Het afgelopen jaar waarschuwden verschillende instanties voor de impact van kunstmatige intelligentie (AI) op cyberveiligheid. Van door AI geprogrammeerde malware tot het gebruik van taalmodellen om massaal gepersonaliseerde phishing mails te sturen, AI maakt cybercriminaliteit steeds toegankelijker. Ook De Nederlandsche Bank (DNB) waarschuwt hier nu voor.
De waarschuwing is onderdeel van het meest recente Overzicht Financiële Stabiliteit, een halfjaarlijkse publicatie van de DNB. De gevolgen van AI voor cybercriminaliteit worden expliciet genoemd als een bedreiging voor de stabiliteit van financiële systemen, in combinatie met de huidige geopolitieke instabiliteit. Volgens het indicatoren-systeem dat de DNB gebruikt om de mondiale onzekerheid te kwantificeren, heeft de huidige geopolitieke situatie ertoe geleid dat de onzekerheid in Nederland nu net zo hoog is als tijdens de eerste maanden van de Covid-19 pandemie.
Deze geopolitieke instabiliteit, en de daarbij toegenomen dreiging van aanvallen door statelijke actoren, wordt gecompliceerd door de snelle ontwikkelingen op het gebied van AI. Kunstmatige intelligentie wordt steeds vaker gebruikt door cybercriminelen. De meest recente modellen kunnen niet alleen gebruikt worden om malware te schrijven die bestaande kwetsbaarheden uitbuit, maar ook nieuwe kwetsbaarheden vindt.
De DNB illustreert dit aan de hand van cijfers van de website Zero Day Clock. Dit is een website die zogenaamde Zero Day kwetsbaarheden bijhoudt. Dit zijn kwetsbaarheden die door cybercriminelen ontdekt worden voordat de producent van de software hiervan op de hoogte is. Hierdoor kunnen kwaadwillenden gebruik maken van gaten in de beveiliging waarvan producenten en gebruikers van software niet eens weten dat deze bestaan, laat staan dat ze zich hiertegen kunnen wapenen.
Beeld: © Zero Day Clock / Zero Day Clock
Grafiek die de snelle afname van de tijd tussen het ontdekken en misbruiken van een kwetsbaarheid toont.
Uit de cijfers blijkt dat de snelheid waarmee nieuw ontdekte kwetsbaarheden misbruikt worden zeer snel afneemt. Waar het in 2024 gemiddeld nog bijna twee maanden duurde, was de tijd van ontdekking tot misbruik in 2025 gedaald tot drie weken. Voor 2026 is het inmiddels gedaald tot nog zo'n anderhalve dag. De website voorspelt dat deze tijd het komende jaar tot minder dan een uur zal dalen. Dit wordt mogelijk gemaakt door AI-modellen die zeer snel kwetsbaarheden kunnen vinden.
De impact van kunstmatige intelligentie op het misbruik van Zero Day kwetsbaarheden blijkt vooral uit het percentage van de toename van het aandeel van deze kwetsbaarheden in CVE databases. Het CVE-systeem (Common Vulnerabilities and Exposures, in het Nederlands veel voorkomende kwetsbaarheden) wordt gebruikt om informatie over nieuw gevonden kwetsbaarheden te verspreiden. In de afgelopen jaren is een grote stijging te zien in het percentage van kwetsbaarheden dat actief misbruikt werd voordat ze in de databases geregistreerd werden.
In 2024 was bij 47,9% van de nieuw geregistreerde kwetsbaarheden die bekend stonden als actief misbruikt door criminelen sprake van Zero Day exploitatie, misbruik voordat de kwetsbaarheid door de producent van de software gevonden was. In 2025 steeg dit percentage tot 53,6%, en voor 2026 ligt het percentage momenteel al op 73,2%. Dat betekent dat bijna drie kwart van de nieuw aangemelde actief misbruikte kwetsbaarheden gevonden werden door kwaadwillenden, voordat beheerders van de software zich bewust werden van het probleem.
De opkomst van meer geavanceerde (generatieve) AI-modellen legt de lat hoger voor financiële instellingen om over voldoende capaciteit en de juiste middelen te beschikken om kwetsbaarheden snel te verhelpen, tijdig te herstellen en effectief uit te wijken. Dit past binnen het bredere kader voor digitale operationele weerbaarheid zoals vastgelegd in de Digital Operational Resilience Act (DORA). De huidige gezonde winstgevendheid van veel financiële instellingen biedt ook ruimte voor investeringen in cyberweer baarheid. Daarnaast onderstreept de sterke afhankelijkheid van niet-Europese aanbieders van (generatieve) AI-toepassingen de noodzaak voor een grotere mate van digitale autonomie op Europees niveau.
De Nederlandsche Bank roept haar leden daarom op om meer te investeren in de cyberveiligheid. Ze benadrukken hierbij ook het belang van digitale economie, en de verantwoordelijkheden die financiële instellingen hebben onder Europese wet- en regelgeving. Het gaat hier met name om de Digital Operational Resilience Act (DORA), een Europese richtlijn die vergelijkbaar is met de NIS2 Richtlijn en de Wet Cyberweerbaarheid, maar dan specifiek voor organisaties die actief zijn in de financiële sector.
Het verslag van De Nederlandsche Bank richt zich specifiek op de financiële sector, maar de waarschuwingen zijn relevant voor elk bedrijf dat online actief is. De toename van het percentage Zero Day kwetsbaarheden onder CVEs toont aan dat de impact van kunstmatige intelligentie op de cyberveiligheid groeit. AI maakt niet alleen het aantal en de snelheid van aanvallen hoger, de nieuwste modellen kunnen ook compleet nieuwe aanvalsvectoren vinden. Het is daarom belangrijk om te blijven investeren in de cyberveiligheid, en op de hoogte te blijven van de laatste ontwikkelingen.