• Uitleg
• |
• Informatiebeveiliging en privacy
• |
• po
• vo

De impact van AI op cyberveiligheid in het onderwijs

Sinds de opkomst van generatieve AI zoals ChatGPT is kunstmatige intelligentie in hoog tempo een vast onderdeel van het onderwijs geworden. Die ontwikkeling biedt veel kansen, maar vergroot ook de risico’s voor cyberveiligheid. AI maakt het namelijk makkelijker om phishingmails en malware te maken, waardoor cybercriminaliteit toegankelijker en schaalbaarder wordt. De grootste uitdaging zit echter niet alleen in de technologie zelf, maar vooral in hoe onderwijsinstellingen ermee omgaan. Zonder gerichte maatregelen groeit de kwetsbaarheid, terwijl AI juist ook kan helpen om bedreigingen sneller te signaleren en aan te pakken. Daarom heb je een geïntegreerde strategie nodig waarin technische beveiliging, bewustwording en slim gebruik van AI samenkomen om de digitale weerbaarheid van het onderwijs duurzaam te versterken.

Door de redactie

11 mei 2026

5 minuten lezen

AI-systemen worden beschermd door veiligheidsregels, opgenomen in systeemprompts. Deze veiligheidsregels kunnen in sommige gevallen echter worden omzeild. Dit vergroot de kwetsbaarheid van digitale omgevingen en vraagt om een combinatie van technische beveiliging, bewustwording en educatie om de risico’s effectief te beheersen. Ook ontwikkelingen zoals Claude Mythos kunnen in de toekomst de mogelijkheden van aanvallers versnellen.

Waarom cybercriminelen steeds vaker AI gebruiken

Crimineel gedrag ontstaat wanneer er aan drie voorwaarden wordt voldaan: een gemotiveerde dader, een geschikt doelwit en afwezigheid van bewaking. Met de komst van AI zijn deze voorwaarden makkelijker te vervullen.  

Gemotiveerde dader

Dankzij AI is er geen technische expertise meer nodig om malware te maken of phishingmails te genereren. Dit verlaagt de drempel voor potentiële cybercriminelen. 

Geschikt doelwit

AI maakt het mogelijk om overtuigende phishingmails en andere aanvallen te genereren, waardoor het aantal geschikte doelwitten toeneemt. Dit vergroot de kans dat slachtoffers in de val lopen. 

Afwezigheid van bewaking

AI kan malware ontwikkelen die zich aanpast aan beveiligingssystemen, waardoor detectie moeilijker wordt. Dit verhoogt de kans op succesvolle aanvallen. 

Hoe kunnen criminelen AI-veiligheidsmaatregelen omzeilen?

Criminelen moeten nog wel bepaalde stappen zetten om AI-systemen te kunnen inzetten voor aanvallen. Bijvoorbeeld door een model te gebruiken dat de systeemprompt achterwege laat. Daardoor geeft het AI-systeem op elke vraag antwoord, zonder dat het gebonden is aan guardrails. Of door het AI-model te misleiden door te zeggen dat er een rollenspel wordt gespeeld. Ook commerciële AI-systemen kunnen op deze manier worden misbruikt. 

Een systeemprompt is een set instructies – guardrails, ofwel reling – die op het hoogste niveau aan een AI-model wordt meegegeven en die het gedrag, de toon, de grenzen en de prioriteiten van dat model sturen. Een aantal voorbeelden hiervan zijn: 

• Je mag geen illegale of onethische antwoorden geven.  
• Je mag niks genereren wat de gebruiker letsel kan opleveren. 
• Je mag geen stress of paniek opwekken bij de gebruiker met je reactie. 

Commerciële AI-systemen krijgen deze systeemprompt mee om misbruik te voorkomen. Maar door de manier waarop AI werkt, is de systeemprompt te jailbreaken. Dit houdt in dat je een AI-systeem iets gaat laten genereren wat vanuit de systeemprompt niet mogelijk zou moeten zijn. Mensen die jailbreaks schrijven, spelen slim in op de systeemprompt die de maker heeft meegegeven. Dat doen ze door goed te kijken naar de reacties van het systeem om zo een soort profielschets te maken van de systeemprompt. Ook leerlingen kunnen gaan jailbreaken. 

