Commentaar over het artikel in NRC: Cybersecurity: aanvallen én verdedigen met AI

Wat volgt is een discussie over het artikel in de NRC van 27 December 2024, door Martijn Dekker
Om het artikel te lezen selecteer de volgende link: https://www.nrc.nl/nieuws/2024/12/27/ai-smakeloze-stamppot-of-existentieel-gevaar-a4877715

• De tekst in italic is een kopie van het artikel.
  
• Direct gevolgd door een commentaar
  

In de laatste paragraaf staat mijn eigen mening.

Reflectie

• Reflectie 1 -

Inleiding

Informatiebeveiliging richt zich op het beschermen van informatie door te zorgen dat data vertrouwelijk blijft, niet aangepast kan worden door onbevoegden en beschikbaar is. In onze digitale maatschappij is informatiebeveiliging een topprioriteit.
Beveiligers staan voor de uitdaging om IT-systemen en data te beveiligen tegen hackers die informatie stelen, systemen gijzelen of digitale fraude plegen.

Om dit probleem aan te pakken is het heel belangrijk om ieder probleem afzonderlijk aan te pakken en op te lossen.
De eerste vraag die je zou moeten stellen gaat het hier om één geval van informatie stelen of gaat het over twee verschillende gevallen?
Als het over twee gevallen dan heb je in zekere mate te maken met een capaciteitsprobleem.

Een veelgebruikte methode is spear-phishing, waarbij berichten aan gebruikers steeds vaker persoonlijk en daarmee heel geloofwaardig zijn.

Dit probleem moet worden aangepakt door het spear-phishing team
Bij iedere probleem gaat het vaak om dezelfde vragen:
Wat is de beschrijving van dit probleem. Is het hardware, or software?
Bij een softwareprobleem: Is het een systeem probleem en of onderdeel van pakket. Is dit probleem gemakkelijk om te demonstreren?
Welke afdeling or team heeft dit probleem aangekaart?
Is dit een nieuw probleem? Zo niet, wat is de geschiedenis.
Zijn er nog andere afdelingen bij betrokken? Komt het in meerdere plaatsen in het bedrijf voor.

IT-incidenten ontstaan het vaakst door menselijke fouten.

Niets zeggend.

Door de grote verwevenheid van systemen en bedrijven kan een kleine fout grote gevolgen hebben.

Niets zeggend

Bij informatiebeveiliging is een voortdurende wapenwedloop gaande tussen aanvallers en verdedigers. Twee factoren spelen hierbij een rol: complexiteit en snelheid. Hoe complexer een systeem is, hoe moeilijker het is om het beveiligen. En hoe sneller een proces, hoe lastiger het is om incidenten tijdig te ontdekken en op te lossen.

De problematiek rond computer (data) veiligheid moet ongeveer hetzelfde worden aangepakt als het spear-phishing probleem

Toepassing van AI zorgt ervoor dat complexiteit goedkoper wordt. Dit zal zorgen voor een toename van complexiteit.

Deze twee zinnen zijn tegenstrijdig. Iets kan niet zowel simpeler als complexer worden.

Daarnaast zorgt AI voor verhoging van de snelheid van processen.

In eerste instantie zorgt AI voor een extra overhead.

Hoewel dit grote voordelen voor onze maatschappij heeft, betekent het dus ook dat IT-beveiliging moeilijker wordt.

Deze zin is tegenstrijdig. Iets kan niet zowel voordelen als nadelen hebben
Iets kan wel in het begin voordelen hebben, maar op de lange duur nadelen. Bijvoorbeeld als een bedrijf gaat bezuinigen.

IT-beveiligers zullen methodes moeten bedenken om AI-systemen te verdedigen. Nieuwe risico's zullen ontstaan, zoals het vergiftigen van trainingsdata en onverwacht autonoom gedrag van een AI-systeem.

Mijn inschatting is dat het beveiligen van een bedrijfscomputer systeem en een AI-systeem, dat een onderdeel is van het bedrijfssysteem, dezelfde is.

Hackers hebben AI al ontdekt als technologie om aanvallen op te zetten, betere phishing-emails te schrijven en slimmere computervirussen te bouwen. Generatieve AI is in staat aanvallen op grote schaal op te zetten zonder dat ze minder persoonlijk zijn.

Het lijkt mij uiterst moeilijk om AI te gebruiken om betere phishing-emails te schrijven. D.w.z. e-mails te gebruiken die niet van de echte te onderscheiden zijn.
Mijn inschatting is dat het aanpassen van phishing-emails mensen werk is.

