- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: New technologies create new vulnerabilities
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
New technologies create new vulnerabilities
Nieuwe technologieën scheppen nieuwe kwetsbaarheden
Nieuwe technologische ontwikkelingen scheppen ook nieuwe kwetsbaarheden. Zo vergemakkelijkt machine learning het uitvoeren van cyberaanvallen, doordat bestaande kwetsbaarheden automatisch en op grote schaal kunnen worden ontdekt en uitgebuit. Nieuwe technologieën kunnen ook een bron zijn van nieuwe kwetsbaarheden. Zo kan machine learning worden ingezet voor de manipulatie van beeldmateriaal (deep fakes*). Bovendien hebben nieuwe technologieën eigen kwetsbaarheden. Zo is machine learning gevoelig voor datavervuiling; kwaadwillende partijen kunnen die kwetsbaarheid misbruiken door een machine learning-systeem met opzet te voeden met verkeerde data.
2.2 Nieuwe technologieën scheppen nieuwe kwetsbaarheden
Deze paragraaf beschrijft hoe het gebruik van nieuwe technologieën tot nieuwe digitale kwetsbaarheden kan leiden, of bestaande kwetsbaarheden kan vergroten. Zo vergemakkelijkt machine learning het uitvoeren van cyberaanvallen, doordat bestaande kwetsbaarheden automatisch en op grote schaal kunnen worden uitgebuit. Het gebruik van machine learning verdiept daarmee de risico’s die samenhangen met bestaande kwetsbaarheden.
Nieuwe technologieën kunnen daarnaast ook zelf een bron zijn van nieuwe kwetsbaarheden. De kwantumcomputer zal het in de toekomst mogelijk maken om bestaande vormen van encryptie te breken, waardoor bestaande weerbaarheidsmaatregelen die daarvan gebruikmaken van de ene op de andere dag achterhaald zullen zijn. Ook het gebruik van machine learning creëert een nieuwe kwetsbaarheid, omdat de data waarop haar werking berust gemanipuleerd kunnen zijn.
2.2.1 Kunstmatige intelligentie en machine learning
De opkomst van kunstmatige intelligentie, ook wel artificial intelligence (AI) genoemd, schept nieuwe kwetsbaarheden. We lichten hieronder kort toe wat we onder AI en machine learning verstaan.
AI is niet nieuw. In de jaren ’50 werd het technologisch concept al verkend door wetenschappers, wiskundigen en filosofen. AI verwijst naar het bouwen van systemen die een zekere mate van intelligent gedrag vertonen (European Commission, 2019b). Daar bestaan verschillende technieken voor.
Een basale AI-techniek is rule-based AI. Het komt neer op het programmeren van een serie ‘als dit, dan dat’-instructies. Een voorbeeld hiervan is een computer die een waarschuwing geeft als het besturingsprogramma wordt afgesloten en er nog documenten openstaan. Veelal zien we dit niet meer als kunstmatige intelligentie, omdat we al gewend zijn aan dit ‘intelligente’ en zelfstandige gedrag van computersystemen.
Machine learning is geavanceerder dan rule-based AI. In plaats van vooraf gegeven instructies vormen data het uitgangspunt. Machine learning draait om het detecteren van patronen in bestaande data, om vervolgens in nieuwe data vergelijkbare patronen te leren herkennen. De technologie leunt sterk op statistiek.
Deep learning is een specifieke vorm van machine learning, die gebaseerd is op neurale netwerken – geïnspireerd op de biologie van ons brein – en verschillende lagen informatie met elkaar combineert. Een deep learning-algoritme voor gezichtsherkenning kan bijvoorbeeld drie lagen bevatten. De eerste laag zoekt in een afbeelding naar contrasten en kleuren. Een tweede laag combineert die informatie en zoekt naar kenmerken als randen of schaduwen. De derde laag kijkt of het specifieke kenmerken als een neus, lippen of ogen kan herkennen (Rathenau Instituut, 2019c).
