We investeren in soldaten, maar op het cyberfront raakt Europa steeds meer achterop. AI-gedreven cyberaanvallen dreigen onze infrastructuur en bedrijven te ontwrichten.
Cybercriminelen proberen voortdurend toegang te krijgen tot staatsgeheimen, bedrijfsgeheimen, en persoonsgegevens. De aanval op het Openbaar Ministerie, dat wekenlang ‘offline’ was, laat zien hoe ontwrichtend dat kan zijn. Wat als AI op ongekende schaal kwetsbaarheden kan vinden en misbruiken, sneller dan wij oplossingen kunnen verzinnen, of zelfs maar de incidenten kunnen onderzoeken?
In tegenstelling tot wat we zien in films, is hacken een lastige klus, waarbij een expert dagen- en nachtenlang bezig is om alle details in orde te krijgen. Je moet eerst een programmeerfout (bug) vinden en dan het gevolg van die fout precies zo inzetten dat je controle over de computer krijgt. In de jaren 90 konden hackers zoiets nog met enkele stappen, waarbij zij eenvoudigweg hun eigen (kwaadaardige) programmacode lieten uitvoeren op de computer van het slachtoffer. Tegenwoordig zijn er veel beveiligingen die eerst doorbroken moeten worden.
Over de auteurs
Herbert Bos is hoogleraar Systeembeveiliging aan de Vrije Universiteit in Amsterdam. Erik van der Kouwe is universitair docent Systeembeveiliging aan de Vrije Universiteit in Amsterdam.
Dit is een ingezonden bijdrage, die niet noodzakelijkerwijs het standpunt van de Volkskrant reflecteert. Lees hier meer over ons beleid aangaande opiniestukken.
Eerdere bijdragen in deze discussie vindt u onder aan dit artikel.
Dat is lastig en kost tijd. Zo kunnen aanvallers niet meer hun eigen code in het systeem inbrengen, maar moeten kleine stukjes van het bestaande programma aan elkaar knopen om iets te doen wat nooit de bedoeling is geweest. Een beetje als een inbreker die niet langer een ladder kan gebruiken om een openstaand zolderraampje binnen te dringen, maar zich optrekkend aan zijn vingernagels aan richeltjes en groefjes in de muur omhoogklautert: het kan wel, maar het is verdomd lastig.
Met behulp van AI leren we echter steeds sneller fouten in programma’s te vinden en daar ook automatisch misbruik van te maken. Een voorbeeld is het Syzbot-project dat continu de Linux en Android besturingssystemen doorspit op zoek naar bugs die het apparaat laten crashen. Deze fouten kunnen vaak ook gebruikt worden om controle over het systeem te krijgen. Op dit moment zijn er al 6488 van deze fouten verholpen, maar staan er ook nog 1516 open. Een deel daarvan kan dus gebruikt worden in een cyberaanval, maar we weten niet welke, en kunnen het niet snel genoeg uitzoeken.
Nu is Syzbot nog gebaseerd op oude technologie, zonder de ongelooflijke verbeteringen die we in AI-oplossingen als ChatGPT zien. Die hebben de potentie om nog sneller fouten te vinden en zonder ervaren experts te misbruiken. AI zou ook ingezet kunnen worden om ze te herstellen, maar we weten nog niet goed hoe.
In 2023 organiseerden de Verenigde Staten daarom een competitie, met tientallen miljoenen aan prijzengeld, voor bedrijven en universiteiten, voor AI-oplossingen die zelfstandig kwetsbaarheden in software vinden. Twee jaar lang hebben de knapste koppen van dat land zich hiermee beziggehouden. De winnaar werd onlangs bekendgemaakt op de Def Con conferentie in Las Vegas: een team van Georgia Tech, Samsung, KAIST en Poohang University of Science and Technology. Bij de eerdere Cyber Grand Challenge werd de winnende inzending overigens meteen opgekocht door het Pentagon.
Aanvallen met AI zijn geen toekomstmuziek meer. Volgens DarkTrace ondervonden in 2024 in Nederland 83 procent van de bedrijven ‘significante impact’ van zulke aanvallen. Dit zal enkel erger worden. De VS is echt niet het enige land dat hieraan werkt.
En Europa? Europa slaapt.
Door niets te doen wordt Europa kwetsbaar. Als cyberaanvallen (grotendeels) automatisch gegenereerd worden, kun je dat niet aan met de huidige, toch al overwerkte, groep beveiligingsexperts. Het is essentieel dat we begrijpen wat er op ons afkomt en ons kunnen beschermen. We hebben meer onderzoek nodig om te bepalen hoe criminele organisaties en vijandige staten, gewapend met AI, misbruik kunnen maken van kwetsbaarheden.
We moeten ontdekken hoe AI kan helpen om zelf kwetsbaarheden in software en hardware te vinden en om te bepalen welke het meest urgent opgelost moeten worden. We moeten bovendien onze eigen bedrijven en studenten de essentiële vaardigheden leren om ons straks, bij de onvermijdelijke toename van AI-aanvallen, te kunnen beschermen. We investeren flink in soldaten, maar op het cyberfront worden we steeds kwetsbaarder. Daar is een impuls nodig.
Hoe? Misschien met een eigen ‘grand challenge’ op Europese schaal, met aandacht voor Europese behoeften en waarden - een impuls om kennisontwikkeling focus te geven. Een wedstrijd met alle benodigde infrastructuur en een substantiële prijzenpot waarbij bedrijven, universiteiten en hogescholen kunnen laten zien hoe je de best mogelijke automatische gereedschappen maakt om aanvallen tegen te houden. Ook daarbij is AI van essentieel belang, maar dan om onze systemen te beschermen of snel weer online te brengen als toch een keer een (kunstmatig intelligente) hacker weet binnen te dringen.
Wilt u reageren? Stuur dan een opiniebijdrage (max 700 woorden) naar opinie@volkskrant.nl of een brief (maximaal 200 woorden) naar brieven@volkskrant.nl
Geselecteerd door de redactie
Source: Volkskrant