De gevolgen voor het onderwijs

Leerlingen kunnen met behulp van AI gemakkelijker toegang krijgen tot gevaarlijke tools, zonder de benodigde technische kennis. Dit creëert risico’s binnen de schoolomgeving. Voorbeelden hiervan zijn:

• Het genereren van malware die computerbestanden kan versleutelen. 
• Het maken van overtuigende phishingmails als ‘grap’. 
• Het in kaart brengen van kwetsbaarheden binnen schoolnetwerken en deze online verkopen. 

Technische en organisatorische maatregelen

Om de risico’s van AI in de cyberveiligheid te beheersen, is een combinatie van technische en organisatorische maatregelen noodzakelijk. Je vindt dit soort maatregelen ook in de deelprojecten van het Normenkader IBP. Denk hierbij aan: 

Technische beveiligingsmaatregelen 

• Tweefactorauthenticatie om een extra beveiligingslaag toe te voegen. Zie ook Deelproject 3.2 Inrichten van identiteits- en toegangsbeheer.
• Regelmatig patchen en back-ups maken van systemen. Zie ook Deelproject 1.6 Overzicht creëren van systemen en hardware en Deelproject 2.11 Back-up en herstel van gegevens.
• Netwerksegmentatie, zodat een aanvaller die eenmaal binnen is niet direct toegang heeft tot alle systemen. Zie ook Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline – Normenkader informatiebeveiliging en privacy voor het onderwijs.
• Een hoogwaardig Endpoint Detection and Response-systeem (EDR). Zie ook Deelproject 2.7 Beveiligingseisen en -maatregelen vastleggen in een beveiligingsbaseline – Normenkader informatiebeveiliging en privacy voor het onderwijs.

Organisatorische maatregelen

• Incident response-plannen om snel te kunnen reageren op cyberincidenten. Zie ook Deelproject 2.4 Omgaan met incidenten en datalekken en  
• Bewustwording en training voor personeel en leerlingen over phishing en andere risico’s, en waar ze meldingen kunnen doen van verdachte activiteiten. Zie ook Deelproject 2.3 Bewustwording creëren. 
• Een sterk wachtwoordbeleid met bijbehorende passwordmanager. 

Om de externe dreiging te beteugelen, is het advies van School-CERT om met name te focussen op de bewaking en het verminderen van het aantal geschikte doelwitten.

AI inzetten in cyberbeveiliging

AI biedt niet alleen bedreigingen, maar kan ook een waardevol hulpmiddel zijn in de strijd tegen cybercriminaliteit. Zo zijn er al EDR-oplossingen die AI gebruiken om verdacht gedrag op te vangen en daar ook naar te handelen. Er zijn NDR-oplossingen die AI gebruiken om verdachte netwerkpatronen te herkennen en te blokkeren. En er zijn oplossingen die gebruikmaken van AI om je beter te beschermen tegen phishing. Dit doen ze door patroonherkenning, het detecteren van afwijkingen, voorspellende analyse en automatisering. Onderzoek laat zien dat een EDR-oplossing met AI-integratie verbetering biedt ten opzichte van traditionele EDR-oplossingen, zowel in responstijd als in detectienauwkeurigheid.

Dit neemt echter niet de noodzaak weg van een goede basisbeveiliging. Een beveiligingsproduct dat AI inzet is een nuttige extra tool, maar kan nooit de enige defensieve maatregel zijn binnen je digitale omgeving.

Verder lezen

School-CERT

Samen sterker tegen online dreigingen in het onderwijs

School-CERT is een gespecialiseerd team van ICT-professionals, dat in staat is snel te adviseren in het geval van een cybersecurity-incident in het onderwijs. Meld je nu aan bij School-CERT. Dan ontvang je niet alleen snel en adequaat hulp bij een incident, maar word je ook op de hoogte gehouden van het laatste cybersecuritynieuws.

Meld je aan bij School-CERT