Steeds vaker werpen organisaties de vraag op of kunstmatige intelligentie (AI) een nieuw veiligheidsrisico vormt. Het korte antwoord is: ja én nee.
AI kan processen versnellen, grote hoeveelheden informatie analyseren en patronen herkennen die voor mensen meer tijd kosten om te ontdekken. Wat AI in de meeste gevallen echter niet doet, is volledig nieuwe kwetsbaarheden creëren in bestaande software. Het legt vooral sneller bloot wat er al was.
AI als spiegel
Daardoor ontstaat soms de indruk dat AI een geheel nieuwe dreiging is waar organisaties zich tegen moeten wapenen. In de praktijk functioneert AI vaak eerder als een spiegel. Een spiegel die confronterend kan zijn wanneer beveiliging in het verleden niet de aandacht, tijd of middelen heeft gekregen die daarvoor nodig waren.
Veilige software wordt niet ineens onveilig door de komst van AI. Kwetsbaarheden die door AI worden gevonden, waren doorgaans ook al aanwezig en hadden in veel gevallen vroeg of laat handmatig ontdekt kunnen worden. Het verschil zit vooral in de snelheid en schaal waarmee die zwakheden aan het licht kunnen komen.
AI in informatiebeveiliging is niet nieuw
Binnen de informatiebeveiliging wordt AI al jarenlang toegepast, zowel offensief als defensief. Daarbij gaat het veelal om gespecialiseerde vormen van machine learning en geautomatiseerde analysesystemen, niet uitsluitend om de huidige generatie Large Language Models (LLM's).
Wat de afgelopen jaren wel is veranderd, is de toegankelijkheid. Geavanceerde technieken zijn beschikbaar geworden voor een veel grotere groep gebruikers en zijn bovendien geïntegreerd in steeds meer beveiligings- en aanvalstools. Daardoor kunnen zowel aanvallers als verdedigers efficiënter werken.
De rekening van technische schuld
In zekere zin presenteert offensieve AI de rekening voor minder goed ontworpen software. Dat wordt vooral zichtbaar bij oplossingen waarbij onder tijdsdruk concessies zijn gedaan, beveiligingsmaatregelen zijn uitgesteld of regulier onderhoud gedurende langere tijd is achtergebleven.
Wanneer organisaties in het verleden hebben bezuinigd op ontwikkeltijd, codekwaliteit, beveiligingstesten of onderhoud, kan AI helpen om die bestaande tekortkomingen sneller zichtbaar te maken. Niet omdat AI de oorzaak van het probleem is, maar omdat de onderliggende kwetsbaarheden al aanwezig waren.
De verdediging versnelt mee
Dezelfde ontwikkeling werkt ook in het voordeel van verdedigers. AI kan worden ingezet om broncode te analyseren, configuratiefouten te identificeren, afwijkingen te detecteren en beveiligingsaudits efficiënter uit te voeren. Organisaties kunnen daardoor sneller en op grotere schaal inzicht krijgen in hun risico's en gerichter maatregelen treffen.
De technologische versnelling geldt dus voor beide kanten. De aanval wordt efficiënter, maar de verdediging eveneens.
Het advies verandert niet
De huidige ontwikkelingen zijn in zekere zin vergelijkbaar met de veranderingen die quantum computing in de toekomst zal veroorzaken. Nieuwe technologieën brengen zonder twijfel uitdagingen met zich mee, maar dezelfde technologieën worden ook ingezet om die uitdagingen het hoofd te bieden.
Er is echter een belangrijk verschil. AI kan geen kwetsbaarheden blootleggen die niet bestaan. Quantum computing vormt daarentegen een ander type risico, omdat versleutelde gegevens die vandaag al zijn onderschept, in de toekomst mogelijk alsnog kunnen worden ontsleuteld. Dit staat bekend als het principe van 'harvest now, decrypt later'.
Voor organisaties blijft het fundamentele advies daarom onveranderd: investeer in zorgvuldig ontworpen software, laat maatwerk degelijk ontwikkelen en onderhouden, beperk aanvalsvectoren tot een minimum en segmenteer systemen zodanig dat een incident zich niet ongecontroleerd kan verspreiden.
AI is voor de meeste bestaande systemen geen nieuw beveiligingsprobleem. Het vergroot vooral de snelheid waarmee bestaande zwakheden zichtbaar worden. Uiteindelijk is dat geen reden om bang te zijn voor AI, maar wel een aanleiding om kritisch te kijken naar de technische keuzes die in het verleden zijn gemaakt.