Is generative AI een bedreiging voor de beveiliging?
De belangstelling voor generative artificial intelligence (AI) heeft recordhoogten bereikt. Tegelijkertijd maken veel mensen zich zorgen over artificial intelligence, zoals bleek uit een open brief die oproep tot het stopzetten van de ontwikkeling van AI. Maar hoe reëel is de bedreiging? En welk gevaar vertegenwoordigt generative AI op het gebied van cybersecurity?
Door: Rolf Hellemons, Associate Director Verizon Business, Benelux & Nordics
De algemene bedreiging die van AI uitgaat
AI zorgt nu al voor veranderingen in diverse sectoren. De ontwikkeling van deze technologie neemt toe, en daarmee ook haar potentieel van ingrijpende disruptie. Dit wekt bij werknemers de angst dat ze zullen worden vervangen. We hebben al gezien dat dit een rol begint te spelen bij onder meer de ontwikkeling van content met behulp van generative AI. AI is inmiddels niet meer weg te denken. Veel toepassingsmogelijkheden van deze technologie worden pas na verloop van tijd ontdekt. En zoals voor elke nieuwe technologie geldt moet de branche zich daar een beter begrip van vormen om manieren te kunnen vinden om daar op verantwoorde wijze gebruik van te maken.
De angst om door technologie vervangen te worden is zeker niet nieuw. Dit soort zorgen deden zich voor bij komst van lopende banden en de introductie van robots in de productie-industrie. Maar eerlijk is eerlijk: er is sprake van een fundamenteel verschil tussen AI en eerdere technologische innovaties, en dat zit hem in zijn intrinsieke vermogen om zich aan te passen. Dit introduceert een element van onvoorspelbaarheid waar veel mensen zich bijzonder ongemakkelijk bij voelen. Naarmate generative AI steeds geavanceerder wordt zal het ook steeds moeilijker worden om AI van mensen te onderscheiden. De laatste versies van generative AI hebben al laten zien dat ze de Turing-test kunnen doorstaan. Dit is een evaluatie van het vermogen van een AI-oplossing om mensen te doen geloven dat ze met een mens van doen hebben.
Wat doe je wanneer je geen onderscheid meer kunt maken tussen mensen en AI? Hoe kun je identiteiten, data en correspondentie dan nog vertrouwen? Er zal een zero trust-mentaliteit nodig zijn waarbij alle gebruikers moeten worden geauthenticeerd, gemachtigd en voortdurend gecontroleerd. Hoe AI zich zal ontwikkelen en met welke snelheid valt nog niet te voorspellen, maar hier zijn alvast een paar actuele en potentiële implicaties voor de IT-beveiliging om alvast rekening mee te houden.
Het opschalen van cyberaanvallen
Een paar jaar geleden zag de eerste door AI gegenereerde kunst het licht. Veel kunstenaars werden hier enorm nerveus van, maar sommigen van hen waren van mening dat AI hen zou kunnen helpen om meer creaties te vervaardigen door herhaaldelijk terugkerende taken voor hen waar te nemen. Zo zou een illustrator een patroon kunnen ontwerpen en AI kunnen gebruiken om dat te herhalen, zodat het opvullen van de achtergrond van een illustratie sneller verloopt. Cybercriminelen kunnen gebruikmaken van hetzelfde principe om hun aanvallen op te schalen.
Cybercriminelen voeren het meeste van hun werk handmatig uit. Dat betekent er voor dat grootschalige cyberaanvallen een heel leger van mensen nodig is. Cybercriminelen kunnen nu echter een beroep doen op AI voor het terugdringen van tijdrovende routinetaken zoals het verzamelen van informatie over een doelwit. Staatshackers, die tot de gevaarlijkste cybercriminelen behoren, zullen met veel grotere waarschijnlijkheid hun middelen aanwenden voor investeringen in geavanceerde AI om hun aanvallen op te schalen. Op die manier kunnen ze meer doelwitten aanvallen en hun kansen vergroten om kwetsbaarheden te vinden en misbruiken.
