Auteur: Tim Fitters (IT Risk & Compliance Consultant)

In onze moderne, verbonden digitale wereld zijn digitale gegevens belangrijker dan ooit. We gebruiken ze voor werk, communicatie en zelfs voor onze gezondheid. Dit maakt het nodig om goede beveiligingsmaatregelen te nemen. Organisaties hebben te maken met veel verschillende risico's en uitdagingen. Cyberaanvallen, zoals phishing, diefstal van data en hacks, worden steeds geavanceerder en gevaarlijker, bijvoorbeeld de phishing aanvallen die steeds moeilijker te herkennen zijn. Hierdoor zijn niet alleen de ‘grote bedrijven’, maar ook mkb-bedrijven en personen kwetsbaar voor deze bedreigingen. Daarnaast vormen insider threats, waarbij kwaadwillende werknemers of onwetende medewerkers schade toebrengen, ook een groot risico voor de cybersecurity van organisaties. De groei van Internet of Things (IoT)-apparaten en cloud computing brengt ook weer nieuwe gevaren met zich mee en maakt het moeilijker om cybersecurity goed te beheren.

Al met al, weer voldoende stof tot nadenken. Want hoe kunnen we ons beter wapenen tegen deze bedreigingen? Nou, zoals AI een steeds grotere rol gaat spelen in onze ‘normale’ werkzaamheden, kan AI ook helpen bij het verbeteren van je cybersecurity. Onderzoeken van bijvoorbeeld Fnu Jimmy. (2021) en Jada et al. (2024) laten zien dat AI helpt om de cybersecurity te verbeteren door bedreigingen sneller te herkennen en sneller te reageren. Hierdoor is AI een bruikbaar hulpmiddel geworden in het verbeteren van de cybersecurity en daarmee de strijd tegen cybercriminelen! Zoals met vrijwel alles: AI biedt veel voorbeelden voor je beveiliging, er zijn ook nadelen of zoals we ze liever noemen ‘uitdagingen’ die er bij komen kijken.

AI-methoden vs. traditionele methoden

Volgens Jada et al. (2024) is het belangrijk om het verschil te begrijpen tussen AI-methoden en de ‘traditionele’ (cyber)beveiligingsmethoden om te zien hoe AI helpt bij cybersecurity. Dus first things first. Traditionele systemen, zoals firewalls en antivirussoftware, zijn vaak reactief. Dit betekent dat ze pas actie ondernemen nadat er een aanval heeft plaatsgevonden. Bijvoorbeeld, als er een virus op je computer komt, kan de antivirussoftware het pas blokkeren als het virus al is binnengedrongen. Dit kan leiden tot schade voordat het probleem wordt ontdekt of opgelost.

In tegenstelling tot deze traditionele methoden zijn de ‘AI-systemen’ proactief. Ze kunnen dreigingen voorspellen en voorkomen voordat ze zich voordoen. Stel je voor dat er een systeem is dat voortdurend het netwerkverkeer van een bedrijf in de gaten houdt. Dit systeem leert van eerdere aanvallen en herkent afwijkend gedrag. Als het bijvoorbeeld merkt dat er plotseling veel gegevens naar een onbekende server worden gestuurd, kan het direct een waarschuwing geven. Zo kun je als bedrijf snel reageren en de datastroom blokkeren om zo de impact te beperken of te voorkomen. Nu hoor ik ook je ook denken van:“ ja, wat nu als ik een datamigratie ga doen? Dan zit dit AI-systeem me in de weg!”. Inderdaad, hier ben ik het mee eens en dit zullen we later in dit artikel ‘behandelen’.

Long story, short: traditionele beveiligingssystemen zijn dus vaak algemeen toepasbaar en wachten tot er een dreiging is. AI-systemen zijn meer op maat gemaakt en maken gebruik van geavanceerde technieken zoals machine learning. Dit leidt vaak tot een betere detectie van bedreigingen dan de meer statische en reactieve aanpak van traditionele systemen.

Naast het nadeel van de ‘afwijkende processen’, zoals datamigratie zijn er ook nog andere nadelen aan AI. Als AI-systemen of de gegevens waarop ze zijn getraind worden aangetast, kan het hele systeem falen. Dit is minder waarschijnlijk bij traditionele systemen, aangezien ze minder afhankelijk zijn van complexe algoritmen. Bovendien vallen AI-oplossingen onder striktere regelgeving om verantwoord en ethisch gebruik te waarborgen.

