Tijdens Kaspersky Horizons ziet het beveiligingsbedrijf nieuwe bedreigingen aan de horizon opduiken. AI jaagt nu al een schokgolf door cybersecurity, kwantumcomputers zijn een nakende orkaan.
In de drukkende hitte van Madrid brengt het luxehotel Riú, ooit het hoogste gebouw van Spanje, een welgekomen zucht van verkoeling. De zaal met de niet zo originele naam Madrid 5 vormt het decor voor Kaspersky’s Horizon-conferentie. Volgens het beveiligingsbedrijf doemen nieuwe bedreigingen aan de horizon.
lees ook
‘De tijd van zielige phishingaanvallen is voorbij’
De hoofdthema’s zijn even doelbewust uitgekozen. Op bijna schoolse wijze zijn de sessies opgedeeld in twee blokken, waarbij het voormiddagluik rond AI draait en de namiddag rond kwantum. “AI zet cybersecurity op zijn kop. Wat gaat er gebeuren als we daar nog kwantumcomputers aan toevoegen?”, vraagt Oscar Suela, Kaspersky-directeur voor het Iberische schiereiland, zich luidop af.
Hackende tieners
Gastspreker Clément Domingo, een Franse ethische hacker en ‘cyberevangelist’, duikt voor onderzoek regelmatig in de diepste krochten van de onlinewereld en ziet hoe cybercrime AI omarmd heeft. “Ik durf zeggen dat cybercriminelen op dit moment voorlopen op ons. Tieners kunnen nu de grootste bedrijven ter wereld eenvoudig hacken”.
Tot zijn grote frustratie ziet Domingo zijn waarschuwingen nog te vaak in dovemansoren vallen. “De grootste fout zit in hoe bedrijven omgaan met werknemers. Vendoren kunnen je helpen met technologie, maar dat haalt niets uit als je niet weet wat er achter je eigen deuren gebeurt. Mensen zijn je laatste beveiligingslijn. Hen bewust maken doe je niet met een technische uitleg, maar door beveiliging zichtbaar, tastbaar en begrijpbaar te maken”.
Tieners kunnen de grootste bedrijven ter wereld eenvoudig hacken.
Clément Domingo, ethisch hacker
Zes principes
Aan bedrijven zoals Kaspersky om daar verandering in te brengen. Jochen Michels benadrukt het belang van samenwerking om opnieuw een voorsprong te nemen. Zijn job als Head of Public Affairs is voor Kaspersky misschien wel belangrijker dan voor eender welke andere beveiligingsspeler.
“Aanvallers zetten AI in om zowel de kwantiteit als de kwaliteit van hun aanvallen op te schalen. Het spreekt voor zich dat we enkel AI mogen ontwikkelen ter verdediging, maar we mogen niet blind zijn dat de technologie misbruikt wordt. Criminelen werken samen, dus moeten we dit aan de ‘goede kant’ ook doen”, zegt Michels.
Kaspersky zette zes ethische richtlijnen uit, die als handleiding moeten dienen voor bedrijven die AI-toepassingen ontwikkelen. Dat zijn in volgorde waarin ze op Michels’ slides verschijnen: transparantie, veiligheid, menselijke controle, privacy, ontwikkeld vóór cybersecurity en open voor dialoog. Michels: “Het begint bij al klanten eerlijk te informeren over of en waarvoor je AI gebruikt in je producten”.
Uitbrander voor Meta
Domingo en Liliana Costa, ‘techfilosoof’ en oprichtster van het Spaanse bedrijf Thinker Soul, gaan volledig akkoord met de principes, maar merken dat ze in de realiteit niet altijd worden nageleefd “Bedrijven doen vaak wel alsof ze openstaan voor ethiek, totdat ze gevraagd worden het effectief toe te passen. Dan willen ze je ophangen. Er is een machtsconcentratie in de sector die het vertrouwen in technologie ondergraaft”, windt Costa er geen doekjes rond.
Domingo ziet een gebrek aan transparantie als grootste probleem. “Iedereen wil het meest nieuwe en indrukwekkende model op de markt brengen. We weten onvoldoende over hoe de modellen opgevoed zijn. Mensen vertrouwen vandaag op ChatGPT. AI leert evengoed van foute input van mensen: als je vaak genoeg zegt dat de lucht rood is in plaats van blauw, zal het dat geloven”.
