De impact van ChatGPT op de digitale veiligheid van uw organisatie

29 maart 2023by Erik Jan Koedijk
chatgpt wordt gebruikt door cybercriminelen

Door: Erik Jan Koedijk, strategisch adviseur

Waar je ook ter wereld de tv of radio aanzet, op nieuwssites kijkt of gesprekken hebt op de werkvloer: er wordt veel gesproken over open AI’s ChatGPT. En niet onterecht. Ik vergelijk de fase waarin we nu zitten vergelijkbaar qua gevoel als het moment dat de browser voor iedereen beschikbaar werd, ik meen dat dit omstreeks 1997/1998 was. Maar ik zie ook een keerzijde. En dan doel ik niet op de beroepsgroepen die ontkennen of niet snel genoeg aanpassen, maar op uw dataveiligheid. Een keerzijde die wordt onderbouwd door een recent onderzoek van Europol dat ik graag met jou deel en nader toelicht.

‘De wereld van Cyber’

‘In de wereld van Cyber’ gaan veel snelle verhalen de ronde. Het woord AI is zo’n hype dat het er tegenwoordig op lijkt dat iedere oplossing die te maken heeft met digitale veiligheid AI aan boord heeft. Vraag dus goed door. Het gaat over een belangrijk onderwerp: de bescherming van de kernen van grote computernetwerken en dus de beveiliging van data. Je mag dus hopen dat er goede contracten met leveranciers worden gesloten over bijvoorbeeld de dataveiligheid en de verwerking van gegevens. Maar ook dat de competenties en betrouwbaarheid van de medewerkers van de leveranciers wordt gemeten in een continuproces.

Dat dit geen overbodige luxe is blijkt wel uit de vele mediaberichten die bevestigen dat organisaties meestal door leveranciers de dupe zijn geworden wanneer het datalekken betreft. Een recent voorbeeld betreft de NS, waar een leverancier van een leverancier gehackt schijnt te zijn en reizigers van de NS mogelijk de dupe zijn.

Wijdverspreid gebruik

De release en het wijdverspreide gebruik van ChatGPT – een groot taalmodel (LLM) ontwikkeld
door het bedrijf OpenAI – heeft overal ter wereld veel aandacht gekregen. Dit heeft voornamelijk te maken met het vermogen om snel kant-en-klare antwoorden te krijgen die kunnen worden toegepast op een groot aantal verschillende contexten. Waar je jezelf met Google moet worstelen door de hoeveelheid aan versnipperde informatie, zo lijkt ChatGPT werkelijk de oplossing voor al je vragen te zijn.

Terwijl dit grote kansen biedt aan legitieme bedrijven heeft het ook een keerzijde en daar waarschuwt Europol nu serieus voor. Criminelen en statelijke actoren kunnen LLM’s voor hun eigen doeleinden gaan inzetten.

Cybercriminelen en AI

Een groeiende aantal cybercriminelen probeert nu de op AI gebaseerde chatbot te misbruiken voor het ontwikkelen van malware en andere kwaadaardige tools. Europol heeft zijn bezorgdheid geuit over de mogelijkheid die cybercriminelen nu krijgen om bijvoorbeeld via verschillende technieken misbruik te maken om de veiligheidsfuncties te omzeilen die OpenAI heeft geïmplementeerd om het genereren van schadelijke inhoud te voorkomen. Een zorgwekkende trend. Het rapport van Eurpol is hier te downloaden.

Europol innovation lab

Als reactie op deze groeiende publieke aandacht voor ChatGPT (het platform heeft al meer dan 100 miljoen actieve gebruikers) heeft Europol de LLM ChatGPT geselecteerd om in de workshops te worden onderzocht.

Hoewel ChatGPT een succes is voor gebruikers, maakt dit het platform ook tot een lucratief doelwit voor cybercriminelen. Kortom: doel was om te gaan onderzoeken hoe criminelen LLM’s (zoals ChatGPT) kunnen misbruiken en hoe het onderzoekers kan helpen bij hun dagelijkse werk.

De deskundigen die deelnamen aan de workshops vertegenwoordigden het volledige spectrum van de expertise van Europol. Zowel op operationeel gebied, analyse, zware en georganiseerde misdaad, cybercriminaliteit, terrorismebestrijding en informatietechnologie.

Voorbeelden

Om kwaadaardig gebruik van ChatGPT te voorkomen, heeft OpenAI verschillende veiligheidsfuncties geïmplementeerd. Het rapport van Europol benadrukt echter dat criminelen, ondanks deze voorzorgsmaatregelen, snelle technieken kunnen gebruiken om de beperkingen voor het modereren van inhoud te omzeilen.

Er zijn legio voorbeelden te verzinnen hoe ChatGPT ingezet zou kunnen gaan worden door cybercriminelen (of al ingezet wordt). Ik zet er een aantal op een rij:

  1. Optimaliseren van Phishing Campagnes: voorheen gebrekkige taal: nu spot on in iedere taal gericht op conversie. De phishing-e-mails zullen zeer overtuigend overkomen zodat slachtoffers ertoe kunnen worden verleid hun inloggegevens of andere gevoelige informatie af te staan.
  2. Criminelen doen zich voor als anderen in online conversaties. Aanvallers kunnen een taalmodel gebruiken om tekst te maken die lijkt te zijn gegenereerd door een bepaalde vertrouwde persoon of entiteit, zoals een bankvertegenwoordiger of een overheidsfunctionaris.
  3. Toename CEO fraude: door intelligent gebruik te maken zal het succesvol misleiden van managers van organisaties kinderspel zijn.
  4. Personen met minimale beheersing van de Engelse taal zullen formele en grammaticaal correcte teksten kunnen produceren in veel talen, die bijvoorbeeld goed van pas kunnen komen bij het versturen van traditionele briefpost binnen en bepaald land. Een brief waar de bank vraagt je bankpasje door te knippen en op te sturen, omdat ze je een nieuwe beloven.
  5. Het genereren van mogelijk schadelijke code die gebruikt kan worden om netwerken van organisaties binnen te dringen.

Tijd voor actie

Je begrijpt dat het op orde hebben van de basis essentieel is. Het team van Samen Veiliger kan hierbij ondersteunen. In geval van een (cyber)crisis kun je altijd contact opnemen door een app te sturen naar ons noodnummer: 06 -11000 800.

Copyright© samenveiliger.nl | Burg. Stramanweg 63, 1191 CX Ouderkerk aan de Amstel | Alle rechten voorbehouden