Voordelen

Zoals eerder kort besproken, biedt AI verschillende voordelen voor cybersecurity. Een van de grootste voordelen is de snelheid waarmee verdachte activiteiten kunnen worden gedetecteerd. AI-systemen zijn in staat om enorme hoeveelheden data te analyseren in een fractie van de tijd die mensen nodig zouden hebben. Dit helpt beveiligingsteams om sneller te reageren op bedreigingen. Neem bijvoorbeeld een situatie waarin een bedrijf wordt aangevallen door ransomware. Een AI-systeem kan snel ontdekken dat er ongebruikelijke versleuteling van bestanden plaatsvindt en onmiddellijk een waarschuwing geven. Hierdoor kan het bedrijf de aanval stoppen voordat er belangrijke gegevens verloren gaan.

Een ander voordeel van AI is dat het kan helpen bij het automatiseren van routinetaken. Dit betekent dat AI zonder menselijke tussenkomst kan werken. Denk aan het scannen van computers op malware of het beheren van software-updates. Als AI deze taken overneemt, bespaart dit tijd en kunnen medewerkers zich concentreren op andere werkzaamheden. Dit verhoogt de efficiëntie van het team en vermindert daarnaast de kans op menselijke fouten. Als een medewerker bijvoorbeeld regelmatig handmatig software-updates uitvoert, kan het zijn dat hij of zij soms vergeet deze bij te werken. AI zorgt ervoor dat dit automatisch gebeurt.

Voorspellende analyses is een ander belangrijk voordeel van AI. Door historische gegevens te analyseren, kan AI-trends en patronen identificeren. Dit helpt bedrijven om toekomstige dreigingen beter te voorspellen. Stel je voor dat een AI-systeem leert van eerdere aanvallen op een netwerk. Het kan dan aangeven welke systemen het meest kwetsbaar zijn voor aanvallen. Dit stelt organisaties in staat om hierop te anticiperen en daarmee voorkomen dat ze het doelwit worden van aanvallers.

Nadelen of beter gezegd: ‘uitdagingen’?

Hoewel AI veel voordelen biedt, zijn er ook nadelen en uitdagingen waar bedrijven rekening mee moeten houden. Een van de grootste uitdagingen is dat AI-systemen veel gegevens nodig hebben om goed te kunnen functioneren. Als deze gegevens niet representatief of van slechte kwaliteit zijn, kunnen de resultaten onnauwkeurig zijn. Bijvoorbeeld, als een AI-systeem is getraind op een bepaald type verkeer, kan het moeite hebben met het herkennen van afwijkingen. Dit kan leiden tot, zoals eerder in het artikel benoemt, valse alarmen of zelfs het missen van echte dreigingen. AI-systemen zijn ook kwetsbaar voor aanvallen. Aanvallers kunnen technieken gebruiken om AI-systemen te misleiden door aangepaste gegevens te geven. Dit wordt ook wel een 'adversarial attack' genoemd. Stel je voor dat een aanvaller een AI-systeem probeert te misleiden door kleine veranderingen aan te brengen in de gegevens die het systeem analyseert. Hierdoor kan het systeem besluiten dat een echte dreiging onschadelijk is, waardoor de aanval doorgaat. Een voorbeeld hiervan is dat een aanvaller een afbeelding van een hond een beetje aanpast, zodat het AI-systeem denkt dat het een kat is.

Een ander belangrijk nadeel is de hoge kosten en complexiteit van de implementatie van AI-systemen. Het opzetten van deze systemen vereist vaak grote investeringen in hardware, software en deskundig personeel. Voor mkb-bedrijven kan dit een nog wel eens een probleem zijn, trouwens voor ‘grote’ bedrijven ook. Ze moeten investeren in dure technologie en training om de voordelen van AI effectief te kunnen benutten. Daarnaast moet er rekening gehouden worden met privacykwesties. AI-systemen die PII verwerken, moeten voldoen aan strenge privacywetten, zoals de AVG. Als een AI-systeem bijvoorbeeld gegevens verzamelt zonder toestemming, kan dit leiden tot juridische problemen, wat meestal vertaald kan worden naar: boetes. Een ander risico is de overafhankelijkheid van AI-systemen. Als beveiligingsteams te veel vertrouwen op AI, kunnen ze belangrijke menselijke controlemechanismen verliezen. Dit wordt een probleem als AI faalt of als het systeem wordt misleid door een aanvaller. Het is daarom slim om niet je hele securityteam te vervangen door AI, haha. Zo blijven mensen kritisch naar het proces kijken. Als bedrijf wil je namelijk ook niet vastzitten aan één leverancier (supplier lock-in), en dat wil je met AI ook niet: geen ‘AI-lock-in’, dus! Laat AI je dus helpen, maar zorg dat je securityteam niet allemaal tegelijk op vakantie gaat!

