AI-systemen Zijn Waardevolle Doelwitten
Enterprise AI-platformen verwerken e-mails, financiële gegevens, contracten en persoonlijke informatie. Ze verbinden tientallen externe diensten en voeren geautomatiseerde acties uit. Dit maakt ze een aantrekkelijk aanvalsoppervlak — een gecompromitteerde AI-agent met toegang tot uw CRM, e-mail en financiële systemen kan meer schade aanrichten dan een traditionele datalek. Toch behandelen veel AI-implementaties beveiliging als nagedachte, achteraf toegevoegd nadat het kernsysteem is gebouwd.
Bij ESKOM.AI is beveiliging van dag één ingebouwd in de architectuur van ons AI-platform. Elke laag — van netwerktoegang tot individuele agentmachtigingen — volgt defense-in-depth principes. Zo pakken we elke laag aan.
Netwerk en Infrastructuur
Alle platformdiensten communiceren via een privé-VPN met end-to-end encryptie. Geen enkele dienst is direct blootgesteld aan het publieke internet. Interservice-communicatie gebruikt privé-IP-adressen, en externe toegang wordt beheerd via een reverse proxy met IP-allowlisting. De infrastructuur draait op dedicated hardware — geen gedeelde cloud-instanties waarbij ruisende buren zijkanaalaanvallen mogelijk zouden maken.
Elk bestand dat wordt geüpload of gegenereerd door het systeem, doorloopt antivirusscanning voordat het de verwerkingspijplijn ingaat. Dit vangt malware-beladen bijlagen in e-mails, geïnfecteerde documenten van externe integraties en mogelijk kwaadaardige payloads in API-verzoeken. Een basismaatregel, maar één die veel AI-platformen volledig overslaan.
Gegevensbescherming en AVG-naleving
Het verwerken van persoonsgegevens via AI-modellen schept AVG-blootstelling. Onze oplossing is Anoxy — een dedicated PII-anonimiseringsdienst die gegevens onderschept voordat ze een LLM bereiken. Anoxy detecteert en maskeert persoonlijke identificatoren (namen, e-mails, telefoonnummers, adressen) in realtime, en vervangt ze door omkeerbare tokens. Het LLM verwerkt geanonimiseerde gegevens, en de oorspronkelijke waarden worden alleen hersteld in de uiteindelijke output, zichtbaar alleen voor geautoriseerde gebruikers.
- Automatische PII-detectie voor 15+ entiteitstypen
- Omkeerbare tokenisatie — anonimiseer voor verwerking, de-anonimiseer voor output
- Auditregistratie — elk anonimiseringsgebeurtenis wordt vastgelegd met tijdstempel, entiteitstype en aanvragende agent
- Configureerbare gevoeligheid — verschillende anonimiseringsniveaus per agent en per datacategorie
Applicatiebeveiliging en Audit
Ons platform volgt OWASP Top 10 v3-richtlijnen voor alle API-eindpunten. Dit omvat invoervalidatie, uitvoercodering, authenticatie via enterprise SSO met veilige autorisatie, rolgebaseerde toegangscontrole (RBAC) en snelheidsbeperking. Elke agent werkt onder het principe van minimale privileges — een HR-agent heeft geen toegang tot financiële gegevens, en een DevOps-agent kan geen leidinggevende e-mails lezen.
Elke actie in het systeem genereert een onveranderlijk auditspoor: welke agent de actie uitvoerde, welke gegevens werden benaderd, welk LLM werd gebruikt en welke output werd geproduceerd. Dit is niet alleen voor naleving — het is essentieel voor foutopsporing, kwaliteitsborging en verantwoording. Wanneer een agent een beslissing neemt, kunt u de volledige redenerketen terugvolgen naar de oorspronkelijke invoer. Voor ondernemingen die AI-platformen evalueren, is onze aanbeveling eenvoudig: als een leverancier hun beveiligingsmodel niet gedetailleerd kan uitleggen, hebben ze er waarschijnlijk geen.