Het tekort aan IT’ers is groot, het tekort een beveiligingsspecialisten binnen de IT-wereld is nog groter. Kan AI soelaas bieden? ITdaily zet zich aan de ronde tafel met enkele experts.
Er zijn niet genoeg IT-specialisten en dat is op zich al een probleem. Wie kaas heeft gegeten van IT is bovendien niet per definitie in staat om een goede IT-beveiligingsspecialist te zijn. Met de komst van NIS2 is dat een nog groter probleem. ITdaily verzamelde verschillende beveiligingsexperts rond de tafel voor een gesprek over de zin, onzin en uitdagingen van NIS2. Wat het tekort aan talent betreft, stelt Ron Nath Mukherjee, Cyber Security Consultant bij Eset een prangende vraag: “Kan AI helpen?”
Ja, maar
De consensus is voorzichtig positief. We horen een ja, onmiddellijk gevolgd door een uitgebreide maar. “Misschien wel”, denkt Thomas Hayen, Red Team Operator bij Easi. “Zelfs de afgelopen maanden is er al veel vooruitgang geboekt.” Hij bekijkt AI als een handige tool die beveiliging op z’n minst toegankelijker kan maken. “Zelfs ChatGPT kan concepten zoals Active Directory wel begrijpelijker maken. Je kan moeilijke termen laten uitleggen als voor een tienjarige, en de AI doet dat, met metaforen erbij.”
“Nieuwe generatieve AI helpt mensen om vrij snel op een laag niveau met beveiliging te beginnen. Wie weinig weet, kan gewoon vragen stellen. Hoe werkt het Kerberos-authenticatiemechanisme? Je krijgt meteen een antwoord. Of je kan vragen om code snippets te vertalen. Die komen wel ergens uit de dataset waarmee de AI getraind is, maar je hebt op z’n minst een startpunt.”
Niet zonder mens
Die datasets waarmee AI getraind wordt, brengen een uitdaging met zich mee. “Hoe goed zijn ze?”, vraagt Bart Van Vugt, de Senior Cyber Security Advisor bij Uptime Security, zich af. “Ze zullen in de komende jaren waarschijnlijk beter en beter worden. AI kan zeker richting geven, maar geen validatie. Ik zie dat ook bij bedrijven. Die geloven in oplossingen die AI-gedreven zijn, maar daar honderd procent in geloven is toch nog niet aan de orde vandaag.”
Daar komt bij dat AI menselijke kennis niet plots helemaal vervangt. Hayen: “Je moet nog steeds weten wat je moet vragen.” Zonder een begin aan kennis of een notie van wat er moet gebeuren, zal de meerwaarde van AI bijgevolg beperkt blijven.
We komen stilaan aan de top van de AI-hype-golf.
Ron Nath Mukherjee, Cyber Security Consultant Eset
Mukherjee sluit zich aan bij die visie van AI als hulpmiddel, niet als wondermiddel. “We komen stilaan aan de top van de AI-hype-golf”, denkt hij. “AI is een hulpmiddel. Ik gebruik het ook, maar wat is de concrete evolutie van de technologie naar detectie en respons in cybersecurity? AI speelt daar al vele jaren een rol, maar is eigenlijk gewoon machine learning op datasets.”
Keerzijde
De consensus is dat AI op korte termijn een handige tool kan worden voor (aspirant-)beveiligingsprofessionals, maar geen vervanging. Ook de andere kant ziet helaas heil in AI. Cybercriminelen kunnen immers even eenvoudig vragen stellen. “En er is vandaag al niet veel kennis meer nodig om te kunnen hacken”, weet Mukherjee. AI kan criminelen net zo goed helpen om handige phishingmails te schrijven en scriptjes uit te werken.
Daar eindigt het niet. “Met AI kan je deepfakes maken van mensen, met stem en al”, weet Hayen. Dat gaat het phishingprobleem niet bepaald verminderen.
lees ook
NIS2: goed idee, maar met welke mensen?
Het lijkt er dus op dat minstens een deel van de winst die AI kan opleveren, aan de andere zijde gecompenseerd zal worden door AI aangedreven malwarecampagnes. Meer en betere AI getraind op betere datasets, zal beveiligingsprofessionals desalniettemin verder helpen. De professionals zelf moeten echter niet meteen voor hun job vrezen, integendeel. AI kan hen helpen, of ontwikkelend talent de juiste weg wijzen, maar de echte beslissingen blijven vooralsnog in menselijke handen.