AI: een Dubbelsnijdend Zwaard voor Cybersecurity

AI als verdediger: hoe AI cyberbeveiliging versterkt

AI en machine learning zijn intussen essentiële bondgenoten geworden in cyberbeveiliging. Waar traditionele beveiliging vaak afhankelijk was van vooraf bekende signatures of handmatig ingestelde regels, kan AI een veel proactievere, slimme aanpak bieden. Enkele manieren waarop AI vandaag verdedigers helpt:

• Anomalie- en gedragsanalyse: Machine learning wordt gebruikt voor User and Entity Behavior Analytics (UEBA) – het leren kennen van normaal gebruikersgedrag en apparaatgedrag, en het opsporen van afwijkingen. Bijvoorbeeld, als een medewerker ineens ’s nachts grote hoeveelheden data downloadt of van een onbekende locatie inlogt, kan AI dit markeren als verdacht. Zulke gedragsdetectie helpt niet alleen bij externe aanvallen, maar ook bij het opsporen van insider threats of gehackte accounts.
• Minder valse alarmen: Omdat AI zelflerend is, kan het zich aanpassen om false positives te verminderen. Traditionele systemen gooien vaak met regelmatig onterechte waarschuwingen (waardoor IT-verantwoordelijken “alarmmoeheid” krijgen en echte dreigingen kunnen missen). AI-modellen verfijnen zichzelf op basis van feedback, zodat ze steeds beter onderscheid maken tussen echt gevaarlijk en onschuldig afwijkend gedrag. Dit verhoogt de nauwkeurigheid van detectie.
• Geautomatiseerde incidentrespons: AI maakt het mogelijk om niet alleen sneller te detecteren, maar ook automatisch te reageren op bedreigingen. Moderne beveiligingsplatformen gebruiken AI-gedreven SOAR (Security Orchestration, Automation and Response) om bij een alarm meteen actie te ondernemen: besmette apparaten isoleren van het netwerk, verdachte e-mails in quarantaine zetten, accounts tijdelijk blokkeren, enz. Dit alles kan in real-time gebeuren, zonder tussenkomst van een persoon, waardoor een potentiële aanval in de kiem gesmoord wordt nog vóór er schade is.
• Voorspellende analyses: AI kan op basis van historische aanvalspatronen en actuele dreigingsinformatie zelfs voorspellen waar de volgende risico’s liggen. Bijvoorbeeld door trends op het dark web of hackerforums te analyseren, kunnen AI-systemen eerder waarschuwen voor opkomende aanvalsmethoden. Zo kunnen organisaties proactief maatregelen nemen (patchen, config updates) nog vóórdat een nieuwe exploit tegen hen wordt gebruikt.

Met deze capabilities voegt AI een extra laag intelligentie toe aan beveiliging die voorheen niet mogelijk was. Veel moderne beveiligingstools die bedrijven vandaag gebruiken, van antivirus tot firewall, bevatten dan ook AI-componenten onder de motorkap.

Toch is het niet alleen rozengeur en maneschijn: AI-systemen zijn zo goed als de data waarmee ze getraind zijn. Ze kunnen vooroordelen overnemen of misleid worden door zogeheten adversarial examples (doelbewust vervormde input om AI te foppen). En de complexiteit van AI brengt ook uitdagingen in transparantie: soms is voor een mens niet duidelijk waarom het model iets als dreiging aanmerkt of niet. Daar komen we later op terug bij GDPR en regelgeving. Maar feit is: voor de verdedigers is AI een krachtige hefboom gebleken om sneller en beter kwaadwillende activiteiten te spotten in een steeds drukkere digitale snelweg.

AI als wapen: hoe cybercriminelen AI misbruiken

Helaas heeft elk zwaard twee kanten. Dezelfde AI-technieken die ons helpen verdedigen, worden ook door tegenstanders ingezet. Cybercriminelen zien AI als een kans om hun eigen aanvallen op te voeren: ze kunnen méér slachtoffers bereiken met minder moeite, én hun trucs geloofwaardiger maken. We bekijken hier de voornaamste manieren waarop aanvallers AI benutten:

Deepfakes en AI-imitatie: de opkomst van nepstemmen en -beelden

Een van de meest spraakmakende dreigingen zijn deepfakes – hyperrealistische nagemaakte video’s of audio, gemaakt met AI. Met deze technologie kunnen criminelen iemands gezicht en stem nabootsen alsof die persoon iets zegt of doet, terwijl dat niet zo is. Dit wordt steeds vaker gebruikt voor fraude: denk aan oplichters die de stem van een CEO of zaakvoerder klonen en medewerkers opbellen of videobellen met een dringende opdracht tot betaling.