De impact van AI is zo groot, dat het onverstandig is om de ontwikkeling enkel door commerciële motieven te laten sturen.

Onduidelijke zin.

Gelukkig hebben regelgevers in Europa dit goed begrepen en is er sterke wetgeving gemaakt die de toepassing van AI reguleert, met als doel essentiële waarden, zoals privacy, te waarborgen.

Een ding is zeer belangrijk en wel dat iedere programma (bijv. zelfsturende software van een auto) dat op de markt wordt gebracht, een eigenaar moet hebben.
De consequentie is dat als het programma fouten maakt die eigenaar daar verantwoordelijk is.

Door de snelle toepassing van AI door aanvallers, de hogere snelheid en complexiteit van de wereld, en door nieuwe risico's waartegen AI-systemen beschermd moeten worden, staan IT-beveiligers voor een grote transformatie in hun vak.

De aanvallers van de (veiligheid) van computer systemen zullen niet vaak van AI gebruik maken, want dat vereist grondige kennis van de systeem software, inclusief de ingebouwde beveiliging.

Een transformatie die enkel goed uitgevoerd kan worden door een combinatie van regelgeving, innovatie en de omarming van AI als wapen van verdedigers.

Voor fouten in de beveiliging, voor fouten in de systeem software of voor fouten in applicaties is het gebruik van AI heel moeilijk.

Reflectie 1 - Cybersecurity - Aanvallen en verdedigen met AI - Algemeen

Het artikel springt nog al van de hak op de tak. Het is niet duidelijk voor wie het artikel geschreven is.
Als je iets over AI en de relatie met Cybersecurity wil zeggen dan moet je beide eerst goed beschrijven

AI zou je kunnen onderverdelen in twee soorten van applicaties:
1. Als onderdeel van een applicatie. Je zou kunnen proberen om een route planning systeem met behulp van AI te verbeteren.
2. Als onderdeel van de systeem software. Je zou kunnnen proberen om met AI de veiligheid van je computer systeem te verbeteren.
Echter, beide soorten, vereisen ieder heel specifieke kennis om het bestaande te begrijpen, te ontdekken wat er fout is, of de nieuwe specifieke wensen te bepalen en daarna om het bestaande om te zetten naar het nieuwe (en te testen). In deze schakel heeft AI weinig zin.

Cybersecurity is een complex probleem omdat het binnen een bedrijf over verschillende systemen kan gaan, die allemaal met elkaar moeten samen werken.
In zekere zin heeft ieder systeem zijn eigen specialisten. Om daar een vorm van eenheid te brengen via AI lijkt mij een heel moeilijke taak.

Een belangrijke vraag hierbij is: zijn er redundante systemen, d.w.z. systemen die dubbel zijn uitgevoerd. Bij dit soort systemen is het heel belangrijk wie is er verantwoordelijk? Is dat een externe partij? Ook hier is AI van weinig nut.

Een heel ander probleem is fraude bestrijding met behulp van AI.
Nu is het zo dat phishing vaak gebruik maakt van foute URL's. Wat heel gemakkelijk is om die foute URL's (site) in een lijstje (array) te zetten en iedere URL die een internet provider binnenkrijgt te testen op die foute url's en te 'verwijderen' of iets anders. Ook hier heeft AI nauwelijks zin.
Het zelfde kun je ook doen met foute telefoonnummers die jou proberen een 'dienst' te bewijzen.
Je zou hetzelfde ook kunnen doen bij alle rekeningen die er (automatisch) betaald moeten worden. Vaak als je kijkt naar jouw afrekeningen dan staan er namen op die niet duidelijk van wie (welke winkel) die zijn. Extra aanduiding (naast een naam) van een telefoon nummer zou handig zijn. Ook hier speelt AI nauwelijks een rol.

In het begin, toen alle communicatie via de post binnen kwam was de gebruikersvriendelijkheid heel groot.
De tussen schakel alleen via de PC en een directe link met je provider, was in het begin ook zakelijk.
De omschakeling van ieder zijn eigen Netwerk en het volledig vertrouwen op Internet, groeide het aantal pagina's per applicatie, verminderde de informatie per pagina, verdween het overzicht en verminderde de gebruikersvriendelijkheid.
Dit werd nog het duidelijkst bij het gebruik maken van je iphone, voor serieuze toepassingen, waarbij je gemakkelijk een fout kunt maken, of alles kunt verliezen.

Reflectie 2

Terug naar mijn home page Index
Terug naar NRC commentaar NRC Index