gebeurt.”

Wat betekent dit voor de rol van IT-partners zoals NTX?

“Het domein van AI evolueert razendsnel en vraagt een specifieke expertise die niet elke IT-partner bezit. Het is onze taak om ervoor te zorgen dat bedrijven innovatie met AI maximaal benutten, terwijl hun performantie, security en governance gewaarborgd blijven.

Concreet betekent dit dat je als IT-partner bedrijven helpt in verschillende lagen. Je creëert bewustwording, helpt bij het uittekenen van een schaalbare AI-strategie en ondersteunt bij de implementatie ervan. Dat kan dan gaan over verantwoord omgaan met LLM’s en het organiseren van vibe coding workshops tot het opzetten van het technische framework en de nodige security measures.

Uiteindelijk draait het om het bouwen van een veilige, gecontroleerde structuur waarin AI op een duurzame manier kan ingezet worden.”

Hoe pakt NTX dat dan concreet aan?

“Voor bedrijven die al volop met AI werken, is de eerste stap een audit: welke agents draaien er vandaag, wie heeft ze aangezet, tot welke tools en data hebben ze toegang, en wie monitort wat ze doen? Bij NTX brengen we dat in kaart via een shadow-agent assessment. Daarna volgt het inrichten van de controlelaag: identity management voor agents via Microsoft Entra, monitoring via Defender, en datacontrole via Purview.

Voor bedrijven die nog aan het begin van hun AI-traject staan, keren we het om. Eerst tekenen we de architectuur uit: welke agents gaan waar draaien, welke data mogen ze zien, wie is eindverantwoordelijke. Pas dan bouwen we. Te veel AI-projecten starten met de tool en denken achteraf pas na over de governance. En dat is precies hoe shadow agents ontstaan.”