NS-CISO: Wegkijken is geen strategie meer
Dimitri van Zantvliet (foto), CyberDirector en CISO bij de Nederlandse Spoorwegen (NS), luidt op de noodklok over de impact van kunstmatige intelligentie op cybersecurity. In een veelbesproken bericht op LinkedIn reageert hij op de recente geopolitieke onrust rondom AI-ontwikkelaar Anthropic waarbij enkele nieuwe AI-modellen alleen in de VS mogen worden gebruikt. Hij waarschuwt dat de cyberwereld zich momenteel bevindt in een overgangsfase van 'digitale liminaliteit', waarin menselijke herstelprocessen de technologische realiteit niet meer kunnen bijbenen.
Van Zantvliet, tevens voorzitter van het CISO Platform NL en lid van de adviesraad van het NCSC, deelt op LinkedIn een reeks scherpe observaties over hoe AI de dynamiek tussen softwarekwetsbaarheden en digitale weerbaarheid fundamenteel verandert.
Krimptijd van maanden naar uren
Volgens de cybersecurity-expert gaat dertig jaar aan softwareontwikkeling en IT/OT-architectuur in hoog tempo haar verborgen kwetsbaarheden prijsgeven. De opkomst van 'vibecoding'—waarbij software laagdrempelig wordt gebouwd met behulp van AI—vergroot de kans dat beveiligingslekken sneller en op grotere schaal worden geproduceerd.
Tegelijkertijd zet AI het opsporen van die lekken in een stroomversnelling. "De tijd tussen ontdekking en misbruik krimpt van maanden naar min zeven dagen," stelt Van Zantvliet. "De stap van initiële toegang tot een volledige compromittering kan soms nog maar seconden duren." Het huidige ecosysteem van bug bounty-programma's en gecoördineerde meldingen van kwetsbaarheden (CVD) begint volgens hem zichtbaar te kraken onder de enorme hoeveelheid bevindingen.
Onvoldoende menselijke snelheid
Het grootste probleem ligt volgens de CISO bij de reactiesnelheid van organisaties. Bestaande processen voor triage, patchen en herstel zijn ingesteld op menselijke snelheid. Nu er een golf van kwetsbaarheden en noodreparaties op de markt afkomt die vele malen groter is dan voorheen, leiden vertragingen in het patchproces direct tot operationele verstoringen. De 'rente' op zogeheten technische schuld (technical debt) en verouderde architecturen stijgt hierdoor explosief: wat jarenlang kon blijven liggen, vormt nu een direct risico.
Oproep tot actie: Waar blijft het Cyber-OMT?
Hoewel er overal nieuwe samenwerkingsverbanden ontstaan tussen leveranciers, overheden en vitale sectoren, ontbreekt het volgens Van Zantvliet aan centrale regie. Hij trekt een parallel met de coronacrisis en vraagt zich hardop af waarom er nog geen centrale crisisstructuur is opgetuigd. "Tijdens COVID ontstonden crisisstructuren in weken. De vraag dringt zich op: waar blijft het cyber-OMT?"
Stilzitten of wegkijken is volgens de expert geen optie meer. Hij sluit zijn betoog af met een dringende oproep aan Europa om het aanpassingstempo drastisch te verhogen. De komende jaren zullen volgens hem niet worden bepaald door wie de meeste kwetsbaarheden vindt, maar door wie het snelst kan begrijpen, prioriteren, herstellen en samenwerken.
Meer over ai
Over Witold Kepinski
