💼 Management Samenvatting
Model protection richt zich op het beschermen van AI-modellen zelf: de artefacten, configuraties, endpoints en onderliggende data waarop de modellen zijn getraind. Voor Nederlandse overheidsorganisaties is dit cruciaal, omdat compromittering of misbruik van modellen direct kan leiden tot foutieve besluiten, informatielekken of verlies van vertrouwen in digitale overheidsdiensten.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
80u (tech: 50u)
Van toepassing op:
✓ Azure
✓ M365
✓ AI Services
✓ M365
✓ AI Services
AI-modellen worden steeds vaker ingezet voor kritieke overheidsprocessen, zoals fraudedetectie, risicobeoordelingen, inzage- en bezwaarafhandeling, en monitoring van digitale dreigingen. Deze modellen worden doorgaans ontsloten via API’s, pipelines en dashboards die draaien op Azure Machine Learning, AKS of andere cloud- en platformdiensten. Wanneer de bescherming van deze modellen niet goed is ingericht – denk aan zwak toegangsbeheer, onvoldoende scheiding tussen ontwikkel-, test- en productieomgevingen of ontbrekende logging rond modelwijzigingen – ontstaat een aantrekkelijk doelwit voor aanvallers. Zij kunnen proberen modellen te stelen, aan te passen, te vervangen door malafide varianten of gevoelige trainingsdata te reconstrueren. In een overheidscontext kan dit leiden tot discriminerende uitkomsten, niet-reproduceerbare besluiten, schendingen van de AVG en reputatieschade bij burgers en politiek.
PowerShell Modules Vereist
Primary API: Azure Machine Learning, Azure Kubernetes Service, Microsoft Defender for Cloud
Connection:
Required Modules: Az.Accounts, Az.Monitor
Connection:
PowerShell, Azure CLIRequired Modules: Az.Accounts, Az.Monitor
Implementatie
Dit artikel beschrijft hoe u model protection structureel vormgeeft binnen de "Nederlandse Baseline voor Veilige Cloud". We behandelen de opbouw van een centraal modelregister, toegangs- en wijzigingsbeheer rond modelartefacten en endpoints, de inzet van Azure-beveiligingsdiensten voor netwerk- en platformbescherming, en het inrichten van logging en audittrails zodat elke wijziging aan een model aantoonbaar kan worden gereconstrueerd. Daarnaast tonen we een PowerShell-script dat een basisinventarisatie uitvoert van AI-modelartefacten in een opgegeven directorystructuur, daar eenvoudige gezondheids- en beveiligingscontroles op toepast en een rapport genereert met aanbevelingen voor verdere hardening. Het doel is om model protection niet te zien als losstaande maatregel, maar als integraal onderdeel van lifecycle management, compliance en incidentrespons rond AI-systemen in de Nederlandse overheid.
Centraal modelregister en classificatie van AI-modellen
Gebruik PowerShell-script model-protection.ps1 (functie Invoke-ModelInventory) – Voert een basisinventarisatie uit van beschikbare modelartefacten en configuratiebestanden in een opgegeven directorystructuur en markeert potentiële risico’s..
Een effectieve aanpak voor model protection begint met inzicht: u moet weten welke AI-modellen in de organisatie bestaan, waar ze draaien, welke data zij gebruiken en welke processen zij beïnvloeden. In veel overheidsorganisaties ontstaan modellen echter verspreid over teams, projecten en leveranciers. Data scientists slaan modelbestanden op in experimentele omgevingen, ontwikkelteams deployen containers met getrainde modellen naar AKS-clusters en leveranciers leveren vooraf getrainde componenten aan als onderdeel van SaaS-diensten. Zonder centraal overzicht is het onmogelijk om gericht beveiligingsmaatregelen toe te passen of aan toezichthouders uit te leggen welke modellen high-risk zijn en welke niet.