Slimme phishing: geloofwaardige mails op schaal

Phishing-e-mails kennen we allemaal – die misleidende berichtjes die je proberen laten klikken of gevoelige info prijsgeven. Vroeger waren ze vaak amateuristisch geschreven, vol taal- en spellingsfouten. Net die fouten waren handige herkenningspunten. Generatieve AI heeft dat spel echter veranderd: met tools als ChatGPT kunnen oplichters nu perfecte, foutloze berichten in eender welke taal produceren. De klassieke “red flags” (raar taalgebruik, slechte grammatica) verdwijnen. Phishingmails worden daardoor veel moeilijker te onderscheiden van echte communicatie.

Sterker nog, AI maakt het mogelijk om phishing te personaliseren. Cybercriminelen kunnen openbare informatie over een doelwit verzamelen (bijvoorbeeld via LinkedIn, social media, persberichten) en die aan een AI geven om een zeer geloofwaardige spear-phishing e-mail te schrijven die écht aansluit bij de ontvanger. Bijvoorbeeld een mail uit naam van je baas die verwijst naar een actueel project waar je aan werkt, inclusief dezelfde schrijfstijl als je baas – compleet met correcte aanspreektitel en geen enkel typefoutje. Zelfs getrainde gebruikers kunnen zoiets moeilijk als phishing herkennen.

De impact is duidelijk: meer mensen trappen erin. Sinds de algemene beschikbaarheid van ChatGPT eind 2022 is het volume aan phishing-aanvallen geëxplodeerd. Een security-rapport noteerde een +1265% toename in kwaadaardige phishing-e-mails binnen het jaar erna. Ook het aantal gevallen van Business Email Compromise (BEC) – fraude via valse zakelijke e-mails alsof van collega’s/leiding – nam bijna tienvoudig toe. Aanvallers hebben zelfs gespecialiseerde “AI-malafide” tools gelanceerd, zoals WormGPT en FraudGPT, die geen ethische restricties hebben en puur gemaakt zijn om phishing- en malwareteksten te genereren. Het is dus niet meer nodig om zelf een overtuigend scam-bericht te schrijven; men typt wat steekwoorden in (“doe alsof je CFO bent en vraag om overschrijving”) en de AI spuwt een professioneel ogende e-mail uit.

AI-gegenereerde malware: zelflerende virussen en polymorfe aanvallen

Een derde domein waar AI door aanvallers wordt verkend, is het automatisch genereren of aanpassen van malware. Het idee hierachter: in plaats van een mens die een computervirus of trojan schrijft, laat je een AI-model code creëren die kwaadaardig is. Generatieve AI kan bovendien malware telkens een beetje wijzigen – zogenaamde polymorfe malware – zodat elke kopie anders is en traditionele antivirusdetectie veel moeilijker wordt.

Stel, een hacker wil een reeks nieuwe virusvarianten maken die wachtwoorden stelen uit webbrowsers. Met AI kan die hacker het model voeden met honderden voorbeelden van bestaande malwarecode, en vervolgens vragen “Geef me 10 nieuwe varianten die ongeveer hetzelfde doen, maar codeer ze net wat anders”. De AI kan dan bijvoorbeeld variëren in de versleutelingsmethode, de manier waarop het zich verstopt in het systeem, functienamen omgooien enzovoort – allemaal functioneel gelijkaardig, maar onder de motorkap uniek. Hierdoor zullen eenvoudige virusscanners, die uitgaan van herkenning van bekende stukjes code, er veel van missen. Onderzoekers waarschuwen dat een slim AI-model op deze manier in razend tempo duizenden malware-varianten zou kunnen uitspugen met minimale extra inspanning voor de aanvaller.

Tot nu toe waren veel van deze AI-malwareexperimenten nog prototypes of proofs-of-concept. Begin 2024 toonde een onderzoeksteam dat de eerste generaties “AI-malware” vaak nog haperden en in veel gevallen gelukkig nog gemakkelijk te detecteren waren door goede beveiligingssoftware. Maar de ontwikkelingen gaan door: in een interview bevestigden Palo Alto Networks-experts dat ze erin geslaagd zijn een AI-model malwarecode te laten schrijven voor meerdere platformen, en dat latere versies van deze code geavanceerd en onrustwekkend waren. Een bijzonder zorgwekkende bevinding was dat de AI zelfs in staat was om de stijl van bekende malwarefamilies na te bootsen, om zo onderzoekers te misleiden qua herkomst. Denk aan een virus dat eruitziet (in codepatroon) alsof het van een bepaalde hackersgroep komt, terwijl het eigenlijk door iemand anders met AI is gemaakt – dat maakt attributie van aanvallen nog lastiger (men kan valse vlaggen planten met AI).

