Artificial Intelligence and Digital Trust | DigiCert Insights

Kunstmatige intelligentie
en digitaal vertrouwen

De laatste inzichten over het raakvlak van AI
en cybersecurity

GenAI: het ontstaan van nieuwe dreigingen... en kansen.

Kunstmatige intelligentie heeft al tientallen jaren invloed op allerlei aspecten van ons dagelijks leven. En ongeacht wat je ervan vindt, gaat dat niet meer veranderen. Maar nu AI zich verder ontwikkelt en steeds meer deel uitmaakt van het dagelijkse leven, is het belangrijk voor organisaties om serieus te kijken naar het potentieel ervan – als hulpmiddel en als bedreiging.

Generative AI | DigiCert Insights

In het kort: AI versus AI

  • Met AI kan iedereen sneller en op grotere schaal te werk gaan, zowel ten goede als ten kwade.

  • Machine learning is wijdverbreid in de zakenwereld en dus een aantrekkelijk hulpmiddel... en doelwit.

  • De hype rondom AI dreigt het zicht op de risico's te ontnemen.

  • De mogelijke nieuwe bedreigingen zijn talrijk en gevarieerd.

  • Voor het bestrijden van met AI gegenereerde bedreigingen is een nieuwe aanpak nodig – met behulp van AI.  

AI vs. AI | DigiCert Insights

1952

Arthur Samuels ontwikkelt het eerste computerprogramma dat zelfstandig leert, een damprogramma.

97%

Van de bedrijfseigenaren denkt dat ChatGPT voordelen biedt voor hun bedrijf.   

Bron: Forbes Advisor, 2024

75%

Van de consumenten is bezorgd over het gebruik van AI door bedrijven.  

Bron: Forbes Advisor, 2024

3/4

Van de bedrijven heeft, volgens een onderzoek van CSO, het afgelopen jaar vaker te maken gehad met cyberaanvallen, en denken dat die stijging te wijten is aan het gebruik van generatieve AI door cybercriminelen.

Bron: CSO Online, 2023

46%

Van de organisaties is van mening dat generatieve AI ze kwetsbaarder maakt voor aanvallen.  

Bron: CSO Online, 2023

$ 407 MILJ

Is de verwachte marktomvang van AI in 2027, vergeleken met $ 86,9 miljard in 2022.

Buzzwordbingo

Een van de dingen die het voorspellen van de daadwerkelijke implicaties van generatieve AI zo moeilijk maken, is de enorme hype rondom het onderwerp. Zelfs de benaming is al bijna een cliché geworden. Wil je een volle zaal tijdens een technologiecongres? Zet dan 'AI' in de titel van je presentatie. Wil je de machine-learningfunctionaliteit in je software benadrukken? Gebruik dan de term 'AI' in je marketingmateriaal. Helaas is het effect hiervan dat de realistische aspecten van de technologie ondergesneeuwd raken; de voordelen en gevaren worden allemaal zo opgepompt dat de aandacht voor het onderwerp als geheel begint te verslappen.

Dit effect wordt versterkt door het feit dat veel mensen, vooral diegenen die wat minder technisch zijn aangelegd, eigenlijk niet goed begrijpen wat AI nu eigenlijk is. 

AI Chip | DigiCert Insights

Kunstmatige intelligentie: apparaten die denken

Eenvoudig gezegd is kunstmatige intelligentie precies wat de term al aangeeft: het gebruik van een computersysteem voor het simuleren van menselijke intelligentie. 

Voorbeelden zijn taalverwerking, spraakherkenning, kennissystemen en machine vision. 

Machine Learning | DigiCert Insights

Machine learning: apparaten die zelfstandig denken

Dit betreft computersystemen die zijn gebaseerd op algoritmen waarmee ze automatisch kunnen leren en zich kunnen aanpassen, nadat ze zijn getraind met een dataset. 

Voorbeelden: algoritmen voor het aanbevelen van inhoud, voorspellende analyses, beeldherkenning.

Deep Learning | DigiCert Insights

Deep learning: apparaten die denken zoals wij

Dit is een techniek van machine learning waarbij lagen met algoritmen en rekeneenheden worden gebruikt voor het simuleren van een neuraal netwerk, zoals het menselijk brein. 

Voorbeelden: Large Language Models, vertaling, gezichtsherkenning.

