Slechts 29% van de securityprofessionals heeft vertrouwen in de beveiliging van applicaties in hun organisatie. Bij AI-geïntegreerde applicaties daalt dat naar 15%, en voor verdediging tegen AI-gegenereerde aanvallen zelfs naar 12%.
Dat blijkt uit het Web Application Security Report 2026 van Fortinet. Een opvallende bevinding uit het rapport betreft de kennis van het eigen applicatielandschap. Slechts 13% van de organisaties geeft aan er volledig vertrouwen in te hebben dat ze alle applicaties en API’s in hun netwerk in beeld hebben. Tegelijkertijd beschouwt 67% van de respondenten API’s als de meest risicovolle applicatiecategorie, terwijl 53% aangeeft daar een groot tekort aan zichtbaarheid te ervaren.
Zeebregts stelt dat veel organisaties weliswaar weten dat API’s een cruciale risicolaag vormen, maar dat ze tegelijk onvoldoende volledig zicht hebben op die laag. Die combinatie maakt het volgens hem moeilijk om beveiliging echt proactief aan te sturen.
Aanvallen sneller en moeilijker te onderscheiden
Het dreigingslandschap verandert mee. Fortinet meldt dat 74% van de organisaties een stijging ziet in AI-ondersteunde of AI-gegenereerde aanvallen. Aanvallen met gestolen of misbruikte inloggegevens waren goed voor 58% van de incidenten. De aard van die aanvallen is op zich bekend, maar de schaal, snelheid en aanpasbaarheid zijn sterk toegenomen. Aanvallen zijn daardoor steeds moeilijker te onderscheiden van legitiem verkeer, wat bestaande beveiligingscontroles extra belast. Fortinet stelt dat het steeds minder volstaat om beveiliging te organiseren als een verzameling losstaande oplossingen.
Detectie en respons blijven te traag
Ook op het vlak van detectie en respons signaleert het rapport knelpunten. Slechts 20% van de organisaties detecteert incidenten binnen enkele uren. Bij meer dan de helft duurt dat een week of langer, en bij bijna een derde zelfs meer dan een maand. Fortinet ziet daarin een aanwijzing dat signalen en controles in veel omgevingen te versnipperd zijn. Wanneer detectie verspreid is over meerdere systemen, ontbreekt het vaak aan een geïntegreerd overzicht, wat snelle respons bemoeilijkt.
Dat organisaties zelf ook op zoek zijn naar verandering, blijkt uit het feit dat slechts 5% tevreden is over de huidige applicatiebeveiligingstools. Tegelijkertijd geeft 62% aan beveiligingsoplossingen te consolideren of dat te plannen.
Geïntegreerde architectuur als uitweg
Op basis van de onderzoeksresultaten pleit Fortinet voor een meer geïntegreerde benadering van applicatie- en API-beveiliging, waarbij zichtbaarheid, inspectie en handhaving nauwer op elkaar aansluiten.
