ChatGPT kwam voor veel mensen onverwacht. Het leek alsof kunstmatige intelligentie (AI) plotseling een compleet nieuwe wereld ontsloot. Een wereld waarin eindgebruikers de beschikking kregen over tools waarmee ze oneindig veel teksten, beelden en muziek konden genereren. Tegelijk is er de angst dat AI de wereld ‘overneemt’ en dat met ChatGPT de doos van Pandora is geopend waardoor criminelen vrij spel hebben met het laten genereren van allerlei soorten malware. Een interview met emeritus-hoogleraar Jan van den Berg.
Door Menno Jelgersma / Beeld Shutterstock en Jan van den Berg
De lancering van ChatGPT in november 2022 wordt algemeen beschouwd als het moment dat generatieve AI breed onder de aandacht van het publiek kwam en een significante impact begon te hebben op technologie, maatschappij en economie. AI beslaat een breed veld binnen de computerwetenschappen dat zich richt op het ontwikkelen van systemen en machines die ‘intelligente’ taken kunnen uitvoeren waarvan men vroeger dacht dat daarvoor altijd menselijke intelligentie nodig was. De media berichten regelmatig over de vermeende gevaren van AI zoals de vrees dat criminelen het inzetten bij aanvallen op bedrijven en overheidsinstanties. Sommige cybersecurityspecialisten gebruiken wellicht dezelfde tools op hun beurt om zich tegen aanvallen te weren.
Jan van den Berg
Jan van den Berg is emeritus-hoogleraar cybersecurity. Na zijn afstuderen als wiskundig ingenieur aan de TU Delft in 1977 werkte Van den Berg tot 1989 op diverse instituten van hoger onderwijs. Vanaf 1989 was hij verbonden aan de Erasmus Universiteit Rotterdam waar hij onderzoek deed op het gebied van computational intelligence en de (economische) toepassingen daarvan.
Hij promoveerde in 1996 en richtte zich vanaf dat moment op de ontwikkeling en toepassing van methoden van data-analyse, informatiebeveiliging en cybersecurity. In 2006 keerde Van den Berg terug naar de TU Delft waar hij zijn werk rond data analytics bleef vervolgen aangevuld met onderzoek op het terrein van cybersecurity. Hij werd er in 2013 benoemd tot hoogleraar. In 2015 werd hij ook benoemd als hoogleraar aan de Universiteit Leiden. Momenteel is hij nog steeds actief als emeritus-hoogleraar met onder andere advisering aan de overheid rond cybersecurityvraagstukken en -onderzoek, en het geven van HOVO-cursussen AI.
Hype
Maar volgens Van den Berg is er geen sprake van een een-op-een verhouding tussen AI en cybersecurity, al zijn er zeker parallellen te trekken: cyberdreigingen en AI-dreigingen kunnen worden gepareerd met behulp van adequaat risicomanagement. Maar verder hebben algemene cybervraagstukken volgens hem maar voor een klein deel te maken met AI. Van den Berg: “Je hebt bijvoorbeeld criminelen die op het darkweb samenwerken en allerlei verschrikkelijke initiatieven ontplooien. Maar die doen dat voor het merendeel zonder AI.”
Van den Berg noemt de aandacht voor AI zelfs een hype. “Het lijkt soms wel of AI pas zo’n drie jaar geleden met ChatGPT is gestart, maar ik ben er al 35 jaar mee bezig, en het wordt ook al 35 jaar toegepast. De grote doorbraak met ChatGPT en vergelijkbare tools was dat AI voor het eerst in handen van de eindgebruiker kwam.” En hoewel AI belangrijk is in de wereld van de cybersecurity is het niet het enige. “Er zijn zoveel meer mogelijkheden om technologie in te zetten om het internet af te speuren of om in te breken. AI is slechts een deel daarvan.”
> LEES OOK: Bijna kwart Nederlanders gebruikt kunstmatige intelligentie zoals ChatGPT
Geen ‘revolutie’
Van den Berg vindt dat er op dit moment te veel aandacht uitgaat naar AI en dat er al helemaal geen sprake is van een ‘revolutie’. “Het is een beetje een hype geworden en dat komt omdat het – voor bijvoorbeeld kenniswerkers – veel mogelijkheden biedt, maar ook doordat er geld mee verdiend kan worden. Je kunt wel zeggen dat met ChatGPT en andere generatieve AI-tools een hele grote stap is gezet, maar het enige dat generatieve AI kan, is teksten, muziek en beelden genereren.”
