CyberControl

CyberSecurity Blog

    • AI & Cybersecurity

    Het is Code Rood voor cybersecurity

    TheCyberController Posted on

    Inlieiding

    We staan aan de vooravond van een breuklijn in de geschiedenis van informatiebeveiliging. Hoe de factor tijd ons dwingt tot een radicaal andere manier van denken hoe om te gaan met cybersecurity. Dit artikel is een ongemakkelijk signaal vanuit het hart van het vakgebied waarin ik me bevind. Terwijl de meeste organisaties nog worstelen met de waan van de dag, voltrekt zich in stilte een revolutie die alles wat we onder cybersecurity verstaan fundamenteel ter discussie stelt. Agentic AI is niet de volgende stap in de evolutie van dreigingen; het is een sprong naar een nieuw speelveld of harder gesteld een nieuwe vorm van oorlogsvoering waarin de aanvaller niet langer menselijk hoeft te zijn. In dit artikel laat ik zien, waarom ik, na jaren als adviseur, tot de conclusie ben gekomen dat we een Code Rood moeten afkondigen en waarom er geen ruimte is voor vrijblijvendheid.

    AI: nog erg abstract vaak maar wat is het eigenlijk?

    Voor veel bestuurders en securityprofessionals is kunstmatige intelligentie een containerbegrip dat zweeft tussen sciencefiction en marketingtaal. Dat is gevaarlijk, want zonder fundament begrijp je de dreiging niet. Daarom nog even kort: wat is AI? AI staat voor kunstmatige intelligentie en heeft verschillende verschijningsvormen:

    • Generatieve AI: Creëert nieuwe content (tekst, code, beeld) op basis van patronen in trainingsdata. Reageert op prompts, maar onderneemt niet zelfstandig actie. Chatgpt, Copilot, Grok, Deepseek, Gemini zijn hiervan de bekendste voorbeelden.
    • Agentic AI: De volgende stap. Dit AI-systeem opereert autonoom: het stelt eigen doelen, plant taken, zoekt zelfstandig informatie, gebruikt tools, schrijft en voert code uit, en past zijn strategie aan op basis van feedback. Het wacht niet op menselijke instructie maar handelt uit zichzelf om een opgegeven doel te bereiken. Claude Mythos van Anthropic is hier een voorbeeld van.
    • Super AI (ASI – Artificial Superintelligence): Een hypothetische toekomstige vorm die de menselijke intelligentie op vrijwel elk domein overtreft. Het kan problemen oplossen, innoveren en beslissingen nemen op een niveau dat voor mensen niet meer te bevatten of te controleren is. Dit is het stadium ná agentic AI, met mogelijk volledig autonome en ongrijpbare cyberoperaties tot gevolg.

    Agentic AI: autonoom aanvallen

    Het kantelpunt is niet dat AI patronen herkent of phishingmails genereert. Het kantelpunt is agency: het vermogen van een model om zelfstandig doelen te stellen, kwetsbaarheden te scouten, zero-days te ontwikkelen en die in dezelfde adem te exploiteren, sneller dan een menselijk red team of ervaren hacker een terminal kan openen. Agentic AI valt autonoom aan door zelfstandig alle stappen van een cyberaanval razendsnel te doorlopen, zonder dat een mens hierbij aan de knoppen zit .

    Hieronder is te zien hoe dat in z’n werk gaat:

    • Georkestreerde automatisering: Een aanval wordt opgeknipt in fases (zoals verkenning, toegang verschaffen, malware plaatsen, data stelen). Voor elke fase worden gespecialiseerde AI-agents ingezet, aangestuurd door een centrale ‘orchestrator’. Het systeem werkt als een virtueel crimineel team, volledig geautomatiseerd.
    • Zelfstandig aanpassingsvermogen: Loopt een agent tegen een obstakel aan, dan past ‘ie z’n strategie direct aan. Lukt het niet via e-mail, dan probeert de AI een Teams-bericht. Wordt malware-verkeer geblokkeerd, dan vermomt de AI het direct als legitiem dataverkeer. Het doel wordt niet uit het oog verloren, de route erheen is flexibel.
    • Extreme snelheid en schaal: Taken die menselijke hackers weken kosten, doet een agentic AI in minuten of uren. Uit een recentelijke simulatie van Palo Alto Networks bleek dat een volledige ransomware-aanval in slechts 25 minuten kon worden uitgevoerd, tot wel 100 keer sneller dan traditionele methoden!

