De Cyber Security Raad (CSR), het hoogste adviesorgaan van de overheid op dit gebied, stelt dat kunstmatige intelligentie nu actief wordt ingezet als wapen in cyberaanvallen. Dit is geen toekomstmuziek meer, maar een huidige strategische dreiging waar bedrijven mee te maken hebben. De raad baseert dit op concrete voorbeelden, zoals een wereldwijde aanval door een aan China gelieerde hackersgroep met autonome AI en het gebruik van verfijnde, adaptieve malware door een Russische staatsgelieerde groep in 2025. Het grootste probleem is volgens de CSR de kennisachterstand. De expertise om dit soort aanvallen uit te voeren én te bestrijden ligt vooral bij kwaadwillende actoren, vaak staten met offensieve cyberprogramma’s. Deze kennis wordt niet gedeeld, wat betekent dat Nederland en Europa deze zelf moeten ontwikkelen.

Waarom dit voor ondernemers relevant is

Voor een ondernemer verandert de dreiging door AI op twee manieren. Ten eerste worden aanvallen geavanceerder en moeilijker te detecteren. Traditionele beveiliging die afhankelijk is van bekende patronen kan omzeild worden door AI die zich aanpast en leert. Ten tweede wordt de drempel lager. De CSR noemt het voorbeeld van malware die eenvoudige tekstinstructies kan omzetten in gerichte aanvallen. Dit betekent dat er minder technische expertise nodig is om gevaarlijke aanvallen uit te voeren, wat het aantal potentiële aanvallers vergroot. De kernboodschap van de raad is dat alleen wie begrijpt hoe de tegenstander opereert, zich effectief kan beschermen. Voor bedrijven vertaalt dit zich naar een noodzaak om hun eigen kennisniveau over deze nieuwe dreigingen te verhogen.

De aanbevelingen van de Cyber Security Raad

De CSR richt zich in haar advies primair tot de overheid. Ze adviseert het kabinet om beleid, budget en plannen aan te passen op deze nieuwe realiteit. Concreet pleit de raad voor het versneld opbouwen van kennis, bijvoorbeeld door het organiseren van een zogenaamde ‘Grand Challenge’. Dit is een competitie waarin multidisciplinaire teams van onderzoekers en bedrijven samenwerken om geautomatiseerde systemen te ontwikkelen die aanvallen sneller detecteren, misbruik voorspellen en effectievere herstelmethoden bieden. De CSR ziet kansen om dit samen met experts uit landen als Duitsland en Frankrijk op te zetten, maar benadrukt dat politieke steun daarvoor noodzakelijk is. Deze grootschalige, overheidsgestuurde initiatieven zijn bedoeld om de collectieve cyberweerbaarheid op nationaal en Europees niveau te vergroten.

Hoe kun je dit vandaag toepassen?

De oproep van de Cyber Security Raad is vooral een strategische waarschuwing aan de overheid, maar bevat een duidelijke implicatie voor iedere ondernemer: de dreiging is reëel en je kennis moet mee-ontwikkelen. Je kunt niet wachten tot grootschalige overheidsprojecten resultaat opleveren. Een praktische vertaling begint bij het erkennen dat de spelregels veranderen en dat je je verdediging hierop moet aanpassen.

Als je een MKB-bedrijf runt met een eigen IT-infrastructuur, zou je kunnen overwegen om je huidige beveiligingspartner of IT-leverancier te vragen naar hun visie op AI-gestuurde dreigingen. Vraag niet naar technische details, maar naar hun strategie: hoe houden zij hun detectiesystemen up-to-date met deze ontwikkelingen? Het gesprek aangaan over dit onderwerp is een eerste concrete stap om je eigen kennisniveau en dat van je partners te peilen.

Als je een online dienst verleent of een webshop beheert, is een mogelijke stap om je te verdiepen in de beveiligingsprincipes die minder afhankelijk zijn van het herkennen van bekende patronen. Denk aan concepten als ‘zero trust’ (waarbij geen enkel verkeer binnen het netwerk standaard wordt vertrouwd) of sterke multi-factor authenticatie voor alle kritieke systemen. Deze benaderingen maken het voor aanvallers, ook als ze AI gebruiken, moeilijker om zich vrij door je systemen te bewegen.

Als je verantwoordelijk bent voor een team, zou je kunnen overwegen om cybersecurity-awareness trainingen niet langer alleen te richten op phishing, maar ook op het begrip van de evoluerende dreiging. Een korte uitleg over hoe AI aanvallen kan automatiseren en personaliseren, maakt medewerkers bewuster van het feit dat ook ogenschijnlijk onschuldige signalen of verzoeken onderdeel kunnen zijn van een geavanceerde aanval.

Als je als ondernemer investeert in nieuwe technologie, is het verstandig om cybersecurity vanaf het begin mee te nemen in de afweging, een benadering die ‘security by design’ wordt genoemd. Vraag bij de introductie van nieuwe software of platformen expliciet naar de maatregelen die de leverancier neemt tegen geavanceerde, geautomatiseerde aanvallen. Dit stelt je in staat om meer geïnformeerde keuzes te maken.

De kern is dat je actief je begrip van het risicolandschap moet onderhouden. De kennisachterstand waar de CSR voor waarschuwt, begint bij het besef dat de dreiging fundamenteel aan het veranderen is. Door hier met je partners over in gesprek te gaan en het in je eigen risicobewustzijn en planning te integreren, zet je de eerste, cruciale stap in het vergroten van je weerbaarheid.

Bron: Emerce