Wat volgens hem voor de meeste mensen een eyeopener is, is dat op de achtergrond alle ‘communicatie’ tussen de eindgebruiker en ChatGPT wordt gemodelleerd met getallen. “Je zit in een hoog-dimensionele ruimte waarin je werkt met heel veel getallen en niet met taal. Dat dit mogelijk is, heeft te maken met de heel speciale architectuur van de gebruikte diepe neurale netwerken.”
Machine learning is het onderdeel van AI dat zich specifiek richt op het ontwikkelen van algoritmes waarmee machines kunnen leren van data. Het zijn leermodellen die zijn geïnspireerd door de manieren waarop dierlijke en menselijke hersenen werken. Bij het ontwerpen van verschillende soorten neurale netwerken wordt gekeken naar de specifieke taken waarvoor ze dienen. Dat kan het genereren van muziek zijn maar ook beeld- of tekstbewerking.
> LEES OOK: AI-model getraind om klanten en leveranciers op het darkweb te analyseren
Computers dromen niet
Volgens Van den Berg hebben mensen vaak het idee dat ze met een computer via ChatGPT kunnen praten, waarbij ze zich voorstellen dat het een soortgelijk denkend wezen is. Maar ChatGPT en soortgelijke tools ‘hebben geen enkel besef van zichzelf, denken niet in concepten en kennen geen zelfreflectie’, zoals Van den Berg toelicht. Mensen hebben de neiging om de wereld antropomorfisch te beschouwen en levenloze dingen vaak menselijke eigenschappen toe te dichten. Sommige auto’s lijken boos te kijken of in de positie van ramen in een gebouw denken mensen een gezicht te kunnen onderscheiden. Maar computers dromen niet, verzekert hij ons, en printers hebben het niet op ons gemunt, tenzij we ze met AI trainen dat te doen.
Muziek genereren met AI
Ook het idee dat computers binnen afzienbare tijd ‘de wereld overnemen’ wijst hij van de hand, tenzij wij ze daartoe uitdrukkelijk inzetten. Een voorbeeld: tegenwoordig worden drones in oorlogen gebruikt die met behulp van AI mogelijke doelen opsporen en daarna zelfstandig beslissen om wel of niet te vuren. ChatGPT is een uitstekende (beslissings-)ondersteunende tool en je moet hem alleen bij hele hoge uitzondering als beslissingsnemende tool gebruiken. “Generatieve AI kan ‘interpoleren tussen opgedane kennis’ en dat kan leiden tot nieuwe dingen, met andere woorden: generatieve AI kan creatief zijn. Als ik naar Mozart luister op de radio herken ik hem aan zijn stijl. Als ik aan een muziek-genererende AI-tool vraag om de stijl van Mozart met die van Mark Knopfler te combineren kan er echt iets nieuws ontstaan.”
Fantastisch maar ook gevaarlijk
Samenvattend: generatieve AI levert een verzameling fantastische tools, waarmee je heel mooie dingen kunt doen, maar ook heel gevaarlijke. “We moeten, zoals zo vaak al eerder in de geschiedenis is gebeurd, ons leren verhouden tot deze nieuwe technologie in handen van ‘iedereen’, en met elkaar bediscussiëren wat binnen elke gebruikscontext adequaat, verantwoord en correct ethisch gebruik is, alsmede mensen trainen en soms verplichten aldus te handelen.”
Transparantie over gebruik AI
Bovenstaande leidt tot de vraag waar originaliteit stopt en plagiaat begint. “Overal waar je AI inzet, zou je moeten afspreken wat de rol van AI in je uiteindelijke product is geweest, op eenzelfde manier als je bij wetenschappelijk onderzoek heel nauwkeurig alle bronnen vermeldt en verklaart hoe je aan je resultaten komt. Wees ook transparant in de manier waarop je AI inzet.”
Het is ook belangrijk om te controleren of een te gebruiken AI-tool technisch gesproken goed ontwikkeld is (het maken van juiste AI-programma’s is een complexe engineering-discipline) en met welke data het resulterende model is getraind en gevalideerd. Validatie is een enorm vraagstuk binnen AI.
“Bij AI ga je ervan uit dat je niet precies weet hoe de data gegenereerd zijn en heb je daardoor een groot validatievraagstuk. Je moet daarom altijd controleren of de modellen op een adequate manier zijn gevalideerd. Daar heb je dus datawetenschappers voor nodig om dat te checken.”
