We hebben onszelf jarenlang een veiligheidsgevoel aangepraat: “Als de inloggegevens kloppen en de MFA-code is ingevoerd, dan zit het wel goed.” Maar laten we eerlijk zijn: die vlieger gaat niet meer op.
Door de explosie van Generatieve AI is het stelen van een identiteit niet alleen makkelijker geworden, het is schaalbaar geworden. Waar een hacker vroeger dagen zwoegde op één overtuigende phishing e-mail, spuugt AI er nu duizenden uit die niet van echt te onderscheiden zijn.
De nieuwe realiteit: De machine is een meester-imitator
We moeten onder ogen zien dat een geldig credential (zoals een wachtwoord of token) geen garantie meer is dat er een echt mens aan de andere kant zit.
- Stemmen worden gekloond: Met drie seconden audio van jouw YouTube-video of een LinkedIn-webinar kan AI jouw stem perfect nabootsen. Bel je de helpdesk? Zij horen jou, maar praten met een script.
- Video is niet langer heilig: Real-time deepfakes in video-calls zijn geen sciencefiction meer. Het bestaat.
- Tone-of-voice is kopieerbaar: AI analyseert de schrijfstijl van de CEO en stuurt een mail naar de administratie die zó overtuigend is, dat zelfs de meest wakkere medewerker gaat twijfelen.
Waarom onze huidige ‘muren’ gaten vertonen
Onze traditionele beveiliging is statisch. Het controleert een sleutel, maar niet de persoon die de sleutel vasthoudt.
- MFA is een drempel, geen muur: Aanvallers gebruiken AI om medewerkers te manipuleren tot ze die ene code weggeven. De techniek werkt, de menselijke factor blijft het zwakke punt.
- De ‘onderbuik’ is uitgeschakeld: We leerden mensen te letten op taalfouten of vage verzoeken. Maar AI maakt geen taalfouten en is nooit vaag. De klassieke rode vlaggen zijn verdwenen.
Hoe nu verder? Van ‘Techniek’ naar ‘Menselijke Zekerheid’
We moeten terug naar de tekentafel. Als digitale identiteit onbetrouwbaar wordt, hoe verifiëren we dan interacties met een hoog risico? De oplossing zit in Human-Centric Assurance.
1. Voer de ‘Gezonde Wrijving’ in
Soms is snelheid de vijand van veiligheid. Voor kritieke acties (denk aan grote betalingen of het wijzigen van administratieve-rechten) moeten we processen inbouwen die niet puur digitaal zijn. Een simpel telefoontje naar een vooraf afgesproken nummer, of een fysieke controle, kan het verschil maken.
2. Gedrag als biometrie
In plaats van te kijken naar wat je weet (wachtwoord), moeten we gaan kijken naar hoe je doet. Hoe beweegt iemand zijn muis? Hoe typt hij? AI kan een wachtwoord stelen, maar het unieke menselijke gedragspatroon achter een computer is veel lastiger te simuleren.
3. De ‘Live’ Check
Bij cruciale gesprekken moeten we AI uit de tent lokken. Vraag iemand in een video-call bijvoorbeeld om zijn hoofd plotseling te draaien of een specifiek object voor de camera te houden. Veel real-time deepfakes vertonen op dat moment nog digitale artefacten of haperingen.
Conclusie: Vertrouwen moet je verdienen (opnieuw)
Het tijdperk van “De computer zegt dat het oké is” is voorbij. We moeten onze strategieën herinrichten rondom het feit dat alles wat digitaal is, nagemaakt kan worden.
Ik geloof dat technologie ons vooruit helpt, maar dat de menselijke maat de uiteindelijke beveiliging is. Het is tijd om identity niet meer als een IT-vinkje te zien, maar als een doorlopend proces van menselijke bevestiging.