AI-gebaseerde cyberaanvallen

AI wordt niet alleen gebruikt door de ‘good guys’, maar ook door de ‘bad guys’. Wat ik hiermee wil zeggen is dat AI niet alleen wordt gebruikt om de cyberbeveiliging te verbeteren, maar ook om de cyberaanvallen te verbeteren. Aanvallers kunnen bijvoorbeeld generative adversarial networks (GANs) gebruiken om 'deepfakes' te maken, waarbij gezichten of stemmen in video’s of afbeeldingen worden gemanipuleerd. Dit kan leiden tot misleiding of identiteitsfraude. Daarnaast wordt AI ingezet om overtuigende (spear-) phishing-e-mails te genereren die zijn gericht op specifieke personen of organisaties. Dit maakt het voor aanvallers gemakkelijker om hun slachtoffers te misleiden en toegang te krijgen tot de gewenste informatie. AI kan ook malware verbeteren, waardoor het moeilijker wordt voor beveiligingssystemen om de malware te detecteren en te blokkeren. Een ander risico is dat aanvallers AI kunnen gebruiken om kwetsbaarheden in systemen te vinden en deze vervolgens exploiten.

De beste verdediging tegen AI-aanvallen? Een mix van kunstmatige én menselijke intelligentie!

AI-systemen zijn, zoals eerder benoemd, kwetsbaar voor verschillende soorten aanvallen. Een veelvoorkomende dreiging is het misbruik van kwetsbaarheden in open-source software, zoals TensorFlow en PyTorch, die vaak worden gebruikt voor AI. Aanvallers kunnen ook proberen de trainingsdata te vervalsen, zodat het AI-systeem verkeerde voorspellingen doet. Dit kan bijvoorbeeld gebeuren door foutieve labels toe te voegen aan de data waarop het systeem is getraind. Om je software en bedrijf te beschermen tegen deze bedreigingen, zijn er verschillende stappen te nemen. Ten eerste en eigenlijk vanzelfsprekend is het nodig om ervoor te zorgen dat je software altijd up-to-date is. Dit betekent dus dat je regelmatig updates voor besturingssystemen en programma's moet installeren, aangezien deze updates vaak belangrijke patches bevatten. Door dit te doen, verklein je de kans dat aanvallers gebruikmaken van reeds bekende zwakheden. Dus stel je updates niet meer uit!

Als je dus open-source software gebruikt, is het belangrijk om ook deze goed te controleren. Zorg ervoor dat de versies die je gebruikt veilig zijn en geen kwetsbaarheden bevatten. Het kan ook nuttig zijn om tools te gebruiken die (automatisch) problemen in deze software opsporen. Daarnaast de ‘no-brainer': gebruik ook hier sterke wachtwoorden en, waar mogelijk, 2FA/MFA. 2FA/MFA houdt in dat je naast je wachtwoord ook een extra code nodig hebt om in te loggen, wat het voor aanvallers moeilijker maakt om toegang te krijgen tot je systemen. Ook is het belangrijk om ervoor te zorgen dat alleen de mensen die het nodig hebben toegang hebben tot gevoelige informatie, dus acces op basis van een ‘least privilege’/’need-to-know’ principe.

Een andere belangrijke stap is encryptie. Het is verstandig om gevoelige gegevens te versleutelen, zodat ze goed beveiligd zijn, zelfs als iemand probeert ze te stelen. Gebruik daarbij ook veilige manieren om gegevens te versturen, zoals HTTPS en VPN's. Het is namelijk zonde als je je gegevens goed beveiligd en het mis gaat in de transfer. Daarnaast is het nuttig om een duidelijk beveiligingsbeleid op te stellen dat medewerkers vertelt over de risico's en de beste manieren om veilig te werken. Investeren in training voor medewerkers is geen overbodige luxe en eigenlijk een must-have. Als zij namelijk weten hoe ze veilig met de bedrijfsmiddelen moeten omgaan en aanvallen kunnen herkennen, kunnen ze beter reageren op dreigingen. Wat je eigenlijk wil bereiken is een cyberaware cultuur in je organisatie. Dit is naar mijn mening wel de belangrijkste, omdat mensen de zwakste schakel van je beveiliging zijn en blijven.

