Een nieuw AI-model genaamd Anthropic Mythos kan automatisch kwetsbaarheden in IT-systemen vinden en misbruiken, waardoor de tijd om te reageren op een aanval krimpt van dagen naar uren. Dit leidt tot een fundamentele verschuiving in cybersecurity, waar verdediging niet langer alleen een IT-aangelegenheid is maar een directe bestuurlijke verantwoordelijkheid.
Wat er aan de hand is
De Amerikaanse Federal Reserve Board en de CISO Community Nederland slaan alarm over het AI-model Anthropic Mythos. Volgens Dimitri van Zantvliet, voorzitter van de CISO Community, kan dit model pijlsnel zwakke plekken in software vinden en ingenieuze manieren bedenken om die te misbruiken. De Amerikaanse toezichthouder vreest voor nieuwe systemische risico’s in het bancaire stelsel. Het model markeert een overgang van AI die tekst genereert naar AI die zelfstandig actie kan ondernemen. Hoewel ontwikkelaar Anthropic beweert het model niet publiekelijk uit te brengen, vreest Van Zantvliet dat de technologie binnen enkele maanden wordt nagebouwd in opensource-modellen, waardoor deze mogelijkheden wereldwijd beschikbaar komen.
Wat dit betekent
De grootste impact is de versnelling van cyberaanvallen. De tijd tussen het vinden van een kwetsbaarheid (een zogenaamde ‘zero-day’) en het misbruiken ervan krimpt van dagen naar uren. Dit maakt traditionele, mens-gedreven verdediging bijna onmogelijk. Voor bestuurders betekent dit dat cybersecurity niet langer gedelegeerd kan worden als een puur technisch ‘IT-probleem’. Het wordt een fundamentele bestuurlijke verantwoordelijkheid, omdat de potentiële ontwrichting van kritieke infrastructuur of bedrijfsprocessen direct op bestuursniveau besproken moet worden. De risico’s zijn het hoogst voor organisaties die afhankelijk zijn van complexe software, SaaS-diensten en cloudconfiguraties, waar menselijke fouten in het beheer een veelgebruikte aanvalsroute zijn.
Hoe je dit kunt toepassen
De praktische aanpak hangt af van jouw rol en organisatie. De kern is om de verdediging te versnellen en te automatiseren, net zoals de aanvallen versnellen.
Als je in een raad van bestuur of directie zit… behandel cybersecurity niet langer als een delegatie naar de IT-afdeling. Zorg voor een directe rapportagelijn van de CISO of security officer naar het hoogste bestuursorgaan. Bespreek in bestuursvergaderingen niet alleen of er incidenten zijn geweest, maar vooral of de organisatie is voorbereid op aanvallen die binnen uren escaleren. Vraag naar de plannen voor het implementeren van geautomatiseerde verdedigingstools.
Als je verantwoordelijk bent voor IT of security (zoals een CISO of IT-manager)… focus op het automatiseren van detectie. Menselijke teams kunnen de overweldigende stroom van signalen niet meer handmatig verwerken. Onderzoek en implementeer AI-gestuurde security tools die zijn ontworpen om automatisch afwijkende configuraties in je cloud- en SaaS-omgevingen te vinden, voordat een tool als Mythos ze vindt. Zorg dat je tools de meest kritieke assets prioriteren.
Als je een MKB-bedrijf runt zonder een groot security-team… je weerbaarheid begint bij de basis. Automatiseer waar mogelijk het configuratiebeheer van je belangrijkste systemen (zoals je website, cloudopslag of boekhoudsoftware) om menselijke fouten te minimaliseren. Overweeg om gebruik te maken van managed security service providers (MSSP’s) die geavanceerde, geautomatiseerde monitoring kunnen bieden tegen een abonnementskost. Zorg ervoor dat je een duidelijk en getest incidentresponse-plan hebt, zodat iedereen weet wat te doen als er een vermoedelijke inbreuk is – snel handelen is cruciaal.
De kern is proactief handelen: wacht niet op een incident om je verdediging aan te scherpen. De technologie om aanvallen te automatiseren is er, of komt er snel aan. Je verdediging moet hetzelfde doen.
Bron: Computable