Intelligente aanvallen

Content authenticity

Identity manipulation

Phishing with dynamite

Prompt injection

Machine Hallucinations

Attack sophistication

Custom malware

Poisoned data

Privacy leaks

Authenticiteit van inhoud

Generatieve AI kan zeer realistische kopieën van originele inhoud maken. Ten eerste brengt dat risico's met zich mee met betrekking tot intellectueel eigendomsrecht voor bedrijven die AI gebruiken om content te genereren. Daarnaast kunnen cybercriminelen allerlei gegevens stelen en realistisch kopiëren, om ze vervolgens als origineel te verkopen of te gebruiken voor verdere aanvallen. 

Manipulatie van identiteit

Met generatieve AI kan in luttele seconden ultrarealistisch beeld en geluid worden gemaakt, en kunnen live videobeelden worden gewijzigd op het moment dat ze worden gegenereerd. Dit is slecht voor het vertrouwen in allerlei belangrijke systemen, van gezichtsherkenningssoftware tot juridisch beeldbewijs tot politieke campagnes. Hiermee wordt het vertrouwen in vrijwel elke vorm van visuele identiteit ondermijnd. 

Phishing met dynamiet

Aanvallers kunnen generatieve AI gebruiken voor het realistisch namaken van gezichten, stemmen en schrijfstijlen, en voor het nabootsen van bedrijfslogo's en merken. Die kunnen vervolgens worden ingezet voor zeer effectieve phishing die moeilijk te herkennen is. 

Prompt injection

Omdat veel organisaties kant-en-klare modellen voor generatieve AI gebruiken, stellen ze de informatie die ze gebruiken voor het trainen ervan en in prompts bloot aan mogelijke injection-aanvallen die worden uitgevoerd op veelgebruikte AI-modellen. Zonder strenge beveiligingsmaatregelen en regelmatige updates is een exploit voor het basismodel een risico voor elk bedrijf dat gebruikmaakt van dat model.  

Machine-hallucinaties

De spraak en tekst die door AI wordt gegenereerd, is in het algemeen behoorlijk overtuigend, maar niet altijd juist. Dit kan een probleem zijn voor organisaties die op AI vertrouwen voor het genereren van informatie voor gebruikers, of machine learning gebruiken voor het opsporen van dreigingen. In dergelijke situaties kunnen afwijkende resultaten behoorlijk kostbaar zijn. 

Geraffineerde aanvallen

Omdat AI op bovenmenselijke snelheid functionele code kan schrijven, kan het potentieel worden gebruikt om aanvallen op te schalen met ongekende snelheid en complexiteit. Daarnaast kan AI worden gebruikt voor het opsporen van kwetsbaarheden in gecompromitteerde code, waarmee aanvallers zich gemakkelijker toegang kunnen verschaffen.  

Maatwerkmalware

De meeste populaire LLM's zijn tot op zekere hoogte beveiligd tegen gebruikers die kwaadaardige code maken, maar geavanceerde cybercriminelen kunnen nog altijd exploits en achterdeurtjes vinden. Ook kunnen gestolen of gekopieerde modellen worden ontdaan van deze beveiligingsmaatregelen, met als gevolg dat boosdoeners aangepaste exploits kunnen maken die vrijwel onmogelijk zijn op te sporen. 

Datavergiftiging

Aanvallen hoeven niet per se misbruik te maken van de AI zelf. In plaats daarvan kunnen de data die worden gebruikt om het machine-learningmodel te trainen het doelwit worden, met als doel het genereren van vervalste output. Die kan vervolgens worden gebruikt om exploits te maken binnen het model zelf en bijvoorbeeld een DNA-keten in een database met criminelen te vervalsen; of er kunnen simpelweg resultaten worden geproduceerd om de organisatie schade toe te brengen.  

Datalekken

AI die is getraind met gevoelige gegevens of die verwerkt, kan die gegevens mogelijk openbaarmaken; door een bug, zoals is gebeurd met enkele van de grote commerciële modellen, of als gevolg van een gerichte aanval. 

Wat vindt de AI er zelf van?

