Onderzoek door Fortinet: AI-vaardigheden zijn onmisbaar voor het dichten van het tekort aan security-vaardigheden

Fortinet publi­ceert vandaag het 2025 Global Cyber­se­cu­rity Skills Gap Report. Deze nieuwe editie van het jaar­lijkse onder­zoeks­rap­port werpt licht op de nieuwe en aanhou­dende problemen die orga­ni­sa­ties onder­vinden als gevolg van een tekort aan vaar­dig­heden op het gebied van cybersecurity. 

Belang­rijkste bevin­dingen van het wereld­wijde onderzoek zijn onder meer:

• Steeds meer orga­ni­sa­ties zetten AI in om hun bevei­li­ging te versterken en het tekort aan bevei­li­gings­ta­lent te dichten. Ze zien tege­lij­ker­tijd in dat AI ook tegen hen kan worden gebruikt als drijvende kracht achter nieuwe of verbe­terde cyber­aan­vallen, zeker gezien het gebrek aan AI-vaar­dig­heden binnen teams.
• Het uitblijven van security awareness-training is en blijft de belang­rijkste oorzaak van beveiligingsincidenten.
• Het ontbreekt bestuurs­leden aan cyber­kennis, terwijl dit juist een prio­ri­teit voor hen is.
• Orga­ni­sa­ties geven de voorkeur aan gecer­ti­fi­ceerde kandi­daten voor security-functies.
• “De onder­zoeks­re­sul­taten van dit jaar wijzen eens temeer op de prangende noodzaak om in bevei­li­gings­ta­lent te inves­teren”, zegt Carl Windsor, de CISO van Fortinet. “Zonder het dichten van het tekort aan cyber­vaar­dig­heden zullen orga­ni­sa­ties blijven worstelen met een toenemend aantal bevei­li­gings­in­ci­denten en uit de pan rijzende kosten. Volgens de resul­taten zijn de publieke en private sector op een keerpunt beland: zonder daad­krach­tige maat­re­gelen en het ontwik­kelen en behouden van bevei­li­gings­ex­per­tise zullen de risico’s en kosten voor onze samen­le­ving alleen maar toenemen.”

Toenemende financiële en beveiligingsrisico’s

Het aantal cyber­be­drei­gingen neemt zien­der­ogen toe. De realiteit is dan ook dat cyber­aan­vallen niet langer een moge­lijk­heid voor orga­ni­sa­ties vormen, maar een zekerheid. Het geschatte wereld­wijde tekort van ruim 4,7 miljoen vaardige bevei­li­gings­pro­fes­si­o­nals zorgt er onder­tussen voor dat essen­tiële bevei­li­gings­func­ties geen invulling krijgen op een moment waarop die juist het hardst nodig zijn. Belang­rijke bevin­dingen ten aanzien van de impact van het tekort aan cyber­vaar­dig­heden op orga­ni­sa­ties in alle delen van de wereld zijn onder meer:

• Het aantal bevei­li­gings­in­ci­denten neemt jaar op jaar toe. Volgens het 2025 Fortinet Global Skills Gap Report kreeg 86% van alle orga­ni­sa­ties in 2024 met minstens één bevei­li­gings­in­ci­dent te maken. Bijna een derde (28%) maakte melding van vijf of meer inci­denten. Dit cijfers verte­gen­woor­digen een signi­fi­cante toename ten opzichte van 2021, het jaar waarin het eerste Fortinet Global Skills Gap Report werd uitge­bracht. Toen zei 80% van alle orga­ni­sa­ties dat zij te maken hadden gekregen met minstens één bevei­li­gings­in­ci­dent, en zei slechts 19% dat er vijf of meer inci­denten in het spel waren.
• Het tekort draagt in hoge mate bij aan het groeiende aantal bevei­li­gings­in­ci­denten. Ruim de helft van alle respon­denten (54%) wees een gebrek aan security-vaar­dig­heden en ‑training aan als de belang­rijkste oorzaken van bevei­li­gings­in­ci­denten binnen hun organisatie.
• Bevei­li­gings­in­ci­denten hebben nog altijd een gevoelige finan­ciële impact. Ruim de helft (52%) van de respon­denten zei dat cybe­rin­ci­denten hen in 2024 een kosten­post van ruim een miljoen dollar opleverde. Dit strookt met de bevin­dingen van vorig jaar en verte­gen­woor­digt een forse toename ten opzichte van de 38% in 2021.
  AI kan de druk verlichten, maar een gebrek aan AI-kennis is een groeiend risico

Hoewel AI de brood­no­dige verlich­ting biedt ten aanzien van het aanhou­dende tekort aan cyber­vaar­dig­heden zijn orga­ni­sa­ties mogelijk nog niet volledig voor­be­reid om het poten­tieel van deze tech­no­logie op veilige wijze te benutten. De onder­zoe­kers van Fortinet obser­veren het volgende:

