De afgelopen jaren is er over weinig onderwerpen zoveel gesproken als over AI. Volgens sommigen is deze technologie veelbelovend en revolutionair, terwijl anderen ervoor waarschuwen dat AI oncontroleerbaar gaat worden. AI kan flinke voordelen bieden, maar het heeft een schaduwkant, zoals hoe deze technologie omgaat met privacygevoelige informatie en het gegeven dat cybercriminelen AI kunnen misbruiken.
Er zitten dan ook duidelijke ethische kwesties aan AI en het is belangrijk om deze technologie goed te reguleren. Daarbij moet er wel voor worden gezorgd dat nieuwe wet- en regelgeving de inzet van AI door cybersecurityprofessionals niet belemmert. Hun tegenstanders – cybercriminelen en ‘vijandige’ landen – houden zich immers niet aan dezelfde ‘regels’.
Als voorvechter van het recht op privacy wil ik niet dat mijn persoonlijke gegevens op grote schaal worden gedeeld en mogelijk worden misbruikt. Helaas is veel van mijn persoonlijke informatie al ‘out there’ en ontvang ik vaak meldingen over datalekken waarbij ook mijn gegevens mogelijk zijn gelekt. Het gaat dan om gegevens zoals mijn e-mailadres en telefoonnummer, maar ook dat kan al genoeg zijn voor vervelende en mogelijk schadelijke activiteiten. Ik krijg voortdurend sms’jes en e-mails van mensen van wie ik weet dat ze me proberen op te lichten – “Uw pakket kon niet bezorgd worden, klik hier om een nieuwe bezorgafspraak te maken.”
Dit is eerder frustrerend dan echt gevaarlijk, maar met de inzet van AI zal phishing een stuk intelligenter worden. De afzender kan zich voordoen als iemand die ik net op een evenement heb ontmoet, met een foto die toen gemaakt zou kunnen zijn. Maar waarbij de afzender uiteindelijk toch niet is wie hij beweert te zijn.
Er bestaan ook al zeer realistische deepfake-video’s, maar die hebben vooralsnog alleen betrekking op beroemdheden en publieke figuren. Het is echter een kwestie van tijd voordat AI van iedereen heel makkelijk en snel een overtuigende deepfake kan maken. We stevenen af op een situatie waarin elke vorm van communicatie, behalve face-to-face, kritisch onder de loep moet worden genomen, omdat het risico op misbruik steeds groter wordt.
Cybercriminaliteit wordt toegankelijker
Voordat AI het dagelijkse nieuws begon te domineren, was Ransomware-as-a-Service (RaaS) al een bekend fenomeen. Op illegale marktplaatsen worden tools aangeboden waarmee heel eenvoudig grootschalige ransomware-aanvallen kunnen worden uitgevoerd. Een cybercrimineel heeft met RaaS helemaal geen technische kennis meer nodig om een aanval uit te voeren, waarmee ook de drempel om in de cybercriminaliteit te gaan lager is geworden.
Door AI zien we nu een nieuwe sprong in deze ontwikkeling, met aanvallen die steeds moeilijker te detecteren zijn, die volledig autonoom worden uitgevoerd en waarbij de aanvaller geen bijzondere expertise nodig heeft. Een scenario waarbij een AI-bot het doelwit vindt, inbreekt en ook het losgeld int, zonder enige menselijke tussenkomst, is niet meer ondenkbaar.
Met wet- en regelgeving proberen overheden het gebruik in goede banen te leiden. De EU loopt voorop bij wet- en regelgeving rond het gebruik van AI. Eerder dit jaar is de AI ACT aangenomen en deze is per 1 augustus in werking getreden. In Nederland gelden de eerste regels vanaf 2 februari 2025 en wordt de hele wet van toepassing op 2 augustus 2027. Ik denk dat dit nodig is. Toch maken veel security-experts die in principe positief zijn over AI-regulering zich zorgen over overregulering.
Zowel AI als security heeft data nodig
Vanuit security optiek zou er een goede balans moeten zijn tussen enerzijds wet- en regelgeving gericht op het beschermen van privacy en anderzijds ruimte voor ondernemingen om klantgegevens te gebruiken voor het trainen en gebruiken van AI-modellen. Cybercriminelen en vijandige landen maken ook al gebruik van AI en we kunnen ervan uitgaan dat zij zich weinig aantrekken van wet- en regelgeving.
Voor gewetenloze aanvallers zijn er enorme hoeveelheden data beschikbaar om hun AI-modellen te trainen. Leksites op het dark web staan vol met gestolen data. Daarnaast zijn nog meer gegevens makkelijk toegankelijk via social media en standaard zoekdiensten.
Regulering mag haar doel niet voorbijschieten
Het risico van overregulering is dat het criminelen een voorsprong geeft: ze kunnen betere AI-modellen bouwen dan een bedrijf dat sommige gegevens maar beperkt mag gebruiken. Hoewel er methoden zijn om gevoelige AI-data op een veilige manier te beheren – denk aan ‘tokenization’ en anonimiseren – lopen we het risico dat we achter aanvallers blijven aanlopen die bij het gebruik van AI geen ethische afwegingen hoeven te maken en daardoor mogelijk betere modellen kunnen ontwikkelen.
Een risico van AI-wetgeving is dat het in de praktijk vooral een afvinklijstje wordt voor bedrijven en overheden die het gevoel willen hebben dat ze aan de regels voldoen. Als wet- en regelgeving security operations belemmeren en aanvallers daarmee een voordeel verschaffen, schieten ze hun doel voorbij en wordt niemand er veiliger op. Dat moeten we voorkomen.