We vroegen ChatGPT wat de belangrijkste dreigingen zijn die uitgaan van generatieve AI. Dit kregen we als antwoord: 

Generatieve AI biedt geweldige kansen op het gebied van innovatie en creativiteit, maar brengt ook unieke uitdagingen en risico's op het gebied van cybersecurity met zich mee. Dit zijn een aantal zaken om te overwegen:

  1. Creatie van geavanceerde nepinhoud
  2. Geautomatiseerde cyberaanvallen
  3. Ontwijking van traditionele beveiligingsmaatregelen
  4. Gebruik van AI als wapen
  5. Zorgen over privacy
  6. Manipulatie van digitaal bewijs
  7. Opkomst van cybercriminelen die gebruikmaken van AI
ChatGPT Reply | DigiCert Insights

Intelligente beveiliging

De functies die AI zo'n handige tool maken voor criminelen kunnen en moeten ook worden gebruikt voor het verbeteren van cybersecuritymaatregelen. Dit zorgt er niet alleen voor dat organisaties effectieve en flexibele cybersecuritytechnologieën kunnen ontwikkelen, maar ook beter kunnen omgaan met menselijke kwetsbaarheden.

Artificial Intelligence and Digital Trust 

Snellere en nauwkeurigere opsporing

AI kan patronen herkennen die door een mens over het hoofd worden gezien. Met een gedetailleerde en uitgebreide baseline van systemen en menselijk gedrag kunnen organisaties met machine learning ook extreem subtiele afwijkingen opsporen.

Artificial Intelligence and Digital Trust

Snelle evaluatie en adaptatie

AI kan externe informatie, zoals dreigingen die ergens anders zijn gedetecteerd, analyseren en beveiligingsmaatregelen daarop aanpassen op een tempo dat mensen nooit kunnen evenaren. Daarmee kunnen organisaties zeer flexibele beleidsregels voor beveiliging opstellen die razendsnel kunnen worden aangepast.

Artificial Intelligence and Digital Trust

Minder menselijke fouten

De mens is de zwakke schakel in elk cybersecuritysysteem. Door bepaalde taken te automatiseren en accuraat en snel uit te voeren, kan AI menselijke fouten terugdringen en tijd vrijmaken voor taken die alleen door mensen kunnen worden uitgevoerd.

Artificial Intelligence and Digital Trust 

Educatie en efficiëntie

Organisaties kunnen AI-tools gebruiken voor realistische simulaties en training, en om medewerkers sneller op te leiden voor geavanceerde cybersecuritytechnieken en -technologieën. Daarnaast kunnen ze zorgen dat specialisten efficiënter kunnen werken en de innovatie en productie van nieuwe cybersecuritytools versnellen.

Artificial Intelligence and Digital Trust

Netwerkbeveiliging

De onmiddellijke patroonherkenning van AI kan worden gebruikt om automatisch op bedreigingen te reageren door verkeer om te leiden van kwetsbare servers, grote aantallen apparaten sneller en regelmatiger te scannen en aanvallen te isoleren voordat ze zich kunnen verspreiden. Daarmee zijn gevoelige gegevens beter beveiligd. 

Artificial Intelligence and Digital Trust

Reactie op dreigingen

AI kan onmiddellijk handelen in allerlei systemen en verbindingen en tegelijkertijd grote hoeveelheden gegevens verwerken. Dat maakt het voor organisaties mogelijk om ook heel geavanceerde aanvallen te bestrijden, mogelijk al lang voordat die zouden zijn gedetecteerd door conventionele middelen.

Artificial Intelligence and Digital Trust

Geautomatiseerd beheer

AI kan vele terugkerende taken op zich nemen, zoals het verlengen van certificaten en het beheren van patches, zodat medewerkers zich bezig kunnen houden met de dagelijkse beveiligingstaken. 

Artificial Intelligence and Digital Trust

Schaal en snelheid

AI kan beleidsregels en oplossingen implementeren en updaten op wereldwijde schaal, op een tempo dat op geen enkele manier kan worden geëvenaard door welk menselijk team dan ook. 

Artificial Intelligence and Digital Trust

Phishing, identiteit en intellectueel eigendom

Door AI te leren content te herkennen die door AI is gegenereerd of die kwaadaardig, vervalst of frauduleus is, kan die content snel worden getagd en verwijderd, nog voordat gebruikers ermee kunnen worden misleid. Hiermee kan niet alleen een goed anti-phishingprogramma worden opgezet, maar kunnen ook andere vormen van identiteitsvervalsing worden verkomen en kan bescherming worden geboden voor originele content en intellectueel eigendom.  

Relevante informatiebronnen

WEBINAR

Voorbereiden op een post-quantumwereld

Post Quantum Computing Insights
Blog

Crypto-assets identificeren voor PQC-gereedheid

Preparing for the Quantum World with Crypto-Agility
Rapport

Gartner PQC-onderzoek 2022