Fortinet heeft zijn Web Application Security Report 2026 gepubliceerd.Uit dit rapport blijkt dat veel organisaties moeite hebben om de beveiliging van applicaties, API’s en AI-workloads bij te houden, aangezien deze technologieën zich razendsnel ontwikkelen. Slechts 29% van de ondervraagde securityprofessionals heeft vertrouwen in de algemene beveiliging van applicaties. Bij applicaties waarin AI is geïntegreerd daalt dat percentage naar 15%, en slechts 12% heeft vertrouwen in de verdediging tegen aanvallen die met AI worden gegenereerd.
Volgens Fortinet tonen die cijfers aan dat de beveiligingsaanpak in veel organisaties onder druk staat door de toenemende complexiteit van moderne digitale omgevingen. “Applicaties, API’s en AI-workloads evolueren vandaag bijzonder snel, maar in veel organisaties steunt de beveiliging nog op modellen die daar onvoldoende op afgestemd zijn”, zegt Vincent Zeebregts, regional director Nederland bij Fortinet. “Dat vraagt niet alleen om extra controles, maar vooral om een aanpak die beter aansluit bij hoe moderne applicaties worden gebouwd, gebruikt en aangevallen.”
Beperkte zichtbaarheid vergroot risico’s
Het rapport wijst ook op een opvallend probleem als het gaat om kennis van de gebruikte applicaties. Slechts 13% van de organisaties zegt er volledig vertrouwen in te hebben dat ze op de hoogte zijn van alle applicaties en API’s in hun netwerk. Tegelijk beschouwt 67% API’s als de meest risicovolle applicatiecategorie, terwijl 53% aangeeft daar net een groot tekort aan zichtbaarheid te ervaren. “Veel organisaties weten dat API’s een cruciale risicolaag vormen, maar hebben daar tegelijk nog onvoldoende volledig zicht op”, aldus Zeebregts. “Net die combinatie maakt het moeilijk om beveiliging echt proactief aan te sturen.”
Aanvallen worden sneller, dynamischer en moeilijker te onderscheiden
Daarnaast laat het onderzoek zien dat ook het dreigingslandschap verder verandert. Zo meldt 74% van de organisaties een stijging in AI-ondersteunde of AI-gegenereerde aanvallen. Aanvallen met gestolen of misbruikte inloggegevens waren goed voor 58% van de incidenten. Aanvallen zijn niet noodzakelijk volledig nieuw, maar wel sneller, dynamischer en moeilijker te onderscheiden van legitiem verkeer. Dat zet bijkomende druk op bestaande beveiligingscontroles. De aard van veel aanvallen is op zich bekend, maar de schaal, snelheid en aanpasbaarheid zijn sterk toegenomen. Daardoor volstaat het steeds minder om beveiliging als een verzameling losstaande securityoplossingen te organiseren.
Detectie en respons blijven vaak te traag
Ook op het vlak van detectie en respons signaleert het rapport belangrijke knelpunten. Slechts 20% van de organisaties detecteert incidenten binnen een paar uur. Bij meer dan de helft duurt dat een week of langer, en bij bijna een derde zelfs meer dan een maand. Fortinet ziet daarin een aanwijzing dat signalen en controles in veel omgevingen nog te versnipperd zijn. Wanneer detectie verspreid is over meerdere systemen, ontbreekt het vaak aan een geïntegreerd overzicht, wat snelle respons bemoeilijkt. Verder blijkt dat slechts 5% tevreden is over de huidige applicatiebeveiligingstools, terwijl 62% oplossingen consolideert of dat van plan is. Dat wijst erop dat organisaties steeds meer op zoek gaan naar vereenvoudiging en samenhang in hun beveiligingsarchitectuur.
Nood aan meer geïntegreerde aanpak
Op basis van het onderzoek pleit Fortinet voor een meer geïntegreerde benadering van applicatie- en API-beveiliging, waarbij zichtbaarheid, inspectie en handhaving nauwer op elkaar aansluiten. “De vraag is niet alleen welke extra beveiligingsoplossing nog kan worden toegevoegd”, besluit Zeebregts. “De grotere uitdaging is hoe organisaties tot een architectuur komen waarin zichtbaarheid, inspectie en handhaving beter samenwerken. Alleen zo kan beveiliging mee evolueren met moderne applicaties en API’s.”