Hoewel AI-gegenereerde malware momenteel nog niet massaal in het wild lijkt rond te waren, is de trend gezet: aanvallers gaan AI inzetten om hun kwaadaardige software sneller te ontwikkelen en ongrijpbaarder te maken. Het kan bijvoorbeeld gaan om AI die automatisch zoekt naar kwetsbaarheden in systemen – iets wat normaal heel veel handmatig uitzoekwerk vergt, maar wat een slim model zou kunnen versnellen. Of AI die tijdens een aanval zich aanpast aan de tegenmaatregelen: stel dat een virus merkt dat het gedetecteerd wordt, een AI-component zou dan on-the-fly zijn techniek kunnen veranderen om onder de radar te blijven.

Waarom dit belangrijk is voor KMO’s

Tot slot: waarom zou een ondernemer, die geen IT-bedrijf is, zich druk maken om AI en cybersecurity? Er zijn immers al zoveel brandjes te blussen in een KMO. Toch is dit onderwerp in 2025 cruciaal om serieus te nemen, om diverse redenen:

• AI verandert het dreigingslandschap razendsnel. Waar KMO’s vroeger dachten “ach, zo interessant zijn we niet voor hackers”, is dat achterhaald. Cybercriminaliteit is een Big Business geworden, internationaal georganiseerd. Met AI kunnen aanvallers automatisch zwakke doelwitten identificeren en aanvallen opschalen zonder veel moeite.
• KMO’s zijn vaak kwetsbaarder door beperkte middelen. Grote ondernemingen investeren fors in cybersecurity (dedicated teams, dure systemen). KMO’s hebben vaak een kleine IT-afdeling of extern IT-bedrijf dat focust op het operationele (alles draaiend houden) en security is eerder bijzaak. Aanvallers wéten dat. Ze zien KMO’s als “makkelijke prooien” of zelfs springplank richting grotere partners. Meer dan helft van significante datalekken trof in 2024 een KMO. In Vlaanderen gaf bijna 1 op 10 KMO’s aan slachtoffer te zijn geweest van een geslaagde cyberaanval in 2023. Die cijfers lopen elk jaar op.
• De impact van een cyberincident is voor een KMO vaak nóg zwaarder. Een groot bedrijf kan een klap van 100k of zelfs 1 miljoen soms nog opvangen; voor een KMO kan zo’n bedrag de continuïteit in gevaar brengen. Ransomware die al je systemen versleutelt, betekent dagen/weken niet normaal kunnen werken – voor grote bedrijven zeer kostbaar, maar voor een kleine misschien fataal.
• Klanten en regelgeving leggen de lat hoger. Steeds vaker eisen grote opdrachtgevers dat hun leveranciers (vaak KMO’s) bepaalde securitymaatregelen hebben. Denk aan ISO27001-certificatie, of minstens een vragenlijst invullen over je beveiliging voordat je een contract krijgt. Dit is direct gerelateerd aan NIS2: grote bedrijven moeten hun hele keten beveiligen en kijken dus ook naar jullie, de kleinere toeleveranciers.

Conclusie

AI is een dubbel snijdend zwaard – voor KMO’s is het zaak om de snijkant naar de aanvallers te richten door zelf AI-gedreven verdediging in te zetten, en tegelijk de scherpe kant van aanvallers bot te maken via awareness en voorzorg. De technologie die nu beschikbaar is (vaak inbegrepen in tools die je al hebt) geeft KMO’s de mogelijkheid om zich te weren op een niveau dat vroeger voorbehouden was aan grote spelers. Door proactief in te zetten op deze middelen en je organisatie klaar te stomen met training en beleid, maak je van cybersecurity geen last maar een kracht. Je bedrijf wordt weerbaarder, betrouwbaarder en toekomstbestendig in een tijdperk waar digitale dreigingen én innovaties hand in hand gaan.

Neem gerust contact op met ons of je IT-partner als je wilt bespreken hoe jouw specifieke KMO hier stappen in kan zetten.

PS: Je hoeft niet alles zelf te doen – er zijn gebruiksvriendelijke oplossingen en experts die je kunnen bijstaan. Het belangrijkste is om nu die mindset aan te nemen dat veilig digitaal werken net zo essentieel is als een goede boekhouding of verzekering.