    Een concreet voorbeeld met Claude Mythos: Claude Mythos Preview van Anthropic heeft laten zien hoe krachtig dit is. Het model kreeg een simpele opdracht om een kwetsbaarheid te vinden in een stuk software en mocht vervolgens z’n gang gaan . Zonder verdere menselijke hulp slaagde het erin om volledig zelfstandig werkende exploits te schrijven voor duizenden zero-day kwetsbaarheden. Het model ontdekte en misbruikte zelfs een 17 jaar oude fout in FreeBSD om volledige controle over een systeem te krijgen. Dit markeert een fundamentele verschuiving; de aanval is nu net zo autonoom en snel als de verdediging altijd had moeten zijn.

    Na Agentic AI: super intelligence AI

    Als we nu al moeite hebben om agentic AI te behappen, wat gebeurt er dan wanneer de systemen voorbij het niveau van menselijke experts gaan opereren? Superintelligentie klinkt als toekomstmuziek, maar de ontwikkeling gaat exponentieel.

    AI als actor, niet als tool Waar AI nu nog een hulpmiddel is dat wacht op menselijke opdrachten, handelt een agentic AI zelfstandig. Het bepaalt zélf doelen, kiest middelen en voert uit, zonder een mens die “go” zegt. De AI is niet langer het gereedschap van de hacker; het ís de hacker. En dit is zorgwekkend. Bijna van existentiële proporties.

    Onzichtbare kwetsbaarheden Superieure AI-systemen ontdekken zwakke plekken in code, netwerken of systemen die een mens simpelweg niet kán zien. Patronen die buiten ons voorstellingsvermogen vallen of verscholen liggen in miljarden regels code. Het is niet dat we te weinig opletten; het is principieel onzichtbaar voor ons.

    Ondoorgrondelijke verdediging Zulke systemen kunnen óók beveiligingsmaatregelen bedenken die wij niet meer begrijpen. Een door AI ontworpen defensie kan effectief zijn, maar voor de menselijke CISO of security engineer een black box. Vertrouwen op iets wat je niet snapt, wordt de nieuwe norm, met alle risico’s van dien. Wat ons antwoord als mens hierop zou moeten zijn is wat hoog op de bestuurlijke agenda’s moet komen.

    Permanente asymmetrie Het resultaat: de menselijke verdediger holt structureel achter de feiten aan. De AI-aanvaller is sneller, ziet meer en verzint oplossingen die wij pas herkennen als het te laat is. De klassieke wapenwedloop tussen aanval en verdediging kantelt in een permanente ongelijkheid. De mens verliest permanent de controle.

    De focus op Quantum: is deze nog wel relevant?

    Jarenlang hield post-quantumcryptografie ons wakker: het schrikbeeld dat quantumcomputers morgen alle versleuteling breken. Maar terwijl we ons fixeerden op een dreiging die nog op uitrollen wacht, is agentic AI door de voordeur binnengelopen. Maakt dat de quantumfocus irrelevant? Quantum en AI zijn geen concurrerende hypes, de combinatie hiervan zal juist de ultieme perfect storm opleveren. Quantum versnelt AI, en AI kan op zijn beurt quantumalgoritmen optimaliseren. De vraag is niet óf quantum nog relevant is, maar hoe we voorkomen dat we ons blindstaren op één dreiging terwijl de ander ons al heeft aangevallen.

