Deze week kwamen op de G7-top in Frankrijk de bazen van OpenAI, Anthropic en Google aan tafel met regeringsleiders. Een onderwerp sprong eruit. Niet de modellen die mooie teksten schrijven, maar modellen die inmiddels grote delen van een cyberaanval zelfstandig uitvoeren.
Wat is er gebeurd
Het Britse AI Security Institute testte twee van de nieuwste modellen op een nagebootst bedrijfsnetwerk. Een ervan voltooide een aanval van 32 stappen van begin tot eind, zonder dat een mens hoefde bij te sturen. Een ander model ging nog een stap verder en schreef zelf werkende code om een lek te misbruiken. Werk dat tot voor kort alleen ervaren specialisten konden doen.
De modellen zijn afgeschermd en alleen voor geselecteerde partijen beschikbaar. Maar de boodschap is helder. De vaardigheid bestaat nu. En wat technisch kan, sijpelt vroeg of laat door naar de mensen die het misbruiken.
Wat betekent dat voor jou als ondernemer?
De drempel om een aanval uit te voeren daalt. Hard. Vroeger had een aanvaller kennis, tijd en mankracht nodig. Nu kan software een deel van dat werk overnemen. Dat betekent meer aanvallen, sneller, en gerichter op kleinere bedrijven die vroeger onder de radar bleven.
Het MKB was nooit het hoofddoelwit. Simpelweg omdat handwerk niet loonde voor een bescheiden buit. Die rekensom verandert. Als het opzetten van een aanval bijna niets meer kost, wordt elk bedrijf met een betaalrekening interessant.
Wat dit betekent voor een typisch MKB-bedrijf
Voor een accountantskantoor: je beheert klantdata en betaalgegevens. Precies wat geautomatiseerde aanvallen zoeken. En phishingmails komen nu in foutloos Nederlands binnen, zonder de taalfouten waar je personeel ze vroeger aan herkende.
Voor een productiebedrijf: een productielijn die stilligt door gijzelsoftware kost per dag meer dan een heel jaar aan beveiliging. De zwakke plek zit vaak in oude machines en systemen die nog aan het netwerk hangen.
Voor een retailer of dienstverlener: klantvertrouwen is je kapitaal. Eén datalek dat de krant haalt, doet meer schade dan welke boete dan ook.
Drie acties die vandaag al kunnen
Niets paniekerigs. Maar wel iets.
Zet tweestapsverificatie aan. Op e-mail, boekhouding en alles wat aan geld raakt. Het is gratis en stopt het overgrote deel van de geautomatiseerde aanvallen.
Test je back-up. Niet of hij draait, maar of je er echt iets mee kunt herstellen. Veel bedrijven ontdekken pas tijdens een crisis dat de back-up al maanden leeg was.
Praat met je team. De zwakste schakel is geen systeem maar een klik. Vertel je mensen dat phishing nu vlekkeloos Nederlands is. De oude trucs om een neppe mail te herkennen werken niet meer.
De kern van het verhaal
De technologie die jouw werk goedkoper maakt, maakt ook de aanval goedkoper. Dat is geen reden om bang te zijn, wel om wakker te zijn. De bedrijven die nu de basis op orde brengen, staan straks niet in de krant.
De kosten van een succesvolle aanval zijn concreet: downtime, herstelwerk, reputatieschade. De kosten van tweestapsverificatie zijn nul. Elk bedrijf dat nog wacht op dat ene klikje, betaalt straks een veelvoud.
