De opkomst van Artificial Intelligence (AI) wordt vaak vergeleken met de California Gold Rush. Net als de massale toestroom van gelukszoekers rond 1840 in San Francisco heeft Silicon Valley zijn zinnen gezet op AI in de jacht op een digitale schat.
Een bijdrage van Ed Skoudis, president, SANS Technology Institute
AI is een technologie die de wereldeconomie naar verwachting jaarlijks een duizelingwekkende 4,4 biljoen dollar oplevert. Security lijkt echter in het gedrang te komen: hoe sneller ontwikkelaars van AI-modellen kunnen bouwen en opschalen, hoe meer goud ze kunnen verzamelen via een denkwijze die ernstige gevolgen kan hebben. Het AI-tijdperk zal niet slechts een flits in de pan zijn zoals bij de goudkoorts toen er praktisch geen wetten waren voor mijnbouwpraktijken. De meeste mijnwerkers gaven voorrang aan snelheid boven veiligheid met tienduizenden doden door ongelukken en geweld als gevolg.
Google’s Cloud Cybersecurity Forecast voor 2024 waarschuwde dat AI en Large Language Models (LLM’s) zullen worden gebruikt in verschillende cyberaanvallen met als doel content reëler te laten lijken. Daarnaast denkt meer dan tweederde van IT-decision makers dat AI nieuwe aanvalswegen zal openen, terwijl 46% zich zorgen maakt over hun onvermogen om zich ertegen te verdedigen. Staatsvijanden zouden AI kunnen gebruiken om bijvoorbeeld elektriciteitsnetten en waterzuiveringsinstallaties aan te vallen. We zitten in een race tegen de klok om sterkere parameters in te stellen die veilige AI-systemen mogelijk maken.
“Als secure by design-principes in de vroege stadia van productontwikkeling worden geïmplementeerd, helpen ze het exploit-oppervlak van een softwareoplossing te verkleinen voordat deze beschikbaar wordt gesteld voor breed gebruik. Er is echter meer voor nodig dan alleen het afdwingen dat grote AI-leveranciers (zoals OpenAI en Google) strenge vangnetten in hun producten inbouwen. Veiligheidsmaatregelen kunnen worden omzeild.”
Ed Skoudis – President of SANS Technology Institute
Roadmap for Artificial Intelligence
Roadmap for Artificial Intelligence van Certified Information Systems Auditor (CISA) benadrukt het belang van beveiliging als onderdeel van AI-systemen. Deze routekaart schetst vier doelen: cyberverdediging, risicovermindering, operationele samenwerking en eenwording van instanties. Deze doelen worden bereikt door de volgende inspanningen:
1) Verantwoord AI-gebruik om CISA’s missie te ondersteunen
2) AI-systemen beveiligen
3) Kritieke infrastructuren beschermen tegen kwaadaardige AI
4) Samenwerking op internationaal niveau bevorderen bij belangrijke AI-inspanningen
5) AI-expertise uitbreiden
Van deze vijf pijlers zijn de tweede en derde het lastigst. Er is geen eenduidige oplossing om ze op schaal uit te voeren, maar het begint ermee dat ontwikkelaars van AI-systemen beveiligingsdoelstellingen en bedrijfsdoelstellingen gelijkwaardig tegen elkaar afwegen. Bij de CISA-routekaart worden ontwikkelaars van AI-systemen opgeroepen om ‘secure by design’-principes tot topprioriteit van het bedrijf te maken. De beveiligingsuitdagingen van AI lopen parallel met de cyberbeveiligingsuitdagingen van vorige softwaregeneraties die fabrikanten niet hadden ontworpen om veilig te zijn, waardoor de last van de beveiliging op de schouders van de klant kwam te liggen. Hoewel AI-softwaresystemen kunnen verschillen van traditionele vormen van software zijn fundamentele beveiligingspraktijken nog steeds van toepassing.
Secure by design
Als secure by design-principes in de vroege stadia van productontwikkeling worden geïmplementeerd, helpen ze het exploit-oppervlak van een softwareoplossing te verkleinen voordat deze beschikbaar wordt gesteld voor breed gebruik. Er is echter meer voor nodig dan alleen het afdwingen dat grote AI-leveranciers (zoals OpenAI en Google) strenge vangnetten in hun producten inbouwen. Veiligheidsmaatregelen kunnen worden omzeild. De grotere uitdaging is dat we niet alleen AI-systemen moeten beveiligen, maar ook alles moeten beschermen wat AI kan aanraken (zowel kritieke infrastructuur als privénetwerken).
Daarom moet secure by design worden geïmplementeerd door de lens van AI alignment, om ervoor te zorgen dat systemen worden gebouwd om fundamentele menselijke waarden en ethische grenzen hoog te houden. Buiten de grote spelers van big tech zijn er op dit moment duizenden minder bekende geavanceerde AI-modellen in ontwikkeling, en veel daarvan zullen open source zijn met zwakkere vangrails dan de grote GPT’s van de wereld. Zonder AI-uitlijning is het juiste product in de verkeerde handen voldoende om verwoesting aan te richten. Laat ons gewaarschuwd zijn.
Artificial Intelligence is op donderdag 15 februari het onderwerp in het FERM Port Cyber Café
lees meer op deze pagina en meld je aan!
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.
Vind FERM ook op LinkedIn