Cybercriminelen en generative AI
Gebruikers kunnen een generative AI-oplossing vragen om kwaadaardige code of phishing-scams te genereren. De ontwikkelaars van die oplossingen beweren dat ze niet op dergelijke kwaadaardige verzoeken zouden ingaan. Het probleem is dat cybercriminelen indirecte manieren kunnen vinden om code aan een generative AI-oplossing te ontfutselen. De ontwikkelaars van generative AI moeten de parameters daarvan voortdurend opnieuw onder de loep nemen om te waarborgen dat er geen misbruik wordt gemaakt van nieuwe kwetsbaarheden. De dynamische aard van AI vraagt om voortdurend toezicht.
Cybercriminelen zouden generative AI ook kunnen inzetten om misbruik te maken van menselijke fouten. Want mensen vertegenwoordigen een van de grootste kwetsbaarheden in de beveiliging. Cybercriminelen zouden AI kunnen gebruiken om mensen voor hun karretje te spannen met behulp van social engineering. Dit is een verzameling van technieken voor psychologische manipulatie die mensen ertoe bewegen om handelingen uit te voeren die cybercriminelen in staat stellen om de beveiliging te omzeilen. Generative AI beschikt over uiterst krachtige natural language processing (NLP)-vaardigheden en zou daarom zeer doeltreffend kunnen zijn in het stroomlijnen social engineering-aanvallen.
Bescherming bieden tegen generative AI
Veel mensen richten hun blik volledig op de potentiële risico’s die generative AI vertegenwoordigt. Maar het is belangrijk om ook oog te hebben voor het menselijke element dat er onlosmakelijk mee is verbonden. Een security-professional kan AI net zo goed gebruiken als beveiligingsmechanisme als een cybercrimineel die kan inzetten voor het uitvoeren van een aanval.
Een van de belangrijkste conclusies van het Data Breach Investigations Report (DBIR) van Verizon is dat de menselijke factor een belangrijke rol bij beveiligingsincidenten speelt. Dat kan gaan om alles van diefstal van aanmeldingsgegevens tot phishing en simpele menselijke fouten. Mensen zijn vatbaar voor de social engineering-aanvallen die cybercriminelen nu met generative AI op massale schaal kunnen uitvoeren. Hierdoor kunnen burgers, consumenten en bedrijven aan steeds meer cyberbedreigingen worden blootgesteld. En dat probleem wordt er alleen maar erger op nieuwe manieren van werken. Het beheer van aanmeldingsgegevens wordt namelijk enorm complex nu werknemers afwisselend thuis en op kantoor werken en tussen een laptop van de werkgever en een privésystemen schakelen.
De angst voor grootschalige cyberbedreigingen pleit steeds sterker voor een zero trust-aanpak. Dit is een beveiligingsbenadering die uitgaat van het principe “vertrouw niets of niemand en controleer altijd alles”. Deze aanpak is gebaseerd op de realiteit dat cyberbedreigingen uit alle hoeken kunnen komen, zelfs van binnenuit de organisatie. Een zero trust-aanpak vraagt niet alleen om strikte authenticatie van gebruikers, maar past neemt ook alle applicaties en onderdelen van de bedrijfsinfrastructuur onder de loep, van de toevoerketen tot cloudomgevingen switches en routers.
Het ontwikkelen van een zero trust-architectuur en technologie voor het toepassen van beveiligingsregels is een ernorme opgave, maar AI zou dit proces aanzienlijk kunnen vereenvoudigen. Met andere woorden: de technologie die de potentie bezit om grootschalige cyberbedreigingen in het leven te roepen kan ook de duizenden beveiligingsprocedures stroomlijnen die zijn om deze aanvallen een halt toe te roepen.
Het duveltje is uit het doosje
De realiteit is dat de doos van Pandora al is geopend en AI er niet terug in kan worden gestopt. AI is een hulpmiddel, en zoals elk ander hulpmiddel kan die op een productieve of destructieve manier worden gebruikt. We moeten AI daarom in ons voordeel gebruiken en ondertussen zien te anticiperen hoe cybercriminelen deze technologie zouden kunnen inzetten.