Verder is het belangrijk om je netwerk continu in de gaten te houden. Dit helpt je om verdachte activiteiten vroeg te herkennen. Daar helpen ook regelmatige risicobeoordelingen bij om kwetsbaarheden en dreigingen op te sporen, zodat je op tijd kunt ingrijpen. We weten: voorkomen is beter dan genezen, maar soms kun je een succesvolle aanval niet voorkomen. Zorg daarom ook voor een up to date incident response plan, zodat je weet wat je als bedrijf moet doen als het dan toch mis gaat. Investeer daarom ook in goede software. Software kan AI-specifieke bedreigingen, zoals malware, opsporen en blokkeren. Het integreren van AI in je beveiligingssystemen kan ook handig zijn, omdat het helpt om grote hoeveelheden gegevens te analyseren en verdachte activiteiten sneller te detecteren. AI vs. AI dus. Zorg er dan wel voor dat je AI-systemen begrijpelijk zijn, zodat je kunt begrijpen hoe ze beslissingen nemen. Dit helpt om efficiënter met de systemen te werken en maakt het makkelijker om eventuele fouten op te sporen.

AI inzetten voor cybersecurity? Begin slim: start klein, test vroeg en zorg dat je team net zo slim is als je tech!

AI vs. AI dus, maar let op: het succesvol inzetten van AI in cybersecurity vereist een ‘intelligente’ aanpak en strategie. Een effectieve manier om te beginnen is volgens Abbas et al., (2023) met een klein pilotproject, wat de mogelijkheid biedt om de technologie in een gecontroleerde omgeving te testen en eventuele problemen vroegtijdig te signaleren. Daarnaast is het nodig dat bedrijven (blijven) investeren in training, zodat hun teams goed begrijpen hoe AI-systemen functioneren en deze effectief kunnen toepassen. Dit betekent ook dat we activiteiten moeten ontwikkelen om werknemers meer bewust te maken van cyberveiligheid. Denk aan het bevorderen van actief burgerschap en het opstellen van beleid dat goede gewoonten en waarden aanmoedigt. Kortom, we willen een cultuur creëren waarin iedereen ‘cyber aware’ is. Ik ben blij dat Abbas et al. dat ook onderschrijven en benadrukken dat medewerkers een belangrijke rol spelen!

Een ander belangrijk onderdeel van een succesvolle implementatie is het ontwikkelen van een model dat organisaties ondersteunt bij het beoordelen en verbeteren van hun cybersecuritycapaciteiten, vooral in relatie tot AI. Dit model moet aansluiten bij bestaande richtlijnen, zoals de NIST, en zich richten op het effectief aanpakken van kwetsbaarheden en bedreigingen. Om bij te blijven met nieuwe dreigingen en technologieën, is het belangrijk om AI-systemen regelmatig te evalueren en aan te passen. Dit omvat ook naleving van privacywetten, zoals de AVG, om problemen met PII te voorkomen. Het in kaart brengen van de architectuur, dus de verschillende onderdelen van systemen en hun onderlinge relaties, helpt bij het ontwikkelen/verbeteren van de systemen en het oplossen van problemen.

Het in kaart brengen van de architectuur helpt ook om de AI-systemen te laten passen bij de specifieke behoeften van je organisatie. Voortdurende analyses van beveiliging zijn daarom belangrijk om inzicht te krijgen in toekomstige bedreigingen die AI in cybersecurity met zich mee kan brengen. Als je inzicht hebt in de architectuur kan je bijvoorbeeld AI combineren met de bestaande ‘traditionele methoden’, zoals firewalls en antivirussoftware. Hierdoor heb je een ‘best of both worlds’ en creëer je een sterke en gelaagde beveiliging, waardoor je beter voorbereid bent op de continue veranderende ‘world of cyberthreats’. Het is van belang dat medewerkers, zoals systeembeheerders en developers, goed geïnformeerd zijn over de beveiligingsrisico's die er bestaan en hoe zij deze kunnen verminderen. Training en informatie over mogelijke bedreigingen zijn hierbij onmisbaar. Ook moeten gebruikers duidelijk worden geïnformeerd over de risico's die gepaard gaan met het gebruik van AI-systemen.

