Kunstmatige intelligentie is een hot topic dat de publieke opinie veel meer verdeelt dan andere sociale en technologische kwesties. Sommigen zien het als een enorme kans op vooruitgang, of zelfs op een nieuwe sprong in de beschaving. Voor anderen is AI een bedreiging die zich in veel aspecten van het leven kan manifesteren en zelfs de mensheid als geheel kan schaden. Het lijdt geen twijfel dat kunstmatige intelligentie talloze mogelijkheden biedt – zowel voor ondernemers als voor cybercriminelen. Is het mogelijk om tegelijkertijd te profiteren van de voordelen van AI en jezelf te beschermen tegen het gebruik ervan voor illegale doeleinden? Moeten we de vooruitgang tegenwerken en stoppen met het gebruik van kunstmatige intelligentie in ons dagelijks en professioneel leven?
Misdaad 2.0: Hoe gebruiken hackers kunstmatige intelligentie?
Een meme met een scène uit S. Kubricks “A Space Odyssey” is onlangs populair geworden op internet. Het toont de passagiers van Discovery One die een maaltijd eten en apparaten gebruiken die sterk lijken op de huidige tablets. Het onderschrift onder de meme luidt: “De buitengewone verbeeldingskracht van de regisseur – hij stelde zich kleine, draagbare computers voor. Later in de film neemt de AI het over en vermoordt iedereen.” Soortgelijke voorspellingen en zorgen gelden voor elke technologische innovatie – en dit was ook het geval met internet. Tegenwoordig kunnen de meesten van ons zich geen leven zonder voorstellen. De voordelen van internet zijn onmiskenbaar, maar het brengt ook het risico van bedreigingen met zich mee.
Het aantal misdaden gepleegd op internet groeit elk jaar snel. Op basis van onderzoek schatten experts van Cybersecurity Ventures dat 2023 zal eindigen met een recordbedrag van 8 biljoen dollar wereldwijd. Dat zijn 255 duizend dollar per seconde. Dergelijke verliezen werden veroorzaakt door de activiteiten van cybercriminelen. In 2025 zal dit naar verwachting 10,5 biljoen dollar bedragen.
De meest voorkomende bedreigingen waarmee netwerkgebruikers te maken krijgen zijn ransomware (waarbij hackers servers binnendringen en betaling eisen voor het intact laten van bestanden of het retourneren van gestolen gegevens), talrijke fraude met cryptocurrency en phishing (waarbij criminelen zich voordoen als andere entiteiten om wachtwoorden of databases te bemachtigen). Waarom hebben cyberfraudeurs dergelijke informatie nodig? Ze kunnen niet alleen toegang krijgen tot bankrekeningen, maar ook dienen als basis voor chantage en een middel om concurrenten te bespioneren.
Steeds vaker treft dit probleem kleine, slecht beveiligde ondernemingen: de winst uit een aanval op hen is individueel kleiner, maar veel gemakkelijker te behalen. Cybercriminaliteit is een enorme bedreiging geworden voor industriële bedrijven. Een hacker kan de productie stopzetten en zelfs hele lijnen volledig uitschakelen, waardoor uur na uur miljoenen dollars aan verliezen ontstaan. Cybercriminaliteitsverzekeringen zijn voor bedrijven daarom net zo belangrijk geworden als eigendoms- of wagenparkverzekeringen. Zowel agenten als ontwikkelaars weten dit. Dankzij hun samenwerking ontstaan innovatieve verzekeringsproducten – zoals CyberRED van Generali Polska. Deze verzekering beschermt niet alleen tegen de gevolgen van aanvallen, maar ook tegen phishing, omdat er een starterspakket van 10 YubiKey-sleutels bij zit. Het gebruik hiervan reduceert de gevoeligheid voor pogingen tot gegevensdiefstal vrijwel tot nul.
De romantische mythe van de hacker en de gevolgen ervan
Waarom raken we dan niet in paniek en kopen we effectieve veiligheidsmaatregelen? De belangrijkste reden kan de popcultuur zijn. In de meeste boeken of actiefilms wordt de hacker niet voorgesteld als een gewone dief, maar als een superintelligente, briljante, aantrekkelijke bedrieger die dankzij zijn capaciteiten een kwaadaardig, corrupt en inefficiënt systeem te slim af is: Kevin Flynn van “TRON”, Lisbeth Salander uit de Millennium-trilogie, Neo uit ‘De Matrix’, of de leden van Project Mayhem uit Fight Club. Verhalen over hackers doen sterk denken aan die over piraten – matrozen en zeehandelaren worden voorgesteld als kwaadaardige tegenstanders, die uit pure wrok hun lading verdedigen tegen brutale, sympathieke jongens die de zwarte vlag voeren.
