Cybersecurity is een race tegen de klok

Een middelgrote onderneming kan snel tienduizenden securityalerts per dag ontvangen, grote organisaties honderdduizenden. AI-Driven Security belooft snellere detectie, efficiëntere respons en minder menselijke fouten. Met de technologie komen ook nieuwe vragen en risico’s.

Phishingcampagnes, geautomatiseerde scans naar kwetsbaarheden en ransomware-aanvallen maken deel uit van een steeds professioneler cybercrimineel ecosysteem. “De realiteit is dat cyberaanvallen vandaag plaatsvinden op een schaal die mensen alleen niet meer kunnen bijhouden,” zegt Sebastien Deleersnyder, CTO bij het cyberconsulting bedrijf Toreon. “Wie een moderne IT-omgeving beheert, met systemen in datacenters én in de cloud, kan beveiliging niet meer uitsluitend manueel opvolgen. Dat is niet alleen inefficiënt, het is ook economisch niet haalbaar.”

Van regels naar intelligente detectie

Om digitale infrastructuur te beschermen verzamelen organisaties enorme hoeveelheden loggegevens uit firewalls, securitytools en andere sensoren in hun netwerk. Die data worden gebruikt om verdachte activiteiten op te sporen. Traditioneel gebeurde dat via zogenaamde SIEM-systemen (Security Incident and Event Management). Deleersnyder: “Een vreemde login op een server of een verdachte actie in een mailbox kan op zichzelf weinig betekenen. Maar wanneer je meerdere signalen samenbrengt, kan plots duidelijk worden dat er een aanval bezig is.” Steeds vaker wordt artificiële intelligentie ingezet om dat proces te verfijnen. Machine-learningmodellen kunnen verbanden leggen tussen verschillende gebeurtenissen en tegelijk extra context meenemen.

Ook veel commerciële securityproducten maken inmiddels gebruik van AI-technieken. Spamfilters, phishingdetectie en netwerkmonitoring werken steeds vaker met gedragsanalyse. “De phishingmails van vandaag zijn met behulp van generatieve AI zo goed geschreven en afgestemd op de ontvanger dat het voor een mens bijna onmogelijk wordt om ze nog te herkennen,” zegt technologie- en compliance-expert Koen Simoens, die organisaties en overheden adviseert rond cybersecurity en AI-governance. “Automatische detectie is dus noodzakelijk.”

Zodra een kwetsbaarheid in software publiek bekend wordt, begint een race tussen verdedigers en aanvallers. “Het venster tussen het ontdekken van een kwetsbaarheid en het ‘patchen’ van systemen wordt steeds kleiner,” zegt Deleersnyder. Securitytools proberen daarom steeds vaker automatisch in te grijpen wanneer een aanval wordt gedetecteerd. “Daarom moeten systemen in staat zijn om zelf acties te ondernemen.” Dat kan bijvoorbeeld betekenen dat een mailbox tijdelijk wordt afgesloten, een IP-adres wordt geblokkeerd of een toestel wordt geïsoleerd van het netwerk. “Bij fraudedetectie in betalingssystemen worden duizenden transacties per seconde verwerkt. Daar kan een mens onmogelijk nog tussenkomen,” zegt Simoens. “Die beslissingen moeten volledig geautomatiseerd gebeuren.”

Fouten blijven mogelijk

Hoewel AI veel voordelen biedt, is de technologie niet foutloos. Machine-learningmodellen kunnen waarschuwingen genereren voor problemen die er in werkelijkheid niet zijn. “Die foutmarges zijn inherent aan machine learning,” zegt hij. “Dat kan leiden tot zogenaamde false positives. Dat creëert ruis en kan de effectiviteit van menselijke reacties of processen waarbij mensen betrokken zijn verminderen.” In sommige gevallen kan een verkeerde beslissing ook operationele gevolgen hebben. Wanneer een systeem automatisch een proces blokkeert. “In theorie spreken we vaak over ‘human in the loop’. Maar dat werkt alleen voor trage processen of belangrijke beslissingen. Bij hoge volumes moet automatisering het overnemen.”

De toenemende automatisering roept ook vragen op over verantwoordelijkheid. Wat gebeurt er wanneer een geautomatiseerde beslissing fout loopt? “Uiteindelijk ligt de verantwoordelijkheid bij het bestuur en het management,” zegt Deleersnyder. Simoens verwoordt het nog scherper. “Je kunt die verantwoordelijkheid niet zomaar doorschuiven naar de leverancier. Die zal altijd duidelijk maken dat zijn systeem niet honderd procent accuraat is.” Organisaties moeten dus zelf beslissen hoe ze AI gebruiken en hoe ze omgaan met mogelijke fouten. “Algoritmes nemen beslissingen op basis van data die wij aanleveren. Maar wij blijven verantwoordelijk voor de gevolgen.”

AI-systemen worden vaak omschreven als een ‘black box’. Volgens Simoens is dat echter een eenzijdig beeld. “We weten nog altijd hoe een model gebouwd en getraind is en welke data gebruikt werd,” zegt hij. Toch zijn er volgens hem manieren om AI-systemen transparanter te maken. Organisaties kunnen bijvoorbeeld documenteren hoe data verzameld werd, hoe modellen getraind zijn en welke controles werden uitgevoerd. 

Een nieuwe technologische wapenwedloop

Cybersecurity evolueert daardoor steeds meer naar een technologisch schaakspel. Aanvallers gebruiken nieuwe technologie om hun methodes te verbeteren, terwijl verdedigers dezelfde middelen inzetten om zich te beschermen. “Er ontstaat inderdaad een soort wapenwedloop,” zegt Deleersnyder. “Als aanvallers AI gebruiken om hun technieken te verfijnen, dan is het logisch dat verdedigers dezelfde technologie inzetten.”

Volgens Simoens speelt die competitie niet alleen op technologisch vlak, maar ook geopolitiek en economisch. Europa probeert via regelgeving en standaarden richting te geven aan de ontwikkeling van AI. De Verenigde Staten leggen meer nadruk op innovatie en marktwerking, terwijl China sterk inzet op strategische technologische dominantie. Waar die evolutie uiteindelijk zal eindigen, is moeilijk te voorspellen. •