CSR-brief over AI en cybersecurity
De snelle opkomst en toepassing van (generatieve) artificiële intelligentie (AI) leidde tot de nodige aandacht voor de risico’s van AI in brede zin. AI-toepassingen kunnen ook het cybersecuritylandschap sterk veranderen. De Cyber Security Raad (hierna de raad) is van mening dat die implicaties nog te weinig worden onderkend en begrepen. Om meer helderheid te scheppen over de kansen en risico´s van (generatieve) AI in de context van cybersecurity, stuurde de raad onlangs een brief naar de staatssecretaris Koninkrijksrelaties en Digitalisering. Tijdens het bezoek van de staatssecretaris aan de raad in juni 2023 kwam een aantal van deze onderwerpen ook aan de orde.
Kansen en risico’s
Generatieve AI kan de mens ook voor cybersecurity steeds meer werk uit handen nemen. Zowel aanvallend als verdedigend zijn er verschillende grootschalige toepassingsmogelijkheden en daarmee volop kansen om het potentieel van AI te benutten. Zo kunnen met AI slimme Security Operations Centers (SOC´s) worden opgezet en kan ook veel sneller dan voorheen software met AI gegenereerd worden. Maar ook cybercriminelen hebben voordeel. Zij kunnen met AI-software digitale kwetsbaarheden op grote schaal uitbuiten, en niet van echt te onderscheiden spam en phishing e-mails sturen. Ook kan met AI automatisch malware worden gegenereerd. Belangrijke preventieve maatregelen zijn het inrichten van digitaal veilige omgevingen voor AI-toepassingen, en sturing op de kwaliteit van AI-software, onderliggende modellen en data.
Risico’s beheersen
De ernst en omvang van deze cybersecurityrisico´s onderstrepen nogmaals het belang van regulering van AI-toepassingen en blijvende aandacht voor besluitvorming door mensen. Een belangrijke stap daarvoor is de implementatie van de AI Act, waarover de EU begin december overeenstemming bereikte. Daarnaast presenteerde de staatssecretaris Koninkrijksrelaties en Digitalisering in haar Kamerbrief van 11 december een voorlopig standpunt voor Rijksorganisaties bij het gebruik van generatieve AI. Deze stelt als noodzakelijke randvoorwaarde een risicoanalyse vanuit diverse invalshoeken, per unieke casus. De raad beveelt gebruikersorganisaties aan om cybersecurityaspecten daarin mee te nemen. Verder is het nodig om vanuit de overheid de samenwerking met de grote technologiebedrijven te intensiveren, ook op Europees niveau.
Een afschrift van deze brief is gestuurd aan de ministers van Justitie en Veiligheid, en Economische Zaken en Klimaat.