HOVO Brabant
Als je duiding wilt over wat je met AI kan, moet je eerst weten hoe het werkt. Op verzoek van de vereniging HOVO (Hoger Onderwijs voor Ouderen) heeft Van den Berg een meerdaagse cursus Artificial Intelligence ontwikkeld. In de cursus op academisch niveau komen theorie, toepassingen en tools aan bod, evenals de mogelijkheden, dilemma’s en risico’s van AI. Van den Berg geeft op dit moment twee cursussen, een in Tilburg en een in Rotterdam.
Redenering begrijpen
Het liefst ziet Van den Berg de inzet van explainable AI waarmee je de redenering kunt begrijpen waarmee het geleerde model tot adviezen komt. Dat is bij ChatGPT niet het geval. “Je snapt de generieke principes van ChatGPT, maar wat de betekenis van de parameters is en daarmee de precieze beslissingsregels zijn, is niet duidelijk. Het gaat immers om 175 miljard parameters, waarvan de meeste onderdeel zijn van de gebruikte (niet-) lineaire neurale netwerken!” De meest toegepaste AI van vandaag de dag is daarentegen veel simpeler en daarbij kun je wat gemakkelijker de eis stellen dat het explainable is.
Mensen trainen in gebruik AI
Dit is de technische kant. Daarnaast moet je mensen trainen wat de spelregels zijn bij het gebruik van AI. “Je mag het voor sommige opdrachten wel gebruiken maar voor sommige niet. Als het wel mag, moet je duidelijk aangeven wanneer en in welke mate. Bijvoorbeeld in de brainstormfase.”
Ethische aspecten
Verder zijn er ethische aspecten. “Mag je vragen: maak een verhaal dat bol staat van nepnieuws.” Je kunt ook een extra check doen door AI te vragen om alle bronnen aan te geven. Van den Berg wijst erop dat er Europese regelgeving komt voor het gebruik van AI in kritische infrastructuren. “Zo wordt er binnenkort geëist dat AI-systemen met een ‘hoog risico’, voordat ze gebruikt mogen worden, eerst gekeurd zijn door een onafhankelijke partij. Maar meer in het algemeen is er nog een lange weg te gaan voordat alle AI-wet- en regelgeving adequaat is vormgegeven en ingevoerd.”
> LEES OOK: Europese set regels over AI treedt in werking
Bedrijfsprocessen
Bij beveiliging van IT-systemen denken de meeste mensen bijna automatisch aan de techniek. “De eerste vraag moet echter zijn: welke processen binnen je bedrijf zijn afhankelijk van IT en – meer in het bijzonder – van AI? Het antwoord op die vraag moet eerst helder zijn voor je de boel überhaupt veilig krijgt. Daarna kun je beginnen met het vormgeven van je risicomanagement.”
Van den Berg benadrukt dat je daarbij niet in termen van puur techniek, maar meer in termen van bedrijfsprocessen moet denken. “Van een auto weet je ook niet meer hoe hij werkt. Het gaat ook en met name om het gedrag van de bestuurder. Je moet de techniek, de mensen en de governance bij elkaar brengen. De huidige samenleving is in een permanente staat van risico. We zouden daarom moeten veranderen in een risk society, die adequaat omgaat met deze risico’s.”
Master cybersecurity
In 2011 werden Jan van den Berg en Jacqueline van Zoggel gevraagd om een masterprogramma op te zetten omdat er zowel vanuit de industrie als de overheid de wens werd geuit dat er cybersecurityexperts moesten komen. Volgens Van den Berg was daarbij een holistische kijk op cybersecurity bepalend voor de vorm van de opleiding. Dat was mede noodzakelijk omdat mensen die in een bepaald vakgebied werkzaam zijn, in grote lijnen moeten weten waar de anderen zich mee bezighielden.
De holistische kijk begint bij het adequaat definiëren van cyberspace, waarvoor hij een model ontwikkelde bestaande uit drie lagen. In de onderste laag bevindt zich de techniek, in de tweede laag zitten de gebruikers van de technologie en de hoogste laag is de bestuurslaag. Al deze aspecten komen aan bod in het masterprogramma, waarbij er een specialisatie is voor de technische gebruikers en een voor de bestuurders. De ideeën werden in een rapport gebundeld wat de opmaat was voor de oprichting van de stichting Cyber Security Academy die kort daarna de masteropleiding bij de Universiteit Leiden opleverde.
Eén paraplu
Op het gebied van cybersecurity is er een grote ontwikkeling doorgemaakt in de afgelopen tien à vijftien jaar. Aanvankelijk was het Nationaal Cyber Security Center (NCSC) alleen verantwoordelijk voor de overheid en de kritische infrastructuren. Bedrijven vielen erbuiten