Artificiële intelligentie (AI) is een onderwerp dat veel publiciteit en aandacht krijgt in de beveiligingssector. Ondanks de verschillende definities van AI zijn industrie-experts het erover eens dat het echte potentieel ervan nog moet worden benut. Digitale transformatie is cruciaal voor ondernemingen van de toekomst. Centraal in deze discussie staan AI en de eindeloze mogelijkheden om de efficiëntie en operationele prestaties te verbeteren.
Staat de toepassing van AI op een kantelpunt?
AI-toepassingen vergen heel wat computerkracht, waarbij gebruik wordt gemaakt van complexe en geavanceerde deep learning-modellen en zijn sterk afhankelijk van technologieën, zoals bijvoorbeeld grafische processoren (GPU's). Daarnaast zien we innovaties in big data, verbeteringen in algoritmen en misschien wel het belangrijkste onderdeel; financiering en investeringen. We zien ondernemingen, universiteiten en overheden, organisaties (groot en klein) die investeren in AI.
Het risico aanpakken
We zijn niet de enige sector die klaarstaat om AI te omarmen. Maar tegenover het enorme potentieel staat een aanzienlijk risico, omdat de technologieën waarvan we afhankelijk zijn om AI te leveren gepaard gaan met inherente dreigingen die we moeten aanpakken. Enerzijds zien we grondig onderzoek dat pleit voor het gebruik van AI als afweermiddel tegen cyberaanvallen, anderzijds is duidelijk aangetoond hoe cybercriminelen AI misbruiken voor hun activiteiten.
Tot nu toe werden beveiligingstechnologieën gebruikt om de toegang te beperken en/of te verifiëren, identiteitsgegevens te controleren of omgevingen te monitoren om bepaald gedrag te detecteren of te ontmoedigen. Dit alles met als doel de bezittingen en faciliteiten van organisaties te beschermen. Maar vandaag zijn diezelfde fysieke beveiligingssystemen meer dan ooit verbonden met andere bedrijfssystemen, zoals Facilitair, HR of marketing.
Sommige stakeholders van bedrijven zagen beveiliging vroeger misschien als een potentiële 'business blocker'. Maar nu beveiliging wordt gebruikt om bedrijfsactiviteiten te verbeteren en flexibeler te maken, met innovatie als drijvende kracht voor groei, wordt het steeds meer als 'business enabler' gezien. Wanneer beveiligingstechnologieën op die manier worden ingezet, kunnen ze een concurrentievoordeel opleveren.
Het potentieel van beveiligingstechnologieën
Door het echte potentieel van beveiligingstechnologieën te benutten kunnen we organisaties meer inzicht en bedrijfsinformatie bieden. Dit stelt hun stakeholders in staat om echte data gedreven beslissingen te nemen die zakelijke activiteiten kunnen stroomlijnen en verbeteren door allerlei vormen van optimalisatie.
Voor wie in een fysieke omgeving met consumenten omgaat, kan deze nieuwe informatie over klanten van onschatbare waarde zijn. Informatie zoals tellen van mensen, wachtrijbeheer, verblijfsduur, heatmaps en demografische informatie (waarbij alle gegevens worden geanonimiseerd voor statistisch gebruik) levert zeer waardevolle zakelijke inzichten op.
AI biedt niet alleen commerciële voordelen, maar is ook van nuttig voor de openbare veiligheid, bijvoorbeeld als hulpmiddel om vermiste kinderen op te sporen. Als een persoon aan een bepaald profiel voldoet, kan die worden geïdentificeerd en mogelijk opgespoord, zonder urenlang video-opnames te hoeven bekijken. Dit is mogelijk dankzij de voordelen van metadata, die zijn ingebouwd in videobewakingscamera's.
Terwijl deze informatie wordt geanalyseerd en verwerkt, kunnen organisaties deze doorsturen naar de cloud of een locatie op afstand, zoals een alarm- of videobewakingscentrale. Dit alles samen zorgt voor een nauwkeuriger detectie, een sneller onderzoeksproces en als het nodig is een automatische reactie.
Wat is het risico?
Al deze technologieën kunnen een organisatie bepaalde informatie geven, maar die blijft in het beste geval beperkt als ze los van elkaar worden gebruikt. Voor waardevolle inzichten moet de technologie verbonden zijn met andere systemen, waar de gegevens worden geanalyseerd om bruikbare resultaten te krijgen.
