In Nederland en Europa stapelen grote hacks en datalekken zich de laatste maanden op. Beveiligingsteams zien dat kunstmatige intelligentie de strijd tussen aanvallers en verdedigers versnelt. Het gaat om bedrijven, overheden en zorginstellingen die met nieuwe risico’s te maken krijgen. De vraag is wat AI precies verandert, en wat de Europese AI-verordening betekent voor overheden en bedrijven.
AI versnelt cyberaanvallen
Criminelen en statelijke groepen gebruiken AI om aanvallen sneller en slimmer te maken. Algoritmen schrijven foutloze phishingmails in elke taal en passen ze aan per doelwit. Dat verlaagt de drempel voor minder ervaren aanvallers en vergroot de schaal. Ook reconnaissance, het verkennen van doelwitten, wordt geautomatiseerd.
Grote taalmodellen, zoals ChatGPT van OpenAI en Gemini van Google, genereren overtuigende teksten. Een groot taalmodel is software die zinnen voorspelt op basis van patronen in enorme hoeveelheden tekst. Met zulke systemen ontstaan geloofwaardige nepmails, chats en sms’jes. Aanvallers combineren dit met openbare gegevens van sociale media.
Verder helpen AI-tools bij het variëren van malware en het omzeilen van herkenningsregels. Code-assistenten kunnen proof-of-concepts genereren op basis van publieke kwetsbaarheden. Dat verkort de tijd tussen bekendmaking van een lek en misbruik. Securityteams moeten daardoor sneller patchen en monitoren.
Generatieve tools verlagen drempel
Op ondergrondse fora circuleren modellen als “WormGPT” en “FraudGPT”, die misbruik van AI promoten. Zulke namen verwijzen vaak naar aangepaste versies van open modellen, zoals Llama 2 van Meta, die offline te gebruiken zijn. Offline gebruik bemoeilijkt blokkeren en toezicht. Daardoor groeit het grijze gebied tussen onderzoek, hobbyprojecten en criminaliteit.
Generatieve AI maakt ook deepfakes en stemklonen toegankelijk. Met korte geluidsfragmenten kan een systeem iemands stem nabootsen en zo telefonische fraude plegen. In combinatie met gestolen e-mailaccounts ontstaat een sterke mix voor “business email compromise”. Bedrijven moeten daarom niet alleen op taal, maar ook op context en procescontroles letten.
Aanvallers gebruiken chatbots om snel te vertalen, te redigeren en overtuigingskracht te testen. Prompting, het sturen van een model met tekstcommando’s, helpt om varianten te maken die filters voorbij gaan. Zo ontstaat een continue stroom van net iets andere berichten. Dat maakt klassieke blokkades op woordenlijsten minder effectief.
Verdediging met algoritmen groeit
Verdedigers zetten eveneens AI in om afwijkend gedrag sneller te zien. Endpoint-detectie en netwerk-analyse gebruiken datamodellen om patronen te vinden die op misbruik wijzen. Microsoft Copilot for Security, Google Chronicle met Mandiant, CrowdStrike Charlotte AI en Palo Alto Cortex XSIAM koppelen signalen uit verschillende bronnen. Zo kan een analist sneller prioriteren en reageren.
Die hulpmiddelen werken niet vanzelf. Modellen kunnen vals alarm geven of misleid worden door nieuwe aanvalstechnieken. Beveiligingsteams moeten daarom data opschonen, drempels afstellen en resultaten uitleggen. Menselijk toezicht en duidelijke procedures blijven nodig.
Privacy speelt tegelijk een rol bij trainingsdata en logbestanden. Onder de AVG moet dataminimalisatie gelden: verzamel niet meer dan nodig en versleutel gevoelige gegevens. Pseudonimisering helpt om analyses te doen met minder risico. Voor Europese organisaties is dit een randvoorwaarde om AI in security rechtmatig te gebruiken.
Europese regels scherpen plichten
De AVG verplicht organisaties om datalekken snel te melden bij de Autoriteit Persoonsgegevens. NIS2, de nieuwe Europese cybersecurityrichtlijn, verhoogt zorgplichten voor essentiële en belangrijke sectoren, zoals energie, zorg en digitale diensten. Lidstaten moeten NIS2 omzetten in nationale wetgeving, met strengere eisen aan risicobeheer en rapportage. Organisaties in Nederland bereiden zich hierop voor met hulp van NCSC en Digital Trust Center.
De AVG schrijft voor dat ernstige datalekken in principe binnen 72 uur na ontdekking gemeld moeten worden.
De Europese AI-verordening (AI Act) introduceert regels voor AI-systemen en voor algemene modellen (GPAI), met extra plichten bij systemisch risico. Beveiligingstoepassingen vallen vaak buiten de hoogrisicocategorie, maar transparantie en documentatie zijn ook daar belangrijk. Leveranciers moeten herkomst, beperkingen en veiligheidsmaatregelen duidelijk maken. Dit helpt afnemers om risico’s te beoordelen en audits te doorstaan.
Voor overheden betekent dit dat inkoop en gebruik van AI-gestuurde beveiliging onder strengere governance vallen. Denk aan DPIA’s (gegevensbeschermingseffectbeoordelingen) bij logging en modellering. Ook moeten contracten eisen stellen aan datalocatie, modelupdates en incidentrespons. Zo raken technologie en beleid direct aan de dagelijkse praktijk.
Praktische stappen voor organisaties
Begin met basismaatregelen die AI-aanvallen dempen: multifactor-authenticatie, streng rechtenbeheer en snel patchen. Voeg e-mailauthenticatie toe met SPF, DKIM en DMARC om spoofing te beperken. Train medewerkers met realistische, maar verantwoorde simulaties die sociale engineering en deepfakes meenemen. Leg tevens afspraken vast voor het gebruik van chatbots: geen gevoelige data plakken, en altijd broncontrole.
Investeer in detectie en respons, niet alleen in preventie. Verzamel logs centraal en bewaar ze voldoende lang voor onderzoek. Gebruik AI-analyses, maar koppel ze aan duidelijke escalatiepaden en menselijk review. Oefen incidentprocessen met tabletop-sessies, inclusief de 72-uursregel onder de AVG.
Tot slot: toets leveranciers van AI-beveiliging streng. Vraag om modelkaarten, evaluaties en red-teamresultaten. Controleer hoe updates, false positives en databehoud zijn geregeld. En maak afspraken over ondersteuning bij NIS2-rapportage en forensisch onderzoek.
