BLOG – We maken zowel privé als zakelijk veelvuldig gebruik van de mogelijkheden die artificial intelligence (ai) te bieden heeft. Maar de ontwikkelingen op dit gebied gaan zo snel dat het lastig is om te bepalen wat echt, misleidend of ronduit nep is. Om de digitale grondrechten van burgers beter te waarborgen, wordt er nu gewerkt aan wet- en regelgeving rondom ai. Maar dat zal niet voorkomen dat de ai-gevaren verleden tijd zijn.
Ai heeft ons tot nu toe een aantal goede ontwikkelingen opgeleverd. Denk aan virtuele assistenten zoals Siri, Google Now en Copilot, die op basis van gesproken commando’s nuttige informatie kunnen geven. Een ander voorbeeld is de ai-tooling die soc-analisten kan helpen om sneller en effectiever om te gaan met de toenemende stroom aan alerts. Ai kan ook een rol spelen bij het detecteren van online-fraude: door het analyseren van grote hoeveelheden data is een afwijkend (lees: verdacht) patroon snel te detecteren.
Ook cybercriminelen zien de voordelen in van ai, en hebben zij deze technologie aan hun instrumentarium toegevoegd. Ze werken om de bescherming in ChatGPT heen met tools als WormGPT en FraudGPT, die op Telegram en het darkweb tegen betaling zijn aan te schaffen. Met deze ai-tools is het een fluitje van een cent om cyberaanvallen uit te voeren. FraudGPT is in te zetten voor het schrijven van teksten voor phishingmails of kwaadaardige codes om toegang te krijgen tot bedrijfsnetwerken.
Politiek akkoord
Omdat veel rondom de werking van ai-tools voor gebruikers niet altijd duidelijk is, hebben het Europees Parlement en de Raad van de EU in december 2023 een politiek akkoord over een ai-wet bereikt. Het uitgangspunt is dat ai-systemen die in de EU worden aangeboden veilig, transparant en traceerbaar moeten zijn. Bij het formuleren van de ai-wet is gekozen voor een toekomstbestendige aanpak. Dat geeft de mogelijkheid om regels aan te passen aan technologische veranderingen. Op 21 mei 2024 heeft de Europese Raad de AI Act goedgekeurd. De officiële ai-systemen die nu in de EU worden aangeboden, moeten volgens de AI Act niet alleen veilig en transparant zijn, maar ook niet-discriminerend en milieuvriendelijk. Daarnaast moeten ai-systemen volgens de nieuwe wetgeving altijd onder menselijk toezicht staan om schadelijke gevolgen te voorkomen.
Doel is om burgers, bedrijven en instellingen bij de ontwikkeling van de Cyberbeveiligingswet te betrekken
De ai-wet is echter niet de enige wet die de digitale veiligheid moet waarborgen. Zo is voor het versterken van de digitale en economische weerbaarheid van Europese lidstaten eind 2022 ook een aanpassing in de Network and Information Security Directive doorgevoerd. In deze NIS2 staat dat bedrijven en instellingen die essentiële diensten aanbieden hun netwerk- en informatiebeveiliging zodanig moeten verbeteren dat de kans op geslaagde cyberaanvallen en datalekken zo klein mogelijk is. De richtlijn zal volgend jaar worden omgezet naar de Nederlandse Cyberbeveiligingswet, die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen.
Deze nieuwe wet is een aanscherping van de huidige Wbni en biedt aanknopingspunten om toezicht en handhaving te verbeteren. Daarnaast worden er aanzienlijke boetes in het vooruitzicht gesteld en zijn zelfs leden van bestuursorganen persoonlijk aansprakelijk te stellen. De Cyberbeveiligingswet staat nog in de steigers en tot 1 juli van dit jaar was het mogelijk om via de een internetconsultatie suggesties voor deze wet te doen. Het doel is om zo burgers, bedrijven en instellingen bij de ontwikkeling van deze wet te betrekken zodat de Cyberbeveiligingswet beter wordt gemaakt en aansluit op de praktijk. Tegen de achtergrond van alle ai-ontwikkelingen (lees: dreigingen van cybercriminelen) is het te verwachten dat er ook input over ai komt en dat deze wet hier ook rekening mee zal houden.
Wetgeving of niet, het is algemeen bekend dat criminelen zich daar niets van aantrekken. Dat geldt ook voor cybercriminelen in relatie tot de nieuwe AI Act en Cyberbeveiligingswet. Op het darkweb blijven kwaadaardige ai-tools beschikbaar, en cybercriminelen zoeken nog steeds naar meer manieren om ai in te zetten om hun doelen te bereiken. Hier is sprake van een ongelijk speelveld: securityspecialisten moeten alle aanvallen tegenhouden, terwijl een cybercrimineel aan een enkele treffer genoeg heeft.
Waakzaam blijven
Het is goed dat we als samenleving alert blijven op alle risico’s en gevaren rondom ai en wet- en regelgeving ontwikkelen om alles in goede banen te leiden. Dat betekent dat legitieme aanbieders van ai-diensten zich aan de regels moeten houden. Voor gebruikers van deze ai-diensten is dit goed nieuws: ze weten dat ze de dienstverlening kunnen vertrouwen en dat er zorgvuldig met hun data en alles rondom privacy wordt omgegaan. Het gevaar vanuit cybercriminelen zal evenwel niet verdwijnen. Dit betekent dat er werk aan de winkel is voor securityspecialisten, die als taak hebben alle aanvallen te herkennen en te stoppen. Aan dit kat-en-muisspel zal voorlopig geen einde komen. Daarom is het goed om de komende jaren op de expertise en intelligente ai-tools van securityspecialisten te blijven vertrouwen om bij te blijven in dit spel.
Lex Borger is information security consultant bij Tesorion
