Een nieuw AI-model genaamd Anthropic Mythos kan automatisch kwetsbaarheden in software vinden en misbruiken, waardoor de tijd om te reageren op een aanval krimpt van dagen naar uren. Dit leidt tot een fundamentele verschuiving in cybersecurity, waar verdediging niet langer alleen een IT-probleem is maar een bestuurlijke verantwoordelijkheid.

Wat er aan de hand is

De Amerikaanse Federal Reserve en de Nederlandse CISO Community slaan alarm over het AI-model Anthropic Mythos. Volgens Dimitri van Zantvliet, voorzitter van de CISO Community Nederland, kan dit model pijlsnel zwakke plekken in IT-infrastructuren vinden en daar ook ingenieuze manieren voor misbruik bij bedenken. De snelheid waarmee dit gebeurt, is voor menselijke beveiligingsteams niet bij te benen. De FED vreest voor nieuwe systemische risico’s in het bancaire stelsel. Hoewel ontwikkelaar Anthropic claimt het model niet publiekelijk uit te brengen, vreest Van Zantvliet dat de software binnen enkele maanden wordt gerepliceerd in opensource-modellen, waardoor de mogelijkheden wereldwijd beschikbaar komen.

Wat dit betekent

De grootste impact is de versnelling van cyberaanvallen. De tijd tussen het vinden van een kwetsbaarheid (een zogenaamde ‘zero-day’) en het misbruiken ervan krimpt van dagen naar uren. Dit maakt traditionele, mens-gestuurde reactiecycli obsoleet. Voor ondernemers betekent dit dat cybersecurity niet langer kan worden gedelegeerd als een puur technisch ‘IT-probleem’. Het wordt een fundamentele bestuurlijke verantwoordelijkheid, omdat de potentiële schade direct de continuïteit van het bedrijf raakt. Menselijke fouten in configuratiebeheer, zoals recente datalekken aantonen, blijven een kritieke aanvalsvector die door dit soort AI nog sneller kan worden uitgebuit.

Hoe je dit kunt toepassen

De praktische aanpak verschilt per situatie, maar de kern is het versnellen en automatiseren van je verdediging om gelijke tred te houden met geautomatiseerde aanvallen.

Als je een klein of middelgroot bedrijf runt zonder een groot securityteam, is de eerste stap het verhogen van bewustzijn op directieniveau. Overweeg om cybersecurity structureel op de agenda van bestuursvergaderingen te zetten, niet als incidenteel punt. Je zou kunnen beginnen met een risico-inventarisatie: welke data en systemen zijn het meest kritiek voor je bedrijfscontinuïteit? Richt je beperkte middelen eerst op het beschermen van die assets.

Als je een IT- of securitymanager bent, is automatisering van detectie cruciaal. Een concrete mogelijkheid is het onderzoeken van AI-gestuurde securitytools die de overweldigende stroom van logmeldingen en alerts kunnen filteren. Deze tools kunnen helpen om de meest kritieke dreigingen eruit te pikken voordat een geautomatiseerd aanvalstool zoals Mythos ze vindt. Focus daarbij specifiek op het automatiseren van checks voor verkeerde SaaS- en cloudconfiguraties, een veelvoorkomende menselijke fout.

Als je in een sector werkt met gevoelige data of kritieke processen, zoals financiën, zorg of logistiek, is de dreiging acuter. Een optie is om naast preventie ook je reactiesnelheid te oefenen. Je zou kunnen overwegen om vaker ’table-top’ oefeningen te doen met het managementteam, waarin een gesimuleerde, snelle cyberaanval wordt doorlopen. Dit bereidt de organisatie voor op besluitvorming onder extreme tijdsdruk.

De kern is dat verdediging proactief en geautomatiseerd moet worden, omdat de aanvaller dat nu ook is. Begin met het beschermen van je kroonjuwelen en zorg dat de verantwoordelijkheid voor die bescherming hoog in de organisatie wordt gedragen.

Bron: Computable