Kunstmatige intelligentie (AI) is in no-time een krachtig hulpmiddel geworden om bedrijfsprocessen te versnellen. Steeds meer organisaties passen de mogelijkheden van AI-applicaties toe in hun dagelijkse bedrijfsvoering. Maar let op: ook cybercriminelen doen hun voordeel met AI. Chester van den Bogaard, Cybersecurityconsultant bij BDO, legt uit.
AI biedt aanvallers nieuwe manieren om hun doelen te bereiken. Bijvoorbeeld door een aanvalscode te genereren. “Stel je voor dat je een aanvaller bent die op zoek is naar een code om kwetsbaarheden in een website te analyseren. Hoewel je waarschijnlijk niet direct de juiste code krijgt, kan AI je snel voorzien van bruikbare zinnen die je kunt omzetten in werkende aanvalscode”, legt Van den Boogaard uit. Hierdoor kunnen aanvallers razendsnel nieuwe codes ontwikkelen en inzetten. Ook is het mogelijk om de broncode van een website in een AI-tool te plakken, om vervolgens te vragen waar fouten en kwetsbaarheden zitten. Dit maakt een aanval eenvoudiger. “Daarom is het noodzakelijk dat we vergelijkbare middelen inzetten om onze software te verdedigen.”
Gelukkig heeft het verhaal ook een positieve kant. “We zijn steeds beter in staat om aanvallen te detecteren en ons tegen deze bedreigingen te wapenen”, legt Van den Bogaard uit. “Zo kunnen we AI-tools laten analyseren hoe we onze code en applicaties veiliger kunnen maken en hoe we detectieprocessen kunnen versnellen.” Vanuit Microsoft worden ook nieuwe oplossingen ontwikkeld, zoals Security Copilot. Hiermee kunnen bedrijven op een veilige manier gebruik maken van kunstmatige intelligentie in hun Microsoft 365 pakket.
Wanneer het gaat om het voorkomen van AI-ondersteunde cyberaanvallen, spelen onder andere securitytesten een cruciale rol. “Bij securitytesten controleren professionele hackers de digitale infrastructuur van bedrijven (zoals applicaties waarmee gewerkt wordt, red.) op kwetsbaarheden, zodat de desbetreffende partijen deze kunnen verhelpen voordat er misbruik van wordt gemaakt”, vertelt Van den Bogaard. “De mogelijkheid om aanvalscode te genereren wordt bij veel AI-toepassingen bovendien al belemmerd door ethische blokkades”, legt hij uit. Toch blijft waakzaamheid geboden: “Criminele organisaties en statelijke actoren hebben vaak de middelen en expertise om eigen (ongelimiteerde) AI-toepassingen te bouwen die niet worden beperkt door ethische blokkades. Hierdoor kunnen zij dit toch gebruiken voor aanvallen.”
Voor veel bedrijven wegen de voordelen van kunstmatige intelligenties zwaarder dan de risico’s. “Maar”, benadrukt Van den Boogaard, “juist met die risico’s moet je rekening houden. Maak, voor je met AI-tools aan de slag gaat een afgewogen keuze en win daarvoor advies in bij een onafhankelijke organisatie.” Zo vergroot AI afhankelijkheid van derden. “Reguliere organisaties zullen zelf geen AI-infrastructuur draaien, waardoor de afhankelijkheid van AI-platformen en leveranciers die met tooling werken toe zal nemen.”
Het opstellen van beleid voor medewerkers kan helpen om AI veilig in een organisatie te integreren. Daarmee voorkom je bovendien dat klantdata onbedoeld in de verkeerde handen vallen. “ChatGPT gebruikt immers alle informatie die het krijgt om het taalprogramma te verbeteren. Oók de stukken met gevoelige inhoud die u per ongeluk invoert.”
Zelf gebruikt BDO onder meer veilige AI-tools om geautomatiseerd advies op het gebied van cybersecurity te kunnen geven. “Daarnaast gaan we securitymonitoring met Microsoft Security Copilot vormgeven waarmee we aanvallen sneller en beter kunnen detecteren. Verder gebruiken wij AI voor incident response-onderzoek. Als iemand bijvoorbeeld een phishingmail ontvangt, kunnen we veel sneller de gegevens achter die mail analyseren.”
Europa erkent ook de gevaren van AI. Het Europese Parlement is inmiddels akkoord gegaan met de laatste versie van de Europese AI-act. Van den Boogaard: “Deze wetgeving moet ervoor zorgen dat bedrijven, overheden en consumenten op een veilige manier kunstmatige intelligentie kunnen gebruiken. Tegelijkertijd verwacht men dat dit naast meer rechten ook extra verplichtingen zal opleveren.” Het is nog niet bekend wanneer deze wet in werking zal treden.