Een centraal modelregister legt per model minimaal vast: de functionele beschrijving, de eigenaar en proceseigenaar, de gebruikte trainingsdata en bronnen, de onderliggende platformcomponenten (zoals Azure Machine Learning workspaces, AKS-clusters of rekenomgevingen), de uitrolstatus (ontwikkeling, test, productie), en de koppeling met relevante wet- en regelgeving zoals de AVG, BIO, NIS2 en de EU AI Act. Voor high-risk modellen, bijvoorbeeld die worden gebruikt voor geautomatiseerde risicobeoordelingen of profilering, moet het register aanvullende informatie bevatten over uitgevoerde DPIA’s, impact assessments, validatieresultaten en beperkingen die zijn afgesproken om discriminatie en willekeur te voorkomen. Dit register fungeert daarmee niet alleen als beveiligingsinstrument, maar ook als governance- en compliancebron.
Een praktische manier om de basis van zo’n register te vullen is het periodiek scannen van de ontwikkel- en deploymentomgevingen waarin modellen worden beheerd. Het bijbehorende PowerShell-script in deze baseline kan worden gebruikt om lokale directorystructuren, broncode-repositories of exportpaden van de site-generator te analyseren op modelgerelateerde bestanden, configuraties en referenties naar modelendpoints. De output kan vervolgens worden verrijkt met informatie uit Azure-portals, CMDB’s of projectdocumentatie. Door inventarisatie te combineren met een heldere classificatie – bijvoorbeeld op basis van gegevenssoort, impact op burgers en afhankelijkheid van externe leveranciers – ontstaat een concreet beeld van waar model protection-inspanningen het hardst nodig zijn.
Toegangsbeheer en beveiliging van modelendpoints en deployments
Wanneer duidelijk is welke modellen in gebruik zijn, verschuift de aandacht naar toegangsbeheer en beveiliging van de omgevingen waarin deze modellen draaien. In een overheidscontext is het cruciaal dat slechts een beperkt aantal geautoriseerde personen modellen kan wijzigen, hertrainen of opnieuw uitrollen, en dat toegang tot voorspellings-API’s strikt wordt geregeld. Dit betekent concreet dat u rolgebaseerde toegang (RBAC) inricht op Azure Machine Learning workspaces, dat u gebruikmaakt van managed identities of service principals voor geautomatiseerde pipelines, en dat u de toegang tot endpoints beperkt tot specifieke applicaties, netwerken of private endpoints. Anonieme of publiek toegankelijke modelendpoints horen niet thuis in een omgeving met hoogwaardig overheidsdata; elke aanroep moet herleidbaar zijn tot een identiteit en een gevalideerd systeem.
Naast logische toegangscontrole speelt ook netwerksegmentatie een grote rol in model protection. Productie-omgevingen voor AI-modellen zouden moeten draaien in streng afgebakende segmenten, met firewallregels die alleen het noodzakelijke verkeer toestaan. Dit beperkt de mogelijkheden voor laterale beweging wanneer een aanvaller toch toegang weet te krijgen tot een onderdeel van de infrastructuur. Integreer modelendpoints waar mogelijk met bestaande beveiligingslagen zoals Web Application Firewalls (WAF), API Management en DDoS-bescherming, zodat misbruikpogingen vroegtijdig kunnen worden gedetecteerd en geblokkeerd. Voor endpoints die worden gebruikt door ketenpartners of leveranciers moeten aanvullende afspraken worden gemaakt over authenticatie, autorisatie en monitoring, zodat de overheid de controle behoudt over hoe en door wie modellen worden benaderd.
Tot slot is het essentieel om ook het deploymentproces zelf te beveiligen. Modellen worden vaak via CI/CD-pipelines of MLOps-platformen uitgerold; als deze pipelines onvoldoende zijn afgeschermd, kunnen aanvallers malafide modelversies inspuiten of bestaande modellen onopgemerkt manipuleren. Richt daarom strikte releaseprocedures in, inclusief vier-ogen-principes voor productiereleases, handtekening of hash-controle van modelartefacten en geautomatiseerde checks die verifiëren of de juiste configuraties, versies en afhankelijkheden worden gebruikt. Bewaar alle deployment-logs en goedkeuringen, zodat achteraf exact kan worden gereconstrueerd welke versie wanneer is uitgerold, door wie is goedgekeurd en welke tests zijn uitgevoerd. Dit ondersteunt niet alleen forensisch onderzoek, maar is ook noodzakelijk om richting toezichthouders aan te tonen dat AI-systemen onder beheersbare en controleerbare condities opereren.