Eén bedrijf krijgt nog een extra tik om de oren van Domingo: Meta. “AI toegang geven tot privéfoto’s op je telefoon is waanzin. De technologie van grote spelers kan evengoed gehackt worden, zelfs al claimen ze de hoogste standaarden te hebben. Dit is al gebeurd met WhatsApp. Mensen moeten echt leren beseffen dat als je je data afstaat, die niet meer van jou is”.
“We hebben mensen jaren proberen duidelijk maken om geen persoonlijke informatie op sociale media te delen. Nu komen ze die zelf halen op je telefoon”, pikt Marc Rivero in, Kaspersky-analist en thuisspeler.
“Het gevaar schuilt in dat mensen lui zijn. Als ze voelen dat technologie hen helpt, maakt het voor hen niet uit hoe het werkt. Dus stoppen ze maar data in AI-apps zonder zich af te vragen of die ooit tegen hen gebruikt kunnen worden. Hoe comfortabeler we zijn met AI, hoe minder veilig we het gebruiken”.
Mensen zijn lui. Hoe comfortabeler we zijn met AI, hoe minder veilig we het gebruiken.
Marc Rivero, Senior Security Researcher Kaspersky
Kwantum: dreiging of opportuniteit?
Na de lunch verschuift de focus van de debatten naar kwantumtechnologie: weer een hip thema op IT-beurzen. Sergey Lohzkin van het Kaspersky GReAT-onderzoeksteam wil zijn presentatie niet te zwaar op de maag laten vallen. “Ik ga je niet proberen uitleggen hoe een kwantumprocessor werkt. Je hoeft dat ook niet te begrijpen om te weten dat kwantumcomputers een impact gaan hebben op beveiliging”.
Kaspersky wil de wereld nu al alert maken van toekomstige dreigingen die met kwantumcomputers realiteit zullen worden. Lohzkin: “Overheden investeren veel in kwantumtechnologie in de race naar suprematie. Dat is een theoretisch ideaal, maar wat voor mij veel relevanter is, is dat ze encryptieprotocollen zullen breken”.
“Kwantumcomputers kunnen krachtige spionagewapens worden als ze in handen van kwaadwillige actoren vallen. Bestanden kunnen nu al gestolen worden en later met kwantumtechnologie gedecrypteerd worden. De druk om kwantumprotocollen te implementeren zal stijgen, maar nu gebeurt er nog weinig, tot de eerste ‘kwantumhack’ een feit is’”, voorspelt Lohzkin.
lees ook
Cryptografie in (post-)kwantumtijden: snelle cheetah of slome luiaard?
Johannes Verst, aanwezig namens het Quantum Business Network, plaatst zich in het kamp van kwantumoptimisten. “Ons doel is om bedrijven aan te sporen nu al aan kwantum te denken, zowel aan de risico’s als aan de opportuniteiten. Kwantumbeveiliging moet je zien als een additionele laag die je bovenop traditionele beveiliging legt”.
“Als we investeringen in kwantum kunnen koppelen aan businesswaarde en de kosten kunnen drukken, zijn er veel use cases mogelijk. De combinatie van AI en kwantum is een dream team. Kwantum neemt beperkingen van traditionele computers weg, wat niet betekent dat we traditionele HPC in de toekomst niet meer nodig zullen hebben”, vervolgt Verst.
Schaduwfavoriet
Lohzkin merkt in een panel op dat Europa zich laat wegdrukken op het kwantumtoneel. Ten onrechte, vindt Verst. “Amerikanen zijn doorgaans beter in marketing dan Europeanen. Ze verkopen een technologie nog voor die in gebruik is. Dat maakt de technologie in Europa niet minder. Er is niet één globale leider in kwantumtechnologie”.
“We beschikken over heel goede startups die er al in slagen om systemen effectief in gebruik te nemen. Tot enkele jaren terug praatten we enkel met ingenieurs over kwantumtechnologie. Nu trekt het brede investeringen aan, maar ingenieurs moeten nog leren om met klanten te spreken”, besluit hij.