De vijf cyberinlichtingendiensten van de Five Eyes (de Verenigde Staten, het Verenigd Koninkrijk, Australië, Nieuw-Zeeland en Canada) hebben maandagavond een zeldzame gezamenlijke verklaring uitgebracht met één duidelijke boodschap: krachtige AI-modellen die bedrijven en zelfs overheden kunnen platleggen zijn niet jaren, maar maanden van ons verwijderd. De oproep aan bestuurders is even kort als ongemakkelijk: handel nu.
Het is ongebruikelijk dat signals-diensten als de Amerikaanse NSA, de Britse GCHQ en de Australische ASD samen naar buiten treden. Juist dat maakt de toon zo opvallend. Voor elke Nederlandse organisatie met digitale infrastructuur, van een webshop tot een ziekenhuis of een gemeente, is dit geen abstract dreigingsbeeld op de lange termijn, maar een agenda-item voor dit kwartaal.
Wat de diensten precies zeggen
De kern van de verklaring is dat frontier-AI sneller volwassen wordt dan de markt verwacht. De diensten stellen dat de tijdlijn geen jaren maar maanden is, en dat die modellen zowel de aanvallende als de verdedigende kant van cybersecurity fundamenteel veranderen. AI verlaagt de drempel voor kwaadwillenden en verhoogt de snelheid, schaal en complexiteit van aanvallen.
De diensten benoemen geen enkel model of bedrijf bij naam, maar de strekking is helder: "Cyberrisico kan niet langer als een puur technisch vraagstuk worden behandeld. Dit is een kernrisico voor de bedrijfsvoering en een verantwoordelijkheid van de leiding." Met andere woorden, dit hoort op de directietafel, niet alleen in de serverruimte. Volgens de diensten is een reactie van de hele organisatie en de hele samenleving nodig.
Aan Amerikaanse kant koppelden topfunctionarissen er concrete verwachtingen aan. NSA-cyberdirecteur David Imbordino verwacht dat de capaciteiten binnen het jaar breed beschikbaar komen, ondanks de beperkingen die AI-bedrijven zelf inbouwen. De waarschuwing sluit aan bij wat veel beveiligingsexperts het afgelopen jaar al zeiden, maar nu komt ze van de diensten zelf.
Waarom juist nu
De timing is geen toeval. De verklaring kwam kort nadat de regering-Trump eerder deze maand besloot om "buitenlandse onderdanen" de toegang te ontzeggen tot Anthropic's krachtigste modellen, Fable en Mythos. Mythos kan kwetsbaarheden in systemen opsporen en is daarom alleen voor gescreende organisaties beschikbaar, precies vanwege de vrees voor misbruik. Eerder noemden 76 beveiligingsexperts die exportban juist gevaarlijk voor verdedigers, omdat verdedigers dezelfde gereedschappen nodig hebben als aanvallers.
Daar zit de echte spanning. Een model dat kwetsbaarheden vindt, helpt een securityteam patchen, maar in verkeerde handen versnelt het juist het uitbuiten van diezelfde gaten. Naarmate deze capaciteiten breder beschikbaar komen, of via officiële kanalen lekken naar misbruik, verschuift het evenwicht. De Five Eyes-diensten zeggen in feite: ga er niet vanuit dat de rem die AI-bedrijven inbouwen het tempo van de aanvallers bijhoudt.
Wat dit betekent voor jouw bedrijf
De verleiding is groot om dit weg te zetten als een verhaal over staten en grote labs. Dat is het niet. Geautomatiseerde aanvallen treffen juist de massa: organisaties die net niet de basis op orde hebben, zijn het goedkoopst om en masse te raken. AI maakt het opsporen van die zwakke plekken sneller en goedkoper.
Drie dingen zijn nu het verschil tussen meelopen en achterlopen. Ten eerste: behandel cyberrisico als bestuurskwestie, zoals de diensten letterlijk vragen, en niet als een vinkje bij IT. Ten tweede: krijg de basis aantoonbaar op orde. De vijf basislagen cybersecurity die elk bedrijf op orde moet hebben wegen zwaarder zodra aanvallers sneluitproberen automatiseren. Ten derde: realiseer je dat je AI-toolchain zelf een nieuw aanvalsoppervlak is geworden, niet alleen je website of mailserver.
De meest concrete dreiging voor de meeste bedrijven is niet een spectaculaire hack, maar overtuigende, geautomatiseerde misleiding. AI maakt phishing tegen ondernemers sneller en geloofwaardiger, en de beste verdediging daartegen zit vaak meer in slim procesontwerp dan in nog een securitytool: een tweede paar ogen op betalingen, duidelijke verificatiestappen, en mensen die weten wat ze moeten checken.
De diensten kozen niet voor niets het woord "weerbaarheid". Je kunt de komst van krachtigere AI niet tegenhouden, maar je kunt wel zorgen dat een geautomatiseerde aanval bij jou op een dichte deur stuit in plaats van op een open raam. De vraag is niet of je dit kwartaal getest wordt, maar of je dan klaar bent.
Veelgestelde vragen
Weerbaar worden zonder ruis
Cyberweerbaarheid is geen losse tool maar een keuze in hoe je je software en processen inricht. Ik help je dat end-to-end op orde te krijgen, van meedenken en ontwerp tot het bouwen en automatiseren van veilige werkwijzen, het liefst self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
