AI vergroot druk op applicatiebeveiliging: gemeenten missen vaak het overzicht
Gemeenten digitaliseren in hoog tempo. Van vergunningverlening en burgerportalen tot zaaksystemen en AI-toepassingen: steeds meer publieke dienstverlening draait op webapplicaties en API's. Tegelijkertijd verandert ook het dreigingslandschap. Cyberaanvallen worden intelligenter, sneller en moeilijker te herkennen. Uit het Web Application Security Report 2026 van cybersecuritybedrijf Fortinet blijkt dat veel organisaties moeite hebben om hun beveiliging daarop aan te passen.
Waar beveiligingsmaatregelen jarenlang vooral waren ingericht op menselijke gebruikers, krijgen organisaties nu steeds vaker te maken met geautomatiseerd verkeer afkomstig van AI-systemen. Niet alleen eigen AI-toepassingen zorgen voor extra complexiteit; ook cybercriminelen zetten kunstmatige intelligentie in om aanvallen slimmer en effectiever uit te voeren.
Het vertrouwen in de beveiliging van AI-toepassingen is dan ook beperkt. Slechts 15 procent van de ruim achthonderd ondervraagde securityprofessionals geeft aan vertrouwen te hebben in de beveiliging van applicaties waarin AI is geïntegreerd. Nog minder organisaties (12 procent) zeggen voorbereid te zijn op AI-gegenereerde aanvallen.
Voor gemeenten is dat een relevant signaal. AI wordt steeds vaker ingezet voor ondersteuning van medewerkers, klantcontact of documentverwerking, terwijl tegelijkertijd nieuwe kwetsbaarheden ontstaan die niet altijd zichtbaar zijn.
Onvoldoende zicht op API's
Een tweede opvallende conclusie uit het onderzoek is het gebrek aan overzicht. Slechts 13 procent van de organisaties zegt volledig inzicht te hebben in alle applicaties en API's binnen de eigen omgeving.
Juist API's vormen tegenwoordig de verbindende schakel tussen applicaties, basisregistraties en externe leveranciers. Voor gemeenten, die afhankelijk zijn van een uitgebreid digitaal ecosysteem, betekent dit dat een onbekende of slecht beveiligde API een ingang kan vormen voor aanvallers.
Volgens het onderzoek ziet 67 procent van de respondenten API's inmiddels als het grootste beveiligingsrisico. De opkomst van zogenoemde shadow AI (niet-goedgekeurde AI-tools die medewerkers zelfstandig gebruiken ) vergroot dat risico verder doordat ongemerkt nieuwe koppelingen en datastromen ontstaan.
Aanvallen worden slimmer
Hoewel bekende aanvalstechnieken zoals credential stuffing en misbruik van API's blijven bestaan, verandert de manier waarop ze worden uitgevoerd. AI maakt het mogelijk om aanvallen continu aan te passen aan de beveiliging van een organisatie. Verkeer lijkt bovendien steeds vaker op normaal gebruikersgedrag, waardoor traditionele detectiemethoden minder effectief worden.
Bijna driekwart van de respondenten meldt een toename van AI-ondersteunde aanvallen. Credential-gerelateerde aanvallen zijn verantwoordelijk voor meer dan de helft van alle incidenten. Dat betekent volgens de onderzoekers dat authenticatie alleen niet langer voldoende bescherming biedt. Ook nadat een gebruiker is ingelogd, moeten afwijkingen in gedrag en dataverkeer continu worden gecontroleerd.
Versnipperde beveiliging
Veel organisaties beschikken inmiddels over een uitgebreid arsenaal aan beveiligingsoplossingen. Toch leidt dat niet automatisch tot betere bescherming. Slechts vijf procent van de respondenten is tevreden over de huidige applicatiebeveiliging. Bijna twee derde werkt daarom aan het consolideren van beveiligingsoplossingen.
Voor gemeenten is dit herkenbaar. Door aanbestedingen, samenwerkingsverbanden en verschillende leveranciers bestaat de beveiliging vaak uit meerdere losse systemen die niet altijd goed op elkaar aansluiten. Daardoor ontstaan blinde vlekken, dubbele functionaliteit en een gebrek aan eenduidig beleid.
Integraal kijken naar digitale weerbaarheid
De uitkomsten van het onderzoek sluiten aan bij een bredere ontwikkeling binnen de overheid: digitale weerbaarheid vraagt steeds meer om een integrale aanpak. Niet alleen netwerkbeveiliging, maar ook applicaties, API's, identiteiten en AI-toepassingen moeten in samenhang worden bewaakt.
Voor gemeenten betekent dit dat inzicht in het volledige applicatielandschap steeds belangrijker wordt. Alleen wanneer organisaties weten welke applicaties, API's en AI-diensten daadwerkelijk actief zijn, kunnen zij risico's tijdig signaleren en passende beveiligingsmaatregelen treffen.
Met de groei van digitale dienstverlening zal die uitdaging de komende jaren alleen maar groter worden. AI biedt nieuwe mogelijkheden voor efficiëntere dienstverlening, maar vraagt tegelijkertijd om een beveiligingsstrategie die meebeweegt met de snelheid waarmee technologie zich ontwikkelt.
Meer weten?
Het Web Application Security Report 2026 is gebaseerd op een wereldwijde enquête onder meer dan 800 securityprofessionals en is hier beschikbaar.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.