Logging, monitoring en volledige audittrail rond modelwijzigingen
Gebruik PowerShell-script model-protection.ps1 (functie Invoke-ModelProtectionAssessment) – Genereert een rapport met basiscontroles op de aanwezigheid van modelbestanden, configuratieconsistentie en logginglocaties, zodat hiaten in model protection zichtbaar worden..
Model protection kan alleen geloofwaardig worden aangetoond als elke relevante actie rond modellen herleidbaar is. Dit vraagt om een samenhangende aanpak voor logging, monitoring en auditing. Alle belangrijke gebeurtenissen in de modellifecycle – zoals het aanmaken van een nieuw model, het hertrainen op andere data, het wijzigen van hyperparameters, het aanpassen van toegangsrechten of het uitrollen naar een nieuwe omgeving – moeten worden vastgelegd in logbestanden en audittrails die niet eenvoudig te manipuleren zijn. Deze logs moeten minimaal informatie bevatten over wie de actie heeft uitgevoerd, op welk moment, op welk model en met welke parameters. Voor cloudgebaseerde modellen betekent dit dat u Azure-activiteitenlogs, Machine Learning-logs, CI/CD-pipeline-logs en identity-logs (zoals Entra ID sign-ins) op een centrale plek verzamelt, bijvoorbeeld in Log Analytics en Microsoft Sentinel.
Naast het puur registreren van gebeurtenissen is actieve monitoring nodig om afwijkingen te detecteren. Denk aan waarschuwingen wanneer een model vaker dan verwacht wordt hertraind, wanneer een ongebruikelijke gebruiker release-acties uitvoert of wanneer een modelendpoint plotseling veel meer verkeer ontvangt dan normaal. Deze signalen kunnen duiden op misbruik of onbedoelde veranderingen in de keten. Door modelgerelateerde logs op te nemen in SOC-use cases en dashboards, krijgen analisten beter zicht op de veiligheidspositie van AI-systemen en kunnen zij sneller ingrijpen bij verdachte patronen. Het PowerShell-script dat bij dit artikel hoort, kan als laagdrempelig hulpmiddel worden ingezet om basiscontroles uit te voeren op de aanwezigheid van log- en configuratiebestanden in lokale directories, zodat duidelijk wordt of de fundamenten voor goede monitoring überhaupt aanwezig zijn.
Voor de Nederlandse overheid zijn auditability en transparantie bovendien randvoorwaardelijk voor legitimiteit. Burgers en toezichthouders moeten erop kunnen vertrouwen dat besluiten waarbij AI een rol speelt, achteraf kunnen worden verklaard en gereconstrueerd. Dit betekent dat log- en auditgegevens gedurende voldoende lange perioden moeten worden bewaard, dat ze zijn beschermd tegen ongeautoriseerde wijzigingen, en dat procedures bestaan voor het veilig ontsluiten van deze gegevens bij klachten, bezwaarprocedures of parlementaire vragen. Door model protection te koppelen aan bestaande archief-, logging- en verantwoordingseisen wordt AI geen ondoorzichtige black box, maar een beheersbare technologie binnen het bredere kader van de Nederlandse rechtsstaat.
Compliance & Frameworks
- BIO: 12.02, 12.05, 13.01 - Beveiligingsmaatregelen voor applicaties en systemen, inclusief beheer van wijzigingen, logging en monitoring van AI-modellen en kritieke digitale diensten.
- ISO 27001:2022: A.12.1.2, A.12.4.1, A.14.2.2 - Change management, logging en beveiliging van applicatieontwikkel- en uitrolprocessen voor AI-workloads en modelartefacten.
- NIS2: Artikel - Inrichting van passende technische en organisatorische maatregelen om essentiële en belangrijke diensten te beschermen, inclusief AI-modellen en de infrastructuur waarop zij draaien.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Inventarisatie- en beoordelingsscript voor model protection rond AI-systemen.
.DESCRIPTION
Voert een basisinventarisatie uit van modelgerelateerde bestanden en configuraties
in een opgegeven directorystructuur en genereert een rapport met bevindingen en
aanbevelingen voor het versterken van model protection.
.NOTES
Filename: model-protection.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/ai/security/model-protection.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\model-protection.ps1 -ModelInventory
Voert een basisinventarisatie uit van modelbestanden in de opgegeven rootdirectory.
