Als je AI nodig hebt om je te verdedigen dan gaan de aanvallers ook AI gebruiken om jou en anderen aan te vallen, en als je pech hebt ook nog met een zeroday (minusday?) waar alleen hun AI weet van heeft.
Wie heeft er meer geld, tijd en creativiteit? SOC's, IT-dienstverleners, ICT'rs, een groot of klein bedrijf, je buren, of hen die in de inmiddels miljarden business zitten van digitale criminaliteit (ook state actors) en hele dagen niets anders doen, op allerlei manieren. Minstens maandelijks gaan er NCSC High/High Beveiligingsmeldingen af, dat zijn dus hoge risico/schade veiligheidsincidenten die niemand wereldwijd voorzien/ontdekt en tijdig voorkomen had.
Bewustwording en training van gebruikers en IT'rs scheelt al, evenals het opwerpen van drempels en canaries, moderne beveiligingsmiddelen met goede logging die je specialisten van haver tot gort kennen zodat ze afwijkingen (al of niet geautomatiseerd) beter en sneller herkennen, hardening, security 101 alles wat niet expliciet is toegestaan is expliciet verboden, updates eerst in OTAP uitrollen zodat je "gedragsveranderingen" leert kennen, en... enfin, hoef ik hier niet allemaal uit te leggen.
Er zijn heel veel drempels, vertragingen, detecties en wat al niet meer uit te rollen. Bij de gemiddelde pre onboarding van een nieuwe klantomgeving kleurt de helft van de monitoring al rood. Eerst dat maar eens opkrikken voor we je echt kunnen helpen.
MTTR, Mean Time To Recognize, Mean Time To Repair, Mean Time To Recover. Denk na over wat je over het hoofd ziet, wat je verzuimt, waar je onnodig teveel tijd en moeite in steekt. Leer. Bewijs jezelf dat je fout denkend was. Periodieke Disaster Recovery met af en toe "from the ground up" realistische scenario's, het helpt allemaal om het hoofd koel te houden en vertrouwen te hebben in het vermogen tot herstel, ongeacht wat.
Genezen is beter dan voorkomen, maar bewezen weten dat je kunt genezen ook na niet kunnen voorkomen maakt je des te zekerder.
Een AI kan alleen maar werken binnen de grenzen van het mogelijke waarmee het gevoed is, en derhalve tot een geheel andere "conclusie" komen, en daarop volgende acties, dan jouw broodwinning kan overleven. Een aanvallende AI (of creatieve aanvaller, of simpelweg een aanvaller die weet heeft van een lek waarvan jij niet eens het bestaan vermoed) hoeft daar niet noodzakelijk rekening mee te houden, en kan ransomware, lateral movement, info stealing, CEO Fraud, noem maar op, gericht zijn. Jouw AI moet dat allemaal maar doorhebben, zonder dusdanig (onnodig) fout in te grijpen dat het je meer kost dan je lief is. Gaat u aan uw werkgever uitleggen, ik chargeer, ja, we hebben een AI SOC en deze heeft om nog onbekende redenen onze main database gewist en het gros van onze devices in isolatie gezet, over 11 uur zijn we failliet, en we hebben geen idee hoe we dat binnen die 11 uur gaan voorkomen, want we hebben nooit nagedacht hoe we gaan herstellen van een AI NOC die op basis van false positives rogue is gegaan, noch hebben we rekening gehouden met een disgruntled employee die soortgelijke schade aanricht. U weet niet binnen hoeveel tijd u failliet bent bij system down? Dan zeker geen AI SOC overwegen. Want u weet niet waar u dan aan begint, anders dan schijnveiligheid.
Er op vertrouwen dat AI vakspecialisten kunnen vervangen is als vertrouwen dat politici zich aan hun verkiezingsprogramma zullen houden, of überhaupt dat die politici echt verstand hebben van de materie waarmee ze bezig zijn. Politici doen wat ze doen binnen wat ze verteld wordt, wat ze denken te weten en te begrijpen, een AI eveneens. Ze zijn besloten binnen hun wereldje, een vakspecialist niet noodzakelijkerwijs, een groep vakspecialisten nog minder.
En de regel die ook nog steeds geldt: als jouw noot harder te kraken is dan die van je buurman, dan zal diegene die uit is om jouw ellende om te zetten in eigen gewin altijd kiezen voor een makkelijker doelwit.
Of broodnuchter zakelijk: ik accepteer een totaalverlies van een week omzet eens in de vijf jaar, richt alles zo in dat we ongeacht de meeste en vaakst voorkomende rampen in onze en andere branches desnoods van de grond af opnieuw kunnen beginnen met maximaal een verlies van een week omzet en bijkomende herstelkosten tot maximaal x bedrag met maximaal 5% foutmarge. Bewijs dat je dat kunt minstens jaarlijks. Kost dat investering? Ja. Geeft je dat meer zekerheid van voortgang van je bedrijfsvoering, vaak vele malen beter dan die van je concurrentie? Ja. Heeft dat voordelen? Welzeker als zeg een tiende van je concurrentie gedeeltelijk of grotendeels omvalt en jij niet (bijvoorbeeld bij een supply chain attack; heb je nagedacht over, en voorbereid en getest op fallback procedures?). Gaat er in de toekomst geheid iets plat? Ga daar maar vanuit, dus dan dien je je er op voor te bereiden. Net zoals dat sleutelfunctionarissen plotseling om kunnen vallen om wat voor reden dan ook.
Vergelijk het met overvallen worden. Als je op dat moment al je liquide middelen bij je hebt en geen enkele reserve waar dan ook, dan ga je op dat moment goed nat. Is het op een moment dat je hooguit 10% verliest en daarna vrolijk fluitend, maar des te wijzer, verder kunt, dan is dat te overkomen. Kan iemand je garanderen dat je nooit overvallen wordt? Nee. Dus bereid je daarop voor, en wordt daar steeds beter in, zodat de kans kleiner wordt, en tegelijkertijd de potentiele schadekans minder. Gaat zelfs je solvabiliteit helpen.
Gaat AI je daartegen beschermen? Wel... de aanjagers daarvan, hoeveel daarvan "put their money where their mouth is" middels daadwerkelijk in keiharde, altijd verhaalbare, 100% dekkend, in zeer korte tijd, clausules? Of krijgt u dan slechts dat "ja maar" gejammer? Als u dan nog niet weet, dan kan weinig u nog helpen.
Vooralsnog is AI hooguit een hulpmiddel, niet iets waar je de zaak op inzet, helemaal als je alle mogelijke risico's voor eigen rekening voor lief neemt in blind vertrouwen. Vraag het bijvoorbeeld studenten die hun thesis daarop hebben ingezet en inmiddels door de mand zijn gevallen. Naïviteit kent haar prijs.