Uit de AI Pulse Poll blijkt dat 35% van de Europese organisaties niet kan zeggen of ze al slachtoffer zijn geworden van een AI-powered cyber-aanval. Tegelijk geeft 71% van de bevraagde professionals aan dat AI-gedreven phishing en social engineering moeilijker te herkennen zijn geworden. Voor 58% maakt AI het ook aanzienlijk moeilijker om digitale informatie te verifiëren. Nog eens 38% stelt dat het vertrouwen in klassieke detectiemethodes daardoor is afgenomen.

Professionals wijzen vooral op misinformatie en desinformatie als belangrijkste AI-risico. Dat risico wordt genoemd door 87% van de respondenten. Daarna volgen privacy-inbreuken, met 75%, en social engineering, met 60%.

Volgens ISACA kunnen organisaties niet beheren wat ze niet zien. Net daar wringt het schoentje: veel bedrijven gebruiken nog detectiemethodes en interne processen die onvoldoende aangepast zijn aan de snelheid en complexiteit van AI-gedreven aanvallen.

AI speelt tegelijk niet alleen een aanvallende rol. De technologie wordt ook steeds meer ingezet als verdedigingsinstrument. Zo zegt 43% van de respondenten dat AI de capaciteit van hun organisatie om cyber-dreigingen te detecteren en erop te reageren, heeft verbeterd. Daarnaast gebruikt 34% AI al specifiek om cybersecurity te versterken.

AI-gebruik groeit sneller dan governance

De risico’s nemen toe op een moment dat AI breed wordt ingevoerd op de werkvloer. Bij 82% van de Europese organisaties is AI-gebruik formeel toegestaan. Generatieve AI is specifiek toegestaan bij 74% van de organisaties.

AI wordt vooral gebruikt voor het creëren van geschreven content, het verhogen van productiviteit, het automatiseren van repetitieve taken en het analyseren van grote data sets. De voordelen zijn zichtbaar: 77% noemt tijdswinst als voordeel en 40% zegt dat AI de capaciteit verhoogt zonder extra personeelsinzet.

Toch volgt de governance niet altijd hetzelfde tempo. Slechts 42% van de organisaties beschikt over een formeel en volledig AI-beleid. Eén derde van de organisaties vereist bovendien niet dat werknemers aangeven wanneer AI heeft bijgedragen tot werkproducten. Daardoor ontstaan blinde vlekken in het gebruik van AI binnen de organisatie.

ISACA stelt vast dat 87% van de professionals bezorgd is over ongeautoriseerd AI-gebruik door werknemers. Voor 26% is het gebrek aan vertrouwen dat AI intellectuele eigendom en gevoelige informatie voldoende beschermt, de grootste uitdaging bij AI-gebruik op het werk.

Nood aan opleiding en kaders

De governance-kloof legt extra druk op professionals. Meer dan de helft van de respondenten, 54%, zegt binnen zes maanden te moeten bijscholen om zijn of haar job te behouden of carrièrekansen te versterken. Binnen een jaar loopt dat aandeel op tot 79%. Tegelijk biedt 21% van de organisaties nog altijd geen formele AI-opleiding aan.

Ook de regelgeving zorgt voor bijkomende urgentie. De EU AI Act is het meest geciteerde governance-kader in het onderzoek en wordt door 45% van de organisaties genoemd. Daarna volgt NIST, met 26%. Toch zegt meer dan één kwart van de organisaties, 26%, nog geen enkel formeel kader te volgen.

Volgens ISACA blijven de basisprincipes van goed risicobeheer overeind, maar veranderen de snelheid en complexiteit van wat professionals moeten kunnen beoordelen. Organisaties zullen meer expertise moeten opbouwen rond AI-risico’s, governance, toezicht en naleving van regelgeving.