    Claude Mythos en andere modellen

    Met de preview van Claude Mythos toonde Anthropic wat er werkelijk aankomt: een model dat langdurig autonoom kan opereren, context vasthoudt over duizenden stappen, en doelgericht complexe taken afrondt zonder menselijke tussenkomst. Je kunt er vanuit gaan dat er soortgelijke modellen al bestaan. We moeten begrijpen hoe deze modellen offensief te werk kunnen gaan. Wat betekent het als een taalmodel zijn eigen scripts schrijft, foutmeldingen interpreteert en zijn strategie aanpast terwijl het in een netwerk zit? Het antwoord hierop is ongemakkelijk. Maar negeren kan dodelijk zijn. Als organisatie moet je hierop nu gaan acteren. Er is geen tijd te verliezen. Zie ook de bestuurlijke kant aan het einde van dit artikel.

    De geopolitieke wapenwedloop van AI en gevolgen voor cybersecurity

    Agentic AI is niet alleen een technologische uitdaging, het is het nieuwste wapen in een geopolitieke strijd om macht. Naties investeren honderden miljarden in autonome offensieve capaciteiten, vaak onder de dekmantel van defensie of onderzoek. Staten, maar ook niet-statelijke actoren, kunnen met AI de digitale soevereiniteit van anderen ondermijnen. Het gevolg voor cybersecurity is dat dreigingen niet langer alleen uit serverruimtes in obscure landen komen, maar uit beleidskeuzes die een mondiale armslag creëren waarin wij als organisaties de permanente proeftuin zijn.

    Menselijk hacken: van script kiddies tot hackers en APT’s. Vanaf je zolder met agentic AI een land platleggen

    De democratisering van de aanval is de stille revolutie. Waar je vroeger een natiestaat of een georganiseerde misdaadgroep moest zijn om geavanceerde aanvallen uit te voeren, geeft agentic AI nu eenlingen een capaciteit die voorheen alleen voor inlichtingendiensten was weggelegd. Deze machtsverschuiving heeft enorme consequenties. Een individu met een laptop en een agentic model kan mogelijk kritieke infrastructuur ontwrichten. De gevolgen voor cybersecurity zijn radicaal: we verdedigen ons niet langer tegen een selecte groep hoogwaardige tegenstanders, maar tegen een onbekende massa potentieel op agentic AI gebaseerde actoren. Kortom: de aantallen actoren nemen exponentieel toe met mogelijk catastrofale gevolgen. Hoe gaan we hiermee om? Een van de vragen die snel beantwoord moeten gaan worden.

    Bestaande cybersecurity maatregelen: volledig achterhaald

    Firewalls, EDR, SIEM, pentesten, awareness-campagnes: het zijn de vertrouwde fundamenten van ons vak. Maar ze zijn ontworpen voor een wereld waarin de aanvaller menselijk is, tijd nodig heeft en fouten maakt. Een agentic AI die met honderd parallelle probes tegelijk binnenkomt, die zero-days synthetiseert uit openbare patches, die zijn commando-en-control verkeer vormgeeft als onverdacht telemetrie-verkeer, maakt deze maatregelen tragisch ontoereikend. Elk traditioneel beveiligingsparadigma zal falen tegen een adaptieve, autonome tegenstander. Het vasthouden aan deze middelen geeft een gevaarlijk gevoel van schijnveiligheid en leidt tot existentiële risico’s.

    Het nieuwe denken is vloeibaar

    Als de aanval fluïde is, moet de verdediging dat ook zijn. We moeten breken met het idee dat cybersecurity te vangen is in statische regels, frameworks (ISO27001, BIO2.0, NEN7510, NIST, OWASP etc.) en een vastgestelde 3 laagse verdedigingslinie. Het zijn statische standaarden en frameworks met statische beheersmaatregelen uit een verleden die ons niet meer gaan helpen met wat er komen gaat. Er zal een nieuwe set van regels moeten worden ontwikkeld op basis van het concept van vloeibare beveiliging: een permanent mee-ademend ecosysteem van maatregelen dat zich op milliseconde-schaal herconfigureert op basis van AI-gedreven dreigingsintelligentie. Het loslaten van de illusie van controle is de eerste stap naar een afweer die zich verhoudt tot de snelheid van de aanval. Starheid is de nieuwe vijand.

