Een jaar geleden trad de Europese AI Act in werking om veilig en betrouwbaar gebruik van AI te waarborgen, fundamentele rechten van burgers te beschermen en innovatie mogelijk te maken. De AI Act kan AI-systemen met een onaanvaardbaar risico verbieden, transparantie afdwingen in AI-toepassingen met een hoog risico en verplicht stellen dat systemen uitlegbaar zijn, zodat burgers weten waarom een bepaalde beslissing is genomen. In de strijd tegen cybercriminaliteit kan de AI Act een rol spelen omdat het ongeoorloofd gebruik van AI strafbaar stelt.
In het domein van cybersecurity wordt AI ondertussen door aanvallers en verdedigers ingezet en is er in zekere zin een strijd van AI tegen AI gaande. Cybercriminelen zetten AI in om hun methoden te verfijnen en de content die ze gebruiken te automatiseren en te personaliseren. Beveiligers bij overheden en organisaties kunnen de kracht van AI inzetten voor betere beoordeling van bedreigingen, prioritering, het detecteren van afwijkingen en patronen. Ook in het classificeren van kwetsbaarheden, het automatisch uitvoeren van patches en configuratiebeheer kan AI veel doen om menselijke capaciteit vrij te maken.
Alessandro Liotta, Regulator Affairs Lead Europe van beveiligingsbedrijf Fortinet, zegt dat het gebruik van AI door criminelen de komende jaren resulteert in een hoger risiconiveau. “Dat komt vooral doordat AI drempelverlagend werkt voor nieuwe cybercriminelen die actief worden. Het is eenvoudig om AI te gebruiken om code te schrijven, deep fakes te maken en geavanceerde social-engineeringaanvallen uit te voeren. Gelukkig slaagt de cybersecurity industrie er steeds beter in om AI in te zetten als een krachtig instrument tegen deze criminelen. De criminelen lopen op dit moment voor, maar we zijn bezig met een inhaalslag.”
Carmelo Dimauro, adjunct directeur van het Luxemburg National Cybersecurity Competence Center (NC3), is blij met de inspanningen van de Europese Commissie op dit vlak en ziet de Europese AI Act als een mijlpaal. “De schaal waarop deze wetgeving werkt, maakt het bijzonder omdat alle landen dit pad gaan volgen. Dat is politiek gezien belangrijk. Dit is de eerste poging, er zullen nieuwe elementen en aspecten opduiken die onderzocht en getackeld moeten worden. In mijn ogen is het heel slim dat de Europese Commissie heeft gezegd: ‘We hebben een probleem, daar moeten we wat aan doen’.”
Ook Liotta ziet het belang van regulering en een hoge algemene standaard voor cybersecurity en data en privacy bescherming, omdat het goed is voor het hele digitale ecosysteem. “Daar is iedereen het wel over eens. Maar in mijn ogen is de AI Act niet duidelijk genoeg over AI-gebaseerde cybersecurity tools. Wanneer deze AI-tools worden beschouwd als high-risk systems, wordt er streng toezicht gehouden en worden er allerlei aanvullende eisen gesteld. Dat zou de ontwikkeling en adoptie van deze tools enorm kunnen vertragen. Zolang het niet duidelijk is hoe de AI Act deze tools beoordeelt, blijft het voor organisaties onzeker. Daar moet wat mij betreft snel duidelijkheid over komen, anders lopen de cybercriminelen verder uit.”
Dimauro stelt vast dat er sprake is van asymmetrie in de toepassing van de AI-technologie. “De crimineel wil de beste tool om aanvallen uit te voeren. Maar als ik een ziekenhuis ben en ik wil mezelf tegen aanvallen verdedigen, dan moet ik voldoen aan de requirements van de AI Act. De asymmetrie zit in het gebruik van de technologie, niet in de technologie zelf. Er zijn landen als de VS of China die zich minder gelegen laten liggen aan de risico’s die aan AI verbonden zijn. Die zijn eerder geneigd die risico’s te nemen. De Europese Commissie heeft ethische aspecten in de wetgeving meegenomen. Ja, dat gaat het proces vertragen. Persoonlijk vind ik het belangrijk, dat de EU deze keuze maakt.”
Volgens Liotta worstelen vrijwel alle organisaties, publiek of privaat, met uitdagingen in compliance, met name als het gaat om het volume aan nieuwe regelgeving en compliance-eisen waar organisaties aan moeten voldoen. Liotta merkt op dat die nieuwe regelgeving, zeker op het terrein van cybersecurity, allemaal gericht is op het delen van informatie, transparantie en wederzijds begrip voor elkaars (on-)mogelijkheden. “Ik denk dat dat extreem belangrijk is. Maar over het geheel genomen heeft iedereen moeite om het voor elkaar te krijgen. Het lijkt erop dat er binnen de EU wel nagedacht wordt hoe het eenvoudiger kan. Dat kan ook, omdat veel verschillende nieuwe sets regels, zoals NIS2, de Cybersecurity Act, de AI Act, DORA, allemaal hetzelfde doel dienen, maar ook overlap hebben en gaten vertonen. Het zou heel mooi zijn als daar meer lijn in aangebracht kan worden, zodat het voor organisaties makkelijker wordt eraan te voldoen.”
Auteurs kennisbijdrage: Alessandro Liotta, Regulatory Affairs Lead Europe bij Fortinet en Carmelo Dimauro, adjunct directeur van het Luxemburg National Cybersecurity Competence Center (NC3).