.Plan - Dev Summit 2025. Survival of the Governed: de urgentie van AI-security

maandag, 27 oktober 2025 (12:31) - Tweakers

In dit artikel:

Rens van Dongen, AI Officer en Senior Information Security Officer bij NS, hield op de Tweakers Developers Summit 2025 een nuchtere waarschuwing: AI vergroot de productiviteit van teams, maar vergroot even hard het aanvalsoppervlak. Hij pleit voor gecontroleerde pilots en een centraal AI Management Systeem (AIMS) om nieuwe risico’s in systemen, gebruik en de software‑supplychain te beheersen.

Van Dongen vertelt hoe zijn rol veranderde van generalist naar specialist in software‑ en AI‑security en AI‑governance, risk & compliance. Het startpunt voor veel organisaties was de vraag “wat te doen met ChatGPT”; NS koos ervoor dat niet bij incidenten te improviseren maar structureel beleid, tooling en controls te bouwen. Volgens hem is wetgevings‑compliance het minimum: echte focus moet liggen op de nieuwe risico’s die specifiek door AI ontstaan, zoals privilege escalation door autonome AI‑agents.

Hij schetst een paradox: AI verhoogt ontwikkelsnelheid (meer code, meer changes, meer complexiteit) en maakt tegelijkertijd aanvallen efficiënter — van geautomatiseerde reconnaissance tot op maat gemaakte spearphishing en automatische exploitgeneratie. Daardoor daalt de instapdrempel voor kwaadwillenden en stijgt de doorvoer van aanvallen. De verdediging moet daarom zelf ook automatiseren.

In de praktijk werkt NS met afgebakende pilots en enterprise‑voorzieningen: GitHub Copilot draait op enterprise‑licenties met logging en guardrails; platforms als Replit en Cursor worden getest om opbrengsten en risico’s te meten. Van Dongen noemt concrete supply‑chaingevaren zoals “slopsquatting” — door llm’s gegenereerde foutieve package‑namen die kwaadwillenden kunnen misbruiken — en benadrukt dat tools als Software Composition Analysis onmisbaar zijn om verkeerde dependencies te blokkeren.

AI‑gegenereerde code blijkt vaker triviale kwetsbaarheden te bevatten tenzij test‑ en reviewprocessen meegroeien. Daarom zet NS in op een AIMS, gebaseerd op ISO42001‑principes: één samenhangend beleid voor het hele AI‑levenstraject, risicogedreven aandacht voor fairness, transparantie en expertise, eigenaarschap in de lijn, een AI‑register, toetsing door een comité en continue assurance via audits en managementreviews.

Cultuur is belangrijk: verbieden werkt vaak averechts, stelt Van Dongen; faciliteren met enterprise‑features, training en duidelijke kaders werkt beter. Voor publiek gerichte toepassingen kan een pilot worden gepauzeerd als fairness, transparantie of accountability onvoldoende aantoonbaar zijn. Zijn kernboodschap: governance is geen rem maar het onderstel dat veilige versnelling mogelijk maakt — en musts voortdurend meeschalen met de technologische ontwikkeling.

Tot slot: wie wil kan nog kaartjes kopen voor de Dev Summit 2025; NS’ aanpak illustreert een bredere trend waarin bedrijven governance en automatisering combineren om AI‑voordeel te benutten zonder onaanvaardbare risico’s.