AI verandert momenteel vrijwel elk aspect van het technologielandschap. Deze transformatie is nergens ingrijpender of dringender dan bij cybersecurity. AI staat vandaag centraal, zowel aan de kant van aanvallers als van verdedigers, en versnelt de wapenwedloop tussen cybercriminelen en de organisaties die hen proberen tegen te houden. Doordat de ontwikkelingen elkaar razendsnel opvolgen, wordt innovatievermogen een cruciale factor om de nationale veiligheid en de concurrentiekracht te beschermen.
Het is daarom bemoedigend om te zien dat regelgevende instanties, zoals recentelijk de EU, stappen ondernemen om hun strenge beleid ten aanzien van AI aan te passen. Krachtige beschermingsmaatregelen moeten blijven bestaan, maar het is net zo belangrijk om innovatie mogelijk te maken die onze veiligheid helpt waarborgen. Daarbij moet worden gezorgd dat de ‘vangrails’ die het publiek beschermen niet de technologieën aantasten die hen verdedigen.
AI ontwikkelt zich snel, wet- en regelgeving van oudsher niet
Een van de grootste uitdagingen voor beleidsmakers is dat de AI-ontwikkelingen zeer snel gaan, maar dat wet- en regelgeving dit tempo niet bij kan houden. Daarbij geldt bovendien dat als wet- en regelgeving erin slaagt om een inhaalslag te maken, aanvallers zich zelden – eigenlijk nooit – aan de regels houden.
Er is tientallen jaren aan bewijs die deze claim ondersteunt. Zo proberen overheden over de hele wereld de drugshandel te reguleren en te bestrijden. Criminele organisaties gaan echter gewoon door met hun praktijken omdat ze zich niks van de regels aantrekken. Cybercriminelen en door staten gesteunde aanvallers gedragen zich niet anders. Ze houden zich niet aan ethische kaders, tijdelijke verboden of internationale overeenkomsten.
Dit betekent echter niet dat AI verder moet ontwikkeld worden zonder enige vorm van toezicht. Toen genetische modificatie praktisch mogelijk werd, hebben de VS het gebruik ervan gereguleerd om medische doorbraken mogelijk te maken en tegelijkertijd het risico op misbruik te beperken. Dezelfde balans is nu ook nodig: sterke beschermingsmaatregelen, duidelijke standaarden en ethische kaders die innovatie mogelijk maken en tegelijkertijd misbruik tegengaan. We mogen er niet van uitgaan dat die beschermingsmaatregelen de dreigingen echt zullen terugdringen. Net daarom is het cruciaal dat de innovatie aan defensieve kant niet vertraagt.
De cyberwapenwedloop is nucleair geworden
Cybersecurity is altijd al een wapenwedloop geweest, maar AI heeft de snelheid en omvang van die wapenwedloop fundamenteel veranderd. AI-bedrijf Anthropic meldde onlangs het eerste gedocumenteerde geval van een grootschalige cyberaanval die grotendeels via AI werd uitgevoerd. Hierbij gebruikten cybercriminelen AI niet alleen als ‘denkhulp’, maar ook om de cyberaanval zelf te orkestreren.
Met de modellen die vandaag beschikbaar zijn kunnen aanvallers in hoog tempo kwetsbaarheden opsporen, geavanceerde en sterk gepersonaliseerde phishing-aanvallen genereren, volledige digitale ecosystemen automatisch in kaart brengen en openbare data misbruiken om boodschappen te creëren die nauwelijks nog te onderscheiden zijn van legitieme communicatie.
Verdedigers kunnen AI natuurlijk ook inzetten om detectie, correlatie, triage en respons aanzienlijk te verbeteren. Moderne cloud-cybersecurityplatforms combineren AI steeds vaker met grootschalige dataverwerking om enorme hoeveelheden securitytelemetrie van endpoints, netwerken, identiteiten en cloudworkloads te verwerken en te analyseren. Hierbij is het belangrijk dat de AI-modellen zo veel mogelijk worden getraind met echte operationele telemetrie i.p.v. synthetische samples. Zo kunnen teams snel en nauwkeurig afwijkingen identificeren, events in verschillende omgevingen met elkaar correleren en automatisch bepalen wat hun directe aandacht vereist. In de praktijk fungeert AI als een ‘force multiplier’ voor Security Operations Centers (SOC) door een snellere analyse, slimme prioritering en een nauwkeurigere responsacties mogelijk te maken.
Het belangrijkste is dat beide zijden in sneltempo vooruitgaan. Maar zodra AI-innovatie wordt afgeremd of ingeperkt – hoe goed bedoeld ook – komen cybersecurity-teams op achterstand te staan, terwijl aanvallers gewoon verder versnellen. AI-innovatie beperken via regelgeving is dus geen neutrale ingreep, maar werkt ongewild in het voordeel van de aanvallers.De koerswijziging van de
EU is belangrijk
Dit maakt de recente voorstellen van de EU zo noemenswaardig. Europa heeft traditioneel gezien een strenge technologieregulering. Zo is de Algemene Verordening Gegevensbescherming(AVG)wereldwijd een voorbeeld geworden voor de bescherming van privacy en belooft de AI Act hetzelfde te doen voor AI-technologie. In een recent voorstel wil de Europese Commissie de AVG-beperkingen vereenvoudigen, bureaucratie verminderen en elementen van de AI Act versoepelen. Het voorstel laat zien dat Europese regelgevers zich realiseren dat overregulering innovatie kan belemmeren. Europa heeft juist deze innovatie nodig om wereldwijd te kunnen concurreren én om veilig te blijven.
Natuurlijk laat de EU de beschermingsmaatregelen niet los: privacy en grondrechten blijven een centraal uitgangspunt. Tegelijk erkent Europa dat toegang tot data essentieel is voor het trainen van veilige en doeltreffende AI-modellen, dat veiligheidsmaatregelen praktisch en werkbaar moeten blijven, dat bedrijven nood hebben aan duidelijkheid en flexibiliteit om te kunnen innoveren en dat Europa niet het risico mag lopen dat tegenstanders sneller vooruitgang boeken.
Dit is geen deregulering. Dit is modernisering. Het is precies die houding die toelaat om AI verantwoord te ontwikkelen zonder aan veiligheid in te boeten.
Balans tussen veiligheid en innovatie met de snelheid van data
Om zich effectief te kunnen verdedigen tegen AI-gerelateerde dreigingen, moeten overheden en leiders van technologiebedrijven zich aanpassen aan het tempo van AI-ontwikkelingen. Regelgeving kan alleen effectief blijven als deze even snel mee ontwikkelt. Beleidmakers en bedrijven die marktleiders zijn moeten samenwerken om ervoor te zorgen dat beschermingsmaatregelen gelijke tred houden met innovatie. Als aanvallers opereren met de snelheid van data, moeten verdedigers en het beleid dat hen ondersteunt dat ook.
Beleidsmakers moeten burgers blijven beschermen, privacy waarborgen en ethische normen handhaven. Maar ze moeten ook een simpele waarheid onder ogen zien: veiligheid vereist innovatie en innovatie kan niet floreren als deze wordt belemmerd door verouderde of te traag evoluerende regelgeving. De verschuiving binnen Europa is een veelbelovend teken dat regelgevers dit begrijpen. Nu is het moment voor overheden, technologieleveranciers en security-leiders om samen te werken en AI zo te ontwikkelen dat vooruitgang en veiligheid hand in hand blijven gaan.