De toegenomen rekenkracht van computers en de grote hoeveelheden beschikbare data hebben de ontwikkeling van machine learning en deep learning de laatste twee decennia in een stroomversnelling gebracht. Het zijn deze vormen van AI die in het huidige maatschappelijke en politieke debat volop in de belangstelling staan. Ook op het gebied van cyberweerbaarheid bestaat steeds meer belangstelling voor de mogelijkheden hiervan, zowel in offensieve als in defensieve zin. In dit rapport maken we verder geen onderscheid tussen machine learning en deep learning, en hanteren we de eerste term.
Machine learning kan op verschillende manieren worden ingezet om kwetsbaarheden in digitale systemen uit te buiten. Daarnaast is machine learning zelf kwetsbaar, doordat de data waarmee de algoritmes worden gevoed, bewust kunnen worden vervuild (Brundage et al., 2018). Deze mogelijkheden worden hieronder kort besproken.
Vergroting aanvalsoppervlak
Machine learning vergemakkelijkt het uitvoeren van cyberaanvallen. De technologie maakt het mogelijk om automatisch en op grote schaal kwetsbaarheden op te sporen in onvoldoende beveiligde systemen en IoT-apparatuur, en deze uit te buiten. Kwaadwillende partijen kunnen daarvan gebruikmaken.
Manipulatie berichtgeving
Machine learning kan daarnaast worden ingezet voor de manipulatie van tekst-, geluids- en beeldmateriaal. De laatste jaren worden deze creaties steeds overtuigender, en lastiger te onderscheiden van authentieke informatie (Brundage et al. 2018). Deze technologie kent bonafide toepassingen. Zo kan hiermee bij buitenlandse films de nasynchronisatie van het geluid gepaard gaan met aanpassing van het beeld, zodat het geheel bij de kijker natuurlijker overkomt.
Maar met behulp van machine learning kunnen ook deep fake video’s worden gemaakt waarin personen bepaalde uitspraken in de mond worden gelegd. Ook kan vanuit een portretfoto een bewegende video worden gegenereerd (Mehta, 2019). Zowel het stemgeluid als de bewegingen van de persoon zijn daarbij nauwelijks van echt te onderscheiden. Deep fake video’s kunnen worden ingezet voor de verspreiding van desinformatie en misleiding van burgers, bijvoorbeeld door bekende politici uitspraken te laten doen die ze nooit hebben gedaan (Verhagen, 2019). Zo verspreidde een Vlaamse politieke partij in 2018 een video waarin de Amerikaanse president Donald Trump België lijkt op te roepen om uit het klimaatakkoord te stappen (sp.a, 2018).
De technologie is ook steeds eenvoudiger te gebruiken. In juni 2019 presenteerden onderzoekers een methode die videofragmenten automatisch voorziet van een transcript, waarna een gebruiker enkel de tekst hoeft aan te passen om een nieuwe video te genereren waarin de nieuwe tekst natuurgetrouw wordt uitgesproken door de persoon in de video (Fried et al., 2019). In de publicatie roepen de onderzoekers op tot een verantwoord gebruik van de techniek, maar misbruik ligt uiteraard op de loer. Eerder besloot het OpenAI consortium om die reden een techniek die automatisch tekstuele nieuwsberichten genereert niet te publiceren, vanwege hun bezorgdheid over de impact op de nieuwsvoorziening (OpenAI, 2019).
Kunstmatige accounts op social media (bots) kunnen de verspreiding van gemanipuleerde informatie bevorderen door deze veelvuldig te delen of te ‘liken’ (Rathenau Instituut, 2018b). Mede door de massale verspreiding ervan op sociale media kan desinformatie grote impact hebben op de publieke nieuwsvoorziening en de publieke opinie en, in het verlengde daarvan, maatschappelijk ontwrichtende gevolgen hebben.
De met machine learning toegenomen mogelijkheden om tekst-, geluids- en beeldmateriaal te manipuleren onderstrepen het groeiende maatschappelijk belang van data-integriteit.