.EXAMPLE
.\model-protection.ps1 -Assessment
Genereert een markdown rapport met bevindingen en aanbevelingen voor model protection.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$ModelInventory,
[Parameter()]
[switch]$Assessment,
[Parameter()]
[string]$RootPath = "D:\Github\m365-tenant-best-practise",
[Parameter()]
[string]$ReportPath = "D:\Github\m365-tenant-best-practise\log\model-protection-report.md"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Invoke-ModelInventory {
<#
.SYNOPSIS
Voert een basisinventarisatie uit van model- en configuratiebestanden.
.OUTPUTS
PSCustomObject[]
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Path
)
Write-Verbose "Start modelinventarisatie in: $Path"
if (-not (Test-Path -Path $Path)) {
Write-Verbose "Opgegeven pad bestaat niet, retourneer lege verzameling."
return @()
}
$patterns = @("*.onnx", "*.pb", "*.pt", "*.pkl", "*.model", "*.json", "*.yaml", "*.yml")
$files = @()
foreach ($pattern in $patterns) {
$files += Get-ChildItem -Path $Path -Recurse -Filter $pattern -ErrorAction SilentlyContinue
}
if (-not $files) {
Write-Verbose "Geen model- of configuratiebestanden gevonden."
return @()
}
$results = foreach ($file in $files | Sort-Object FullName -Unique) {
[PSCustomObject]@{
Name = $file.Name
FullName = $file.FullName
Extension = $file.Extension
Directory = $file.DirectoryName
LengthBytes = $file.Length
LastWriteTime = $file.LastWriteTime
IsConfigFile = $file.Extension -in @(".json", ".yaml", ".yml")
}
}
return $results
}
function Invoke-ModelProtectionAssessment {
<#
.SYNOPSIS
Analyseert de inventarisatie en genereert kernstatistieken.
.OUTPUTS
hashtable
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[System.Collections.IEnumerable]$Inventory
)
if (-not $Inventory) {
return @{
HasModels = $false
Inventory = @()
Statistics = @{}
}
}
$items = @($Inventory)
$total = $items.Count
$byExt = $items | Group-Object Extension | Sort-Object Count -Descending
$byFolder = $items | Group-Object Directory | Sort-Object Count -Descending
$sizeStats = ($items | Select-Object -ExpandProperty LengthBytes) | Measure-Object -Average -Maximum -Minimum
$stats = @{
TotalItems = $total
ByExtension = $byExt
ByDirectory = $byFolder
SizeStats = $sizeStats
}
return @{
HasModels = $true
Inventory = $items
Statistics = $stats
}
}
function New-ModelProtectionReport {
<#
.SYNOPSIS
Genereert een markdown rapport met bevindingen en aanbevelingen.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[hashtable]$AssessmentResult,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$now = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
$lines = @()
$lines += "# Model Protection Rapport"
$lines += ""
$lines += "**Laatst gegenereerd:** $now "
$lines += "**Bron:** code/ai/security/model-protection.ps1"
$lines += ""
if (-not $AssessmentResult.HasModels) {
$lines += "## Samenvatting"
$lines += ""
$lines += "Er zijn geen model- of configuratiebestanden gevonden in de opgegeven directorystructuur."
$lines += "Dit kan betekenen dat AI-modellen elders worden beheerd of dat de huidige omgeving nog geen"
$lines += "expliciete modelartefacten bevat. Zonder duidelijk inzicht in waar modellen zich bevinden,"
$lines += "is het echter moeilijk om gerichte model protection-maatregelen te treffen."
$lines += ""
$lines += "## Aanbevolen vervolgacties"
$lines += ""
$lines += "- Controleer of AI-modellen mogelijk in andere repositories, opslaglocaties of cloudomgevingen worden beheerd."
$lines += "- Leg in architectuurdocumentatie vast waar modelartefacten thuishoren en hoe zij worden geclassificeerd."
$lines += "- Richt een centraal modelregister in waarin per model eigenaar, platform en risicoprofiel worden opgenomen."
