Auteur: Vlad Mihai, Expert Lead Security bij Conclusion Mission Critical

De ransomware-aanval op ChipSoft liet onlangs opnieuw zien hoe kwetsbaar missiekritische processen zijn als de cyberweerbaarheid niet op orde is. Patiëntenportalen in meerdere Nederlandse ziekenhuizen vielen uit, en dit soort incidenten zullen vaker voorkomen. 

Tegelijkertijd worden de omgevingen die je wilt beschermen steeds complexer. IT en OT lopen door elkaar, waardoor twee uiteenlopende risicoprofielen één aanvalsoppervlak delen. Door de versnippering van systemen zijn de blinde vlekken bovendien groot. Kortom, de druk op je SOC neemt toe. Hoe hou je grip? Het goede nieuws is dat de technologie die dit probleem deels veroorzaakt, ook uitkomst biedt. Maar dan moet je wel weten wat je beschermt, de juiste data centraal hebben staan en de regie bij mensen houden.

Door de schaalvergroting die AI teweegbrengt, is handmatig verwerken en triëren van alerts in het SOC geen houdbare werkwijze meer. De hoeveelheid data en meldingen groeit, terwijl de tijd per incident juist krimpt. Alles door menselijke ogen laten beoordelen is simpelweg niet meer realistisch. Precies daar ligt de kracht van AI, namelijk grote hoeveelheden data verwerken en daarin patronen herkennen. In plaats van alerts één voor één na te lopen, bundelt AI tien samenhangende meldingen tot één overzichtelijk verhaal met een tijdlijn, de betrokken systemen en gebruikers en een advies over de volgende stap.

De voornaamste winst zit in de snelheid. AI brengt de analyse- en triagetijd in het SOC flink omlaag, waardoor je sneller kunt reageren en handelen.  Twee uur analysetijd tijdens een actieve aanval is te lang, en aanvallers weten dat ook. Zij benutten het schaalvoordeel van AI al volop, dus de verdediging kan niet achterblijven.

Een volwassen SIEM met gecentraliseerde logbronnen is de minimale eis om AI zinvol in te zetten in je SOC. Zonder die basis mis je de input die AI nodig heeft en levert de technologie vrijwel niets op. Denk aan meldingen vanuit EDR-oplossingen, netwerkdetectiesystemen en identiteits- en inloggegevens op één plek. Dat is nog regelmatig de realiteit in missiekritische omgevingen, waar OT-systemen van oudsher losstonden van IT en vaak niet eens geregistreerd staan. Visibility gaps en versnipperde data zijn daarmee het eerste probleem om op te lossen, nog vóór je AI introduceert. Want wat niet in beeld is, kun je niet beschermen.

Naast die technische basis blijft ook domeinkennis onmisbaar. Use case tuning, oftewel het opstellen van de detectieregels die bepalen waarop alerts afgaan, blijft mensenwerk. AI kan je daarbij ondersteunen en suggesties aandragen, maar zonder specialisten die de output toetsen, riskeer je monitoringsregels die niet passen bij jouw omgeving. Daarmee is de grens meteen helder: in het SOC blijft AI een versterker, geen beslisser. De eindverantwoordelijkheid voor het handelen hoort bij de mens te liggen.
Dat hangt samen met de IT/OT-integratie in de meeste kritische omgevingen en de verschillende risicoprofielen die daarbij horen. Een IT-storing raakt de business, zoals reputatie en financiën. OT-uitval raakt mensen fysiek. Dat verschil in risicoprofiel vraagt niet alleen om een hoger beveiligingsniveau, maar ook om een principiële keuze over wie het mandaat heeft om te beslissen wanneer uitval fysieke gevolgen kan hebben. Autonoom handelende AI past daar niet bij. AI versnelt de weg naar een besluit, maar het besluit zelf neem je als mens.

Cybercriminelen hebben dankzij AI een schaalvoordeel, maar dat voordeel is ook voor de verdediging te benutten. De voorwaarde is dat de basis op orde is. Wat AI in je SOC oplevert, staat of valt met volwassenheid op drie punten: zicht op je omgeving, een technische basis die AI van de juiste input voorziet, en heldere governance over wie beslist als het erop aankomt. Mist er één van de drie, dan vergroot AI vooral je blinde vlekken.