Datamanipulatie
Ook in een tweede opzicht heeft het gebruik van machine learning gevolgen voor data-integriteit. Doordat de werking van machine learning berust op algoritmes die met data worden gevoed, is de kwaliteit van de uitkomsten van machine learning afhankelijk van de kwaliteit van die data. Echter, data kunnen een vooringenomenheid (bias) bevatten en daarmee onbedoeld of onbewust de uitkomsten van toepassingen van machine learning beïnvloeden.
Kwaadwillende partijen kunnen deze kwetsbaarheid misbruiken door machine learning systemen met opzet te voeden met verkeerde data (data poisioning). Aanvallers die weten hoe een machine learning systeem is getraind kunnen op subtiele wijze de uitkomsten manipuleren. Dit kan bijvoorbeeld door een beeldherkenningsalgoritme foto’s voor te schotelen die bewerkt zijn met een bepaalde ‘ruis’. Het menselijk oog ziet nog steeds hetzelfde beeld, maar het beeldherkenningsalgoritme kan ermee om de tuin worden geleid. Zo kunnen toepassingen voor medisch-diagnostische doeleinden tot verkeerde conclusies komen op basis van met ruis vervuilde scans (Finlayson et al., 2018). Ook kunnen enkele stickers op een weg het Lane Detection System van een van de modellen van Tesla het systeem doen geloven dat er sprake is van een afwijkende rijbaan, en de auto van richting laten veranderen, terwijl een menselijke autobestuurder deze stickers eenvoudigweg zou negeren (Ackerman, 2019).
2.2.2 Kwantumcomputer als gamechanger
De komst van de kwantumcomputer zal naar verwachting grote betekenis krijgen voor de cyberweerbaarheid. De term kwantumcomputer verwijst naar een computer die gebruikmaakt van natuurkundige fenomenen zoals superpositie, verstrengeling en interferentie: fundamenteel andere natuurkundige fenomenen dan die in de huidige computerchips worden gebruikt. De verwachting is dat de kwantumcomputer hiermee bepaalde wiskundige problemen sneller kan oplossen.
Dit heeft consequenties voor het kunnen breken van de huidige manieren van digitale versleuteling (encryptie). De encryptietechnieken die tegenwoordig veel gebruikt worden zijn niet bestand tegen de rekenkracht van de kwantumcomputer. Het is dan ook de verwachting dat een kwantumcomputer beveiligde data sneller kan ontsluiten en beveiligde netwerken sneller kan binnendringen.
De ontwikkeling van kwantumtechnologie staat echter nog in de kinderschoenen. Voor zover bekend is het nog niet gelukt om een bruikbare kwantumcomputer te maken en het is lastig om te voorspellen wanneer dit wel gaat lukken. Om de natuurkundige inzichten om te zetten in praktisch bruikbare chips zijn namelijk nog wetenschappelijke doorbraken nodig – waarvan onduidelijk is hoe lang die nog op zich laten wachten. Experts schatten in dat het hoogst onwaarschijnlijk is dat binnen 10 jaar een bruikbare kwantumcomputer zal zijn ontwikkeld (Committee on Technical Assessment of the Feasibility and Implications of Quantum Computing et al., 2019). Er zijn ook schattingen dat het nog zeker 20 tot 30 jaar kan duren. Het valt in ieder geval te verwachten dat zodra de doorbraken zijn geboekt, de kwantumtechnologie snel op de markt zal worden aangeboden, en de capaciteit om bestaande encryptie te breken zich snel zal verspreiden
.
Een aantal van de door ons geraadpleegde experts vragen zich af of het wel verstandig is om de doorbraken in kwantumtechnologie af te wachten. Vanwege de verwachte tijd en de kosten die gepaard gaan met migratie naar vormen van encryptie die bestand zijn tegen de kwantumcomputer, zijn ze van mening dat organisaties zich daar nu al op moeten voorbereiden. Ze wijzen er ook op dat kwaadwillende partijen een zogenoemde harvest and decrypt-strategie kunnen toepassen: deze partijen verzamelen nu (versleutelde) data, om die later te kunnen ontsleutelen. Van bepaalde gevoelige data is het voorstelbaar dat onthulling, ook over 30 jaar, schadelijk kan zijn, zoals bij medische gegevens of bedrijfsgeheimen.