Als we de impact van beveiliging bekijken op een oorzaak-en-gevolgstrategie in andere gebouwsystemen, zoals bij Facilitair, kunnen we in de meest eenvoudige vorm de verlichting of airconditioning regelen om bedrijven te helpen bij het afstemmen van technologieën op hun duurzaamheidsdoelstellingen. Dit is alleen mogelijk via connectiviteit en toegang, zodat beveiligingssystemen van organisaties gegevens kunnen overdragen.
Traditionele beveiligingssystemen werkten in een eigen netwerk, een gesloten circuit dat geen informatie kon doorsturen, wat het systeem beschermde tegen indringers en vrijwel onkwetsbaar maakte. Nu dergelijke systemen toegankelijk zijn en waardevolle gegevens over netwerken naar stakeholders kunnen worden gestuurd, lopen organisaties een potentieel risico.
De echte waarde van AI wordt benut wanneer de informatie een positieve impact heeft op operationele prestaties, zodat het aantal tijdrovende en alledaagse taken vermindert en personen en bedrijven zich op belangrijker zaken kunnen concentreren. Maar het verbinden van meerdere systemen met elkaar om gegevens te delen, vergroot ook het potentiële risico op ernstige beveiligingsproblemen.
Om dit risico te beperken, is het belangrijk om te begrijpen wie verantwoordelijk is voor end-to-end-beveiliging. Nu steeds meer individuele personen, afdelingen, apparaten en technologieën onderling met elkaar zijn verbonden, beginnen de grenzen van verantwoordelijkheid te vervagen en dat brengt risico's met zich mee. Bij het aanpakken van cybersecurity is het soms lastig om verantwoordelijkheden vast te stellen, vooral wanneer een organisatie het slachtoffer wordt van een aanval.
Wat nu?
Organisaties hoeven niet in paniek te raken of terughoudend te zijn, wanneer ze overwegen om technologieën toe te passen die als AI op de markt worden gebracht. Als het product echt op AI gebaseerd is (met gegevensverzameling en -beheer en gedeelde toegang), is het belangrijk om een beveiligingsaanpak te hanteren en een cybersecurity-onderzoek uit te voeren, zoals dat voor elke andere IT-, IoT- of OT-technologie zou gebeuren. Uit zo'n onderzoek blijkt duidelijk of er nog een beveiligingskloof te dichten valt op het gebied van het ontwerp, de implementatie en het beheer van AI-oplossingen.
Er zullen ook nieuwe complexe hulpprogramma's nodig zijn om AI-processen te vrijwaren van ernstige beveiligingsrisico's. Het AI-avontuur is nog maar net begonnen. Het zal gepaard gaan met kwetsbaarheden, bugs en fouten van leveranciers. Het is logisch dat technologieaanbieders hun producten zo snel mogelijk op de markt willen brengen. Pas dan kunnen hun investeringen in onderzoek en ontwikkeling renderen. Hierbij is het van cruciaal belang om cybersecurity niet als een bijzaak te beschouwen, want dan kan het risico veel groter uitvallen dan de potentiële winst.
De evaluatie van deze technologieën mag dan een nieuw concept zijn, de traditionele best practices gelden nog steeds. Dit betekent dat een evaluatie nodig is van de technologieaanbieder die zijn 'cybervolwassenheid' moet kunnen aantonen. Onderwerp de technologie aan een penetratietest of voer minstens een kwetsbaarheidsscan uit. En evalueer de effectiviteit van de beveiligingsfunctionaliteiten, want ook die zijn cruciaal. Het is daarnaast net zo belangrijk om na te gaan of de leverancier een strategie heeft om de technologie in de toekomst te ondersteunen, inclusief een beleid op het gebied van kwetsbaarheidsbeheer, beveiligingsadviezen en firmware-updates.
Onderzoek tot slot de aanpak van jouw eigen organisatie. Focus hierbij op een up-to-date netwerkbeveiligingsplan en bekijk of het zin heeft om te kiezen voor zero-trust-beveiligingsmodel. Uiteraard is het ook essentieel om na te denken over de impact die jouw inkoopstrategie kan hebben op jouw beveiligingsbeleid en hoe deze eventueel moet worden verbeterd.