}
else {
$stats = $AssessmentResult.Statistics
$lines += "## Samenvatting"
$lines += ""
$lines += ("In totaal zijn **{0}** potentiële model- of configuratiebestanden aangetroffen in de gescande directorystructuur." -f $stats.TotalItems)
$lines += "Dit vormt een eerste basis voor een centraal modelregister en voor gerichte model protection-maatregelen."
$lines += ""
$lines += "## Kernstatistieken"
$lines += ""
$lines += ("- Totaal aantal aangetroffen items: **{0}**" -f $stats.TotalItems)
if ($stats.SizeStats) {
$lines += ("- Gemiddelde bestandsgrootte: **{0:N0} bytes**" -f $stats.SizeStats.Average)
$lines += ("- Kleinste bestand: **{0} bytes**" -f $stats.SizeStats.Minimum)
$lines += ("- Grootste bestand: **{0} bytes**" -f $stats.SizeStats.Maximum)
}
$lines += ""
$lines += "### Top extensies"
$lines += ""
foreach ($g in $stats.ByExtension | Select-Object -First 5) {
$lines += ("- `{0}` : {1} bestanden" -f $g.Name, $g.Count)
}
$lines += ""
$lines += "### Top directories"
$lines += ""
foreach ($g in $stats.ByDirectory | Select-Object -First 5) {
$lines += ("- `{0}` : {1} bestanden" -f $g.Name, $g.Count)
}
$lines += ""
$lines += "## Aanbevolen vervolgacties"
$lines += ""
$lines += "- Gebruik deze inventarisatie als basis voor een centraal modelregister met eigenaarschap en classificatie per model."
$lines += "- Controleer of voor de belangrijkste directories passende toegangsrechten, back-up en logging zijn ingericht."
$lines += "- Bepaal welke modelbestanden kritisch zijn voor besluitvorming of dienstverlening en prioriteer daar aanvullende beveiligingsmaatregelen."
$lines += "- Documenteer in welke omgevingen (ontwikkeling, test, productie) de verschillende modellen worden gebruikt."
}
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$lines | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "Rapport gegenereerd: $OutputPath" -ForegroundColor Green
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Model Protection Inventarisatie & Rapportage" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
$inventory = Invoke-ModelInventory -Path $RootPath
$assessmentResult = Invoke-ModelProtectionAssessment -Inventory $inventory
if ($ModelInventory) {
# Alleen inventarisatie uitvoeren en resultaat teruggeven
$result = [PSCustomObject]@{
ScriptName = "model-protection.ps1"
IsCompliant = $assessmentResult.HasModels
Timestamp = Get-Date
Details = "Modelinventarisatie uitgevoerd. Zie Inventory-eigenschap voor details."
Inventory = $assessmentResult.Inventory
}
$result
}
elseif ($Assessment) {
if ($WhatIf) {
Write-Host "[WhatIf] Zou een model protection rapport genereren op: $ReportPath" -ForegroundColor Yellow
}
else {
New-ModelProtectionReport -AssessmentResult $assessmentResult -OutputPath $ReportPath
}
}
else {
# Standaard: korte samenvatting naar console
if (-not $assessmentResult.HasModels) {
Write-Host "Geen model- of configuratiebestanden gevonden in de opgegeven rootdirectory." -ForegroundColor Yellow
}
else {
Write-Host ("{0} potentiële model- of configuratiebestanden gevonden." -f $assessmentResult.Statistics.TotalItems) -ForegroundColor Green
Write-Host "Run dit script met -Assessment om een uitgebreid rapport te genereren." -ForegroundColor Cyan
}
}
}
catch {
Write-Error "Er is een fout opgetreden in model-protection.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder gerichte model protection lopen AI-systemen van overheidsorganisaties een aanzienlijk risico om te worden gemanipuleerd, gestolen of misbruikt, wat kan leiden tot foutieve besluiten, datalekken en verlies van vertrouwen in digitale dienstverlening.
Management Samenvatting
Model protection zorgt ervoor dat AI-modellen, hun artefacten en endpoints aantoonbaar worden beschermd door goed toegangsbeheer, veilige deployments, robuuste logging en een centraal modelregister. Door deze maatregelen te verankeren in governance, compliance en SOC-processen wordt de weerbaarheid van AI-systemen in de Nederlandse overheid structureel verhoogd.
- Implementatietijd: 80 uur
- FTE required: 0.5 FTE