• Security-oplos­singen met AI-func­ti­o­na­li­teit worden op brede schaal ingezet. Een over­wel­di­gende meer­der­heid (97%) van de respon­denten maakt al gebruik van door AI onder­steunde bevei­li­gings­op­los­singen of is van plan dat te gaan doen. De detectie en preventie van cyber­be­drei­gingen worden als de belang­rijkste aandachts­ge­bieden voor de inzet van AI gezien.
• AI kan de druk op onder­be­zette security-teams verlichten. 87% van alle bevei­li­gings­pro­fes­si­o­nals verwacht dat AI hun werk kracht zal bijzetten in plaats van hen te vervangen. Volgens hen vergroot de tech­no­logie de effi­ci­ëntie en verlicht die de druk als gevolg van het tekort aan vaardigheden.
• Security-teams kunnen baat hebben bij AI, maar beschikken over onvol­doende vaar­dig­heden om volledige poten­tieel van de tech­no­logie te ontsluiten. De meer­der­heid van de respon­denten (80%) zegt dat AI de effec­ti­vi­teit van hun IT- en security-team vergroot. Bijna de helft (48%) van alle IT-besluit­vor­mers ziet een gebrek aan mede­wer­kers met voldoende kennis van AI echter als het grootste strui­kel­blok voor een succes­volle inzet van AI. 76 procent van alle orga­ni­sa­ties die in 2024 door negen of meer cyber­aan­vallen werden getroffen beschikte over AI-tools. Dit lijkt te sugge­reren dat het gebruik van AI niet toerei­kend is als orga­ni­sa­ties niet de juiste kennis in huis hebben.

Directies hanteren een sterkere focus op security, maar lopen achter qua begrip van de impact van AI

Wat het begrip van bestuurs­leden van de rol van cyber­se­cu­rity binnen hun orga­ni­satie betreft komt het volgende uit de onder­zoeks­re­sul­taten naar voren:

• Cyber­se­cu­rity krijgt steeds meer prio­ri­teit op direc­tie­ni­veau: 76% van alle directies scherpte in 2024 hun focus op de bevei­li­ging aan. Bijna alle orga­ni­sa­ties zien cyber­se­cu­rity inmiddels als zowel een zakelijke (96%) als finan­ciële (95%) prioriteit.
• Direc­tie­leden zijn zich onvol­doende bewust van de poten­tiële risico’s van AI voor hun orga­ni­satie. Minder dan de helft (49%) van de respon­denten was van mening dat hun directie een volledig begrip had van de risico’s die AI met zich meebrengt. De bewust­wor­ding op dit gebied is in sterke mate afhan­ke­lijk van de vraag of hun orga­ni­satie AI al dan niet als onderdeel van hun bevei­li­gings­pro­gramma inzet.

Upskilling blijft een aandachtspunt voor het dichten van het tekort aan vaardigheden

Andere belang­rijke bevin­dingen die in het rapport aan bod komen met betrek­king tot het aanhou­dende tekort aan vaar­dig­heden zijn:

• Werk­ge­vers blijven grote waarde hechten aan certi­fi­ce­ringen. 89 procent van alle IT-besluit­vor­mers neemt het liefst gecer­ti­fi­ceerde kandi­daten aan. Volgens de meeste respon­denten geven certi­fi­ce­ringen blijk van bevei­li­gings­ex­per­tise (67%), het vermogen om kennis up-to-date te houden in een snel veran­de­rend werkveld (61%) en bekend­heid met security-oplos­singen van belang­rijke leve­ran­ciers (56%).
• De steun van orga­ni­sa­ties voor finan­cie­ring van certi­fi­ce­ringen neemt af. Slechts 73% van alle respon­denten zegt bereid te zijn om mede­wer­kers te betalen voor het behalen van certi­fi­ce­ringen. In 2023 was dit nog 89%.

Het dichten van het tekort aan vaardigheden is een vereiste voor cyberweerbaarheid

Het 2025 Cyber­se­cu­rity Skills Gap Report maakt duidelijk dat cyber­se­cu­rity is uitge­groeid tot een prio­ri­teit op direc­tie­ni­veau als gevolg van de opkomst van AI en de steeds grotere risico’s voor de bedrijfs­voe­ring. Het dichten van het wereld­wijde tekort aan security-vaar­dig­heden blijft een cruciale opgave. Orga­ni­sa­ties moeten hun wervings­prak­tijken opnieuw onder de loep nemen, onder­be­nutte pools van talent aanboren en inves­teren in training en upskil­ling om de brood­no­dige kennis op te bouwen. Dit vraagt om een geco­ör­di­neerde aanpak die op drie pilaren rust: het bieden van security awareness-training en voor­lich­ting, het uitbreiden van de toegang tot gerichte training en certi­fi­ce­ring en het omarmen van geavan­ceerde beveiligingstechnologieën.

Het Fortinet Training Institute wil orga­ni­sa­ties een oplossing bieden voor hun problemen rond het tekort aan cyber­vaar­dig­heden. Daartoe biedt het mensen uit alle lagen van de bevolking toegang tot certi­fi­ce­ringen en nieuwe carri­è­re­mo­ge­lijk­heden. Zijn Security Awareness & Training-dienst helpt orga­ni­sa­ties om hun personeel cyber­be­wust te maken. De dienst omvat op AI gerichte modules die bijdragen aan een breder begrip van AI en de rol die deze tech­no­logie op het gebied van cyber­se­cu­rity vervult. Dit wordt aangevuld met een intro­ductie tot gene­ra­tieve AI en lesma­te­riaal over door AI onder­steunde cyber­be­drei­gingen. Daarnaast wordt ingegaan op de verschil­lende tech­nieken die cyber­cri­mi­nelen hanteren om hun aanvallen kracht bijzetten met AI.

Als blijk van zijn streven om een oplossing voor het groeiende tekort aan cyber­vaar­dig­heden te bieden deed Fortinet in 2021 de belofte om tegen het einde van 2026 wereld­wijd een miljoen mensen van security-training te hebben voorzien. Het ligt momenteel op schema om deze mijlpaal te realiseren.