“Vergelijk cybercrime met het virtueel kraken van je huis. Je sloten zijn vervangen, je huisgenoten staan op straat en wildvreemden bewonen jouw eigendom en proberen jouw spullen te verkopen.” Dit zei Raphaël de la Vienne – ethical hacker, oud-Red-Teamer en cybersecurity specialist – tijdens een onlangs gehouden talk op een IDB Groep event.
AI gebruik in organisaties
Data = goud = geld. Zo simpel is het verdienmodel voor de gemiddelde cybercrimineel. De aanvallen zijn met AI nog beter, goedkoper, gestructureerder en draaien maar om één ding: data stelen en jou buiten spel zetten. Met actuele voorbeelden uit de praktijk deelde Raphaël de la Vienne zijn inzichten op de rol van AI in cybercrime, de gevolgen daarvan voor de digitale veiligheid van organisaties en het belang van een goede cybersecurity strategie.
De la Vienne: “Dat je AI in je werk gebruikt is prima, zolang je je realiseert dat het een middel is om het werk op sommige fronten te ondersteunen. Op hetzelfde moment is het belangrijk dat je weet dat informatie die je vrijgeeft in een open GPT of een andere AI-tool óók gebruik wordt om het systeem te leren. En dat daardoor anderen misbruik kunnen maken van die openbaar beschikbare informatie. Stop dus geen bedrijfsgeheimen en informatie zoals cijfers, klantgegevens en privacy gevoelige data in een AI-tool.”
AI en digitale veiligheid
Ethical hacker De la Vienne: “Cybercriminelen hacken nu op steroïden. Ook zij maken volop gebruik van AI, maar dan van AI ransomware-, exploitation- en phishing- as a service én geavanceerde social engineering tools. Bovendien zijn er speciaal voor cybercrime gebouwde GPT’s. Daarmee laten ze AI heel eenvoudig malware, fraude en hackaanvallen maken en uitvoeren.”
Vaak bestaat een aanval uit een combinatie van informatie die ze uit allerlei kanalen en tools halen. “Technieken als deepfake, vishing (het nabootsen van je stem) en 3D-modelling geeft de cybercrimineel tools in handen om heel snel zijn slag te slaan via een schijnbaar onschuldig telefoontje, appje of e-mail,” aldus Raphael de la Vienne.
Een voorbeeld hiervan is de zogenoemde CEO-fraude waarbij een medewerker van de afdeling Financiën een opdracht krijgt van de CFO of CEO om onder enorme tijdsdruk snel een betaling te verrichten. Op deze manier is alleen al in Nederland de afgelopen jaren 43 miljoen schade geleden. Probeerden cybercriminelen deze fraude eerst nog per e-mail uit, nu zetten ze via AI gegenereerde deepfake en vishing in. Aanvallen zijn hiermee steeds moeilijker van echt te onderscheiden, met alle gevolgen voor de digitale veiligheid, financiën en dataveiligheid van organisaties.
Digitale veiligheid, een gedeelde verantwoordelijkheid
De tweejaarlijkse monitor Cybercrime in beeld van het Openbaar Ministerie (OM) en de politie schetst goed wat de nadelige effecten van cybercrime kunnen zijn voor een onderneming. OM en politie dringen er in hetzelfde rapport op aan dat digitale veiligheid en cyberweerbaarheid een gedeelde verantwoordelijkheid is. Cybercrime effectief bestrijden kan alleen als dat gebeurt op een breed terrein en in nauwe samenwerking tussen overheid, politie, bedrijven en particulieren.
Goede cybersecurity strategie
Conclusie: kunstmatige intelligentie verandert de manier waarop we naar digitale veiligheid moeten kijken compleet. Dit vraagt om actief te werken aan een cyberweerbare onderneming met aandacht voor het menselijk aspect via cybersecurity awareness trainingen, het technische aspect door veilig informatiemanagement , document management en goed patch-management van hardware én actieve jacht op dreigingen van buitenaf.
Meer over digitale dataveiligheid?
In dit artikel lees je meer over digitale dataveiligheid en hoe je dat in de praktijk organiseert.