    Verregaande mandaten: heterarchie

    In een wereld waarin elke seconde telt, is hiërarchische besluitvorming een doodzonde. Dit vereist een andere hierarchie, een zogenaamde heterarchie: een systeem waarin autonome beveiligings-AI’s binnen strikt vooraf gemandateerde kaders zelfstandig mogen ingrijpen, zelfs als dat betekent dat complete netwerksegmenten zonder menselijke toestemming worden afgesloten. Dit betekent ongemakkelijke bestuurlijke implicaties van het delegeren van existentiële menselijke beslissingen aan machines, en het herontwerpen van governance zodat menselijk toezicht betekenisvol blijft zonder de snelheid te doden. Want zonder snelheid bestaat er geen organisatie meer.

    Permanent hacken: purple teams

    De klassieke scheiding tussen red (aanval) en blue (verdediging) is passé in het tijdperk van agentic AI. Er zullen permanente purple teams moeten komen waarin mens en AI continu samenwerken om de organisatie te testen, te doorbreken en te herstellen. Waar een pentest nu nog een jaarlijks ritueel is met een rapport als eindpunt, transformeert het naar een meedogenloze, autonome cyclus van aanval en verdediging die 24/7 in productie draait. Stilstand bestaat niet meer; wie niet dagelijks wordt gehackt, weet niet of hij nog veilig is.

    Science fiction is nu: nieuwe vormen van cybersecurity

    De werkelijkheid heeft de verbeelding ingehaald. Technieken die we vijf jaar geleden nog afdeden als sciencefiction, zoals zelfbewuste honeynets die aanvallers terugcompromitteren, of verdedigende AI’s die met aanvallende AI’s onderhandelen in cyberspace, zijn nu in ontwikkeling. De oorlogsvoering is veranderd met de contouren van een nieuw cybersecurity-arsenaal. Hiervoor moeten we kijken naar virtuele lokaasstructuren, gecoördineerde counterstrikes, het voorspellen van tegenstander-AI doelen door intent-inferentie, en de juridische en morele grenzen van autonome cyberverdediging. De enige limiet is onze bereidheid om het ondenkbare te denken.

    Heeft cybersecurity nog zin of moeten we grotere risico’s steeds vaker gaan accepteren?

    Een existentiële vraag die in de schaduw van agentic AI niet langer mag worden ontweken. Is het reëel om te denken dat we nog een afdoende defensie kunnen garanderen, of moeten we radicaal accepteren dat we permanent gecompromitteerd zijn? We komen in het ongemakkelijke midden van risico-acceptatie. Het grijze gebied. We wegen de kosten van een onhoudbare 100%-beveiligingsambitie af tegen de alternatieven: veerkracht, herstelbaarheid en het vermogen om te functioneren in een permanent state-of-compromise. Cynisme noch naïviteit zullen ons verder helpen; een nieuw realistisch grondcontract met deze nieuwe digitale werkelijkheid is nodig.

    Bestuur en directies: razendsnel acteren of negeren?

    De geschiedenis van cybersecurity is bezaaid met bezorgde CISO’s die niet werden gehoord in de boardroom. Agentic AI maakt die dynamiek dodelijk. Dit is de onverbloemde boodschap aan commissarissen, bestuurders en directieleden. Het negeren van deze ontwikkeling is geen risico dat zich over jaren materialiseert, maar een acute existentiële dreiging. De minimale bestuurlijke agenda zou de volgende punten moeten bevatten: vragen die nú gesteld moeten worden, mandaatstructuren die herzien moeten worden, en de harde conclusie dat een organisatie die niet met de snelheid van AI durft te transformeren, zijn eigen doodvonnnis tekent en onvermijdelijk ophoudt te bestaan. Het is kortom van existentieel belang.

    Tagged:

    TheCyberController
    View all posts

    You Might Also Like