De komst van AI-modellen zoals Anthropic Mythos betekent dat de tijd om je te verdedigen tegen cyberaanvallen krimpt van dagen naar uren. Dit nieuwe type AI kan zelfstandig zwakke plekken in software vinden en ingenieuze manieren bedenken om die te misbruiken, met een snelheid die menselijke teams niet kunnen bijbenen. Voor ondernemers is de belangrijkste les dat cybersecurity niet langer een puur IT-probleem is, maar een fundamentele bestuurlijke verantwoordelijkheid.

Wat er aan de hand is

De Amerikaanse Federal Reserve Board en de CISO Community Nederland slaan alarm over het nieuwe AI-model Anthropic Mythos. Volgens Dimitri van Zantvliet, voorzitter van de CISO Community Nederland, kan dit model een enorme ontwrichtende kracht hebben. Het kan niet alleen pijlsnel kwetsbaarheden in IT-infrastructuren vinden, maar ook direct manieren bedenken om die te exploiteren. Amerikaanse toezichthouders hebben bankiers bijeengeroepen om deze nieuwe risico’s te bespreken, uit angst voor systemische risico’s in het bancaire stelsel. Het grote gevaar is dat de tijd tussen de ontdekking en het misbruik van een kwetsbaarheid (een zogenaamde zero-day) krimpt van dagen naar uren. Hoewel ontwikkelaar Anthropic beweert het model niet publiekelijk uit te brengen, vreest Van Zantvliet dat de technologie binnen enkele maanden wordt gerepliceerd in opensource-modellen, waardoor deze mogelijkheden wereldwijd beschikbaar komen.

Wat dit betekent

Dit betekent een fundamentele verschuiving in het cybersecurity-landschap. De snelheid van aanvallen neemt exponentieel toe, waardoor traditionele, reactieve verdediging ontoereikend wordt. Voor ondernemers, met name in het MKB met beperktere IT-middelen, wordt het risico groter. De dreiging is niet langer alleen gericht op grote banken of overheden; geautomatiseerde tools kunnen elk bedrijf met kwetsbare software als doelwit selecteren. Een kritieke aanvalsvector blijft, zoals recente datalekken aantonen, menselijke fouten in configuratiebeheer van clouddiensten (SaaS). De oproep van de CISO Community is duidelijk: cybersecurity kan niet langer worden gedelegeerd als een puur technisch probleem. Het is een bestuurlijke verantwoordelijkheid die directe aandacht van de directie of eigenaar vereist.

Hoe je dit kunt toepassen

De praktische aanpak draait om het versnellen en automatiseren van je verdediging, voordat geautomatiseerde aanvalstools je zwakke plekken als eerste vinden.

Als je SaaS-diensten of cloudomgevingen gebruikt… is geautomatiseerd configuratiebeheer cruciaal. Een simpele fout in een instelling kan de deur wagenwijd openzetten. Overweeg om tools in te zetten die continu je cloudconfiguraties controleren op afwijkingen van beveiligingsstandaarden. Dit automatiseren is essentieel, omdat de hoeveelheid signalen voor een menselijk team overweldigend kan zijn.

Als je een beperkt IT-budget of -personeel hebt… richt je dan op het beschermen van je meest kritieke assets. Welke systemen of data zouden, als ze worden gehackt, je bedrijf direct lamleggen? Zet daar je beperkte middelen op in. Een mogelijkheid is om AI-gestuurde verdedigingstools te verkennen die de enorme stroom van beveiligingsmeldingen kunnen filteren, zodat je team zich kan concentreren op de hoogste prioriteiten.

Als je verantwoordelijk bent voor de bedrijfsvoering… maak cybersecurity een vast agendapunt op bestuursniveau. Bespreek niet alleen of er incidenten zijn geweest, maar vraag naar de proactieve maatregelen: hoe snel kunnen we een nieuwe kwetsbaarheid detecteren en patchen? Is onze verdediging afgestemd op de nieuwe snelheid van AI-gedreven aanvallen? Deze shift van reactief naar proactief beheer is de kern van de waarschuwing.

Bron: Computable