Het dreigingslandschap voor Nederlandse bedrijven is afgelopen week fundamenteel verschoven. Met de aankondiging van het AI-model ‘Claude Mythos’ door Anthropic waarschuwt het Nationaal Cyber Security Centrum (NCSC) voor een nieuwe realiteit: digitale aanvallen worden zo snel dat menselijke reactietijden niet langer volstaan. De boodschap is helder: patch sneller, of word slachtoffer.
Vorige week onthulde AI-gigant Anthropic Claude Mythos, een model dat specifiek is getraind op het vinden van softwarekwetsbaarheden. De resultaten zijn onthutsend: Mythos vond duizenden lekken die jarenlang verborgen bleven voor menselijke experts, waaronder een 27 jaar oude fout in het extreem beveiligde OpenBSD. Hoewel Anthropic het model uit veiligheidsoverwegingen nog niet publiek deelt, stelt het NCSC dat bedrijven direct actie moeten ondernemen.
Van dagen naar uren: de snelheidsoorlog
De grootste zorg van het NCSC is de enorme versnelling van de ‘aanvalsketen’. Waar aanvallers voorheen weken nodig hadden om een lek te vinden en een werkende exploit (aanvalscode) te schrijven, doet AI dit nu in uren.
“Reactiecycli van dagen worden uren; weken worden dagen,” aldus het NCSC. “Wie patchprocessen, monitoring en incidentrespons niet versnelt, loopt aantoonbaar meer risico.”
Het traditionele ‘patch-beleid’—waarbij updates vaak pas na dagen of weken worden uitgevoerd na uitgebreid testen—is volgens de cybersecuritywaakhond niet langer houdbaar. In de tijd dat een IT-afdeling een vergadering plant over een nieuwe update, kan een AI-model de kwetsbaarheid al op duizenden systemen tegelijk hebben uitgebuit.
Vuur met vuur bestrijden
Het NCSC adviseert bedrijven niet alleen om hun verdediging op te schroeven, maar ook om zelf AI te omarmen. “AI kan een uitkomst bieden in de ondersteuning van de verdediging, bijvoorbeeld bij de detectie van afwijkend gedrag in netwerken,” schrijft het centrum.
Dit betekent dat cybersecurity een ‘algoritmische strijd’ wordt:
- AI als aanvaller: Vindt razendsnel zwakke plekken en combineert kleine foutjes tot een fatale aanval.
- AI als verdediger: Monitort netwerkverkeer 24/7 en grijpt binnen milliseconden in bij verdacht gedrag, nog voordat een menselijke beheerder de melding ziet.
Wat moeten bedrijven nu doen?
Het NCSC raadt aan om niet te wachten op een incident, maar nu de digitale weerbaarheid te verhogen. De drie belangrijkste actiepunten zijn:
- Verlaag de ‘Time-to-Patch’: Automatiseer update-processen waar mogelijk. Uitstel is in het huidige landschap een open uitnodiging aan hackers.
- Implementeer AI-detectie: Gebruik moderne security-tools die gebruikmaken van machine learning om aanvallen in real-time te herkennen.
- Terug naar de basis: Zorg dat de basisbeveiliging (zoals multi-factor authenticatie en netwerksegmentatie) op orde is. Zelfs de meest geavanceerde AI heeft moeite met een goed fundament.
Een structurele verschuiving
De komst van modellen zoals Claude Mythos moet volgens experts niet worden gezien als een tijdelijke trend, maar als een permanente verandering in hoe we software beveiligen. Voor ondernemers betekent dit dat cybersecurity niet langer een jaarlijks vinkje is, maar een continu, door technologie gedreven proces. De race tussen aanvaller en verdediger is officieel begonnen—en de snelheid ligt hoger dan ooit.