Bij het ontwikkelen van een AI-systeem moet beveiliging vanaf het begin in mee worden genomen, dit wordt security-by-design genoemd. Het idee van security-by-design betekent dat beveiliging vanaf het begin moet worden meegenomen bij het ontwerpen van AI-systemen. Dit houdt in dat je in elke stap van het ontwikkelproces rekening houdt met beveiligingsrisico's, van het ontwerp en de architectuur tot de implementatie en het testen. Belangrijke maatregelen zijn het uitvoeren van risicobeoordelingen om kwetsbaarheden en mogelijke dreigingen op te sporen. Ook moet er gebruik worden gemaakt van veilige coderingstechnieken en moet data veilig worden verwerkt om datalekken te voorkomen. Verder is het essentieel om tijdens de ontwikkeling beveiligingstesten uit te voeren, zodat eventuele problemen vroegtijdig worden ontdekt. Een ander belangrijk principe is dat AI-systemen transparant en uitlegbaar moeten zijn, zodat hun gedrag kan worden gecontroleerd en geverifieerd.

Bij het kiezen van een AI-model is het belangrijk om rekening te houden met de complexiteit van het model en de effectiviteit met de beschikbare gegevens. Eenvoudigere modellen zijn hierbij vaak beter omdat ze gemakkelijker te begrijpen zijn. Omdat AI ingeleerd wordt op basis van trainingsdata is het uitermate belangrijk dat de kwaliteit en relevatie van de trainingsdata gewaarborgd is en blijft. Daarnaast is het zoals met elke leverancier (relatie) belangrijk om ook hun beveiliging continu te monitoren en ervoor te zorgen dat zij voldoen aan de beveiligingseisen van jouw organisatie. Er moet ook inzicht zijn in de AI-gerelateerde activa, zoals modellen en gegevens, en deze moeten goed worden beschermd. Het documenteren van alle aspecten die met data, modellen en processen te maken hebben, draagt bij aan transparantie en voorkomt de zogenoemde ‘technical-debt’ zodat eerder gemaakte keuzes geen problemen opleveren voor toekomstige keuzes.

Bij de implementatie van een AI-systeem moet de infrastructuur veilig zijn. Dit houdt in dat AI-modellen moeten worden beschermd tegen ongeoorloofde toegang en aanpassingen. Voordat je de AI-modellen gaat gebruiken, dienen deze goed te worden getest op beveiligingsaspecten, en moeten gebruikers worden geïnformeerd over eventuele beperkingen. Na de implementatie is het belangrijk om het gedrag van het systeem nauwlettend te volgen om eventuele problemen tijdig te identificeren. Invoer in het systeem moet worden gevolgd en gelogd om aan de regelgeving en transparantie te voldoen. Zorg ervoor dat updates automatisch en veilig plaatsvinden, en bereid gebruikers voor op eventuele veranderingen in het systeem. Tot slot is het aan te raden om deel te nemen aan ‘community's’ waarin beveiligingspraktijken worden gedeeld en van elkaar geleerd kan worden, twee weten namelijk meer dan één toch?

Gebruikte bronnen

·     Abbas, Roba; Michael, Katina; Pitt, Jeremy; Vogel, Kathleen M.; and Zafeirakopoulos, Mariana. "Artificial Intelligence (AI) in Cybersecurity: A Socio-Technical Research Roadmap" The Alan Turing Institute, 2023.

·     AI and cyber security: what you need to know. (z.d.). https://www.ncsc.gov.uk/guidance/ai-and-cyber-security-what-you-need-to-know

·     Artificial Intelligence and Cybersecurity Research. (2023, 7 juni). ENISA. https://www.enisa.europa.eu/publications/artificial-intelligence-and-cybersecurity-research

·     Guidelines for secure AI system development. (z.d.). https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

·     Jada, I., & Mayayise, T. O. (2023). The impact of artificial intelligence on organisational cyber security: An outcome of a systematic literature review. Data And Information Management, 8(2), 100063. https://doi.org/10.1016/j.dim.2023.100063

·     Jimmy, F. (2021). Emerging Threats: The Latest Cybersecurity Risks and the Role of Artificial Intelligence in Enhancing Cybersecurity Defenses. International Journal Of Scientific Research And Management (IJSRM), 9(02), 564–574. https://doi.org/10.18535/ijsrm/v9i2.ec01

·     Ramanpreet Kaur, Dušan Gabrijelčič, Tomaž Klobučar, Artificial intelligence for cybersecurity: Literature review and future research directions, Information Fusion, Volume 97, 2023, 101804, ISSN 1566-2535, https://doi.org/10.1016/j.inffus.2023.101804.

·     Zhang, Z., Ning, H., Shi, F., Farha, F., Xu, Y., Xu, J., Zhang, F., & Choo, K. R. (2021). Artificial intelligence in cyber security: research advances, challenges, and opportunities. Artificial Intelligence Review, 55(2), 1029–1053. https://doi.org/10.1007/s10462-021-09976-0