Cybercriminaliteit wordt daardoor vaak in verband gebracht met kunst. Dit is ook het doel van veel aanvallen: hackers handelen niet uit winstbejag (of in ieder geval niet alleen uit winstbejag), maar vooral om hun positie in een gesloten gemeenschap van soortgelijke criminelen te verhogen of simpelweg om een ongelukkig persoon voor de gek te houden die zichzelf niet voldoende beschermd heeft. Dit is het hoofddoel van veel DoS-aanvallen die de toegang tot de website van het slachtoffer blokkeren.
Bovendien heeft de gemiddelde internetgebruiker zelden een goed beeld van wat hacken in werkelijkheid inhoudt, in tegenstelling tot het beeld dat films schetsen. Het kapen van Messenger-accounts om BLIK van vrienden af te persen. Het gebruik van gestolen foto’s in zogenaamde trollenboerderijen om een politicus of influencer te steunen. Het vervangen van standaardfacturen, die maandelijks worden betaald, door valse facturen met de rekening van een crimineel als ontvanger. Er is niets romantisch aan cybercriminaliteit; het enige verschil met gewone diefstal, inbraak of chantage is de enorme schaal van het fenomeen.
Kunstmatige intelligentie – een vriend van ondernemers of cybercriminelen?
We kunnen niet zeggen dat kunstmatige intelligentie ‘goed’ of ‘slecht’ is. Net als elke andere technologie is het moreel neutraal. Het hangt allemaal af van wie het gebruikt en met welk doel. Criminelen weten dat een kleine maas in de wet of een moment van onoplettendheid voldoende is om de gegevens te onthullen waarin zij geïnteresseerd zijn. Kun je jezelf er effectief tegen beschermen?
Er is geen 100% veiligheid, net zoals in elk ander aspect van het leven. Van de 100 mensen die tegen de pokken zijn ingeënt, zullen er toch ongeveer 10 ziek worden. Zo komt er af en toe een gloednieuwe auto van de band met een ernstig fabricagefout. Ook bij hacking kunnen we niet uitsluiten dat er een aanval zal plaatsvinden. Dus wat kunnen we doen? Het risico aanzienlijk minimaliseren en ook enige invloed uitoefenen op het verzachten van de gevolgen.
Vooral voor ondernemers is een sterke bescherming tegen phishing (waarbij criminelen zich voordoen als andere entiteiten) noodzakelijk. Educatie alleen, hoewel zeer belangrijk, is niet voldoende: hackers worden steeds inventiever en kunnen zelfs de meest voorzichtige gebruikers misleiden. Zelfs methoden die als veilig worden beschouwd, zoals multi-factor authenticatie met stem- of gezichtsherkenning, kunnen door kunstmatige intelligentie worden omzeild.
Hoe effectiever de bescherming, hoe beter deze is afgestemd op een specifieke behoefte. Bij phishing is phishing-resistente authenticatie op basis van speciaal ontwikkelde protocollen, zoals FIDO2, zeer effectief. Beveiligingssleutels zoals YubiKeys van Yubico zijn een goede oplossing. Ze vereisen fysieke aanwezigheid en zijn daarom immuun voor aanvallen op afstand. Ze kunnen niet worden gekopieerd en authenticatie vindt alleen plaats op speciale, geverifieerde websites, waar het protocol (FIDO2) de geloofwaardigheid van de website controleert, en niet van de gebruiker. Hierdoor bieden YubiKeys effectieve beveiliging voor zowel persoonlijke als zakelijke accounts.
Moeten we dan AI helemaal opgeven? Dat zou niet alleen onhandig zijn, maar in de praktijk gewoonweg onmogelijk. Het is moeilijk voor te stellen dat een individu of bedrijf geen internetbankieren gebruikt of geen telefoon met internettoegang heeft. In plaats van weg te lopen van vooruitgang, is het beter om je erop voor te bereiden – door kunstmatige intelligentie te gebruiken in overeenstemming met de wet, ten voordele van het bedrijf, maar ook met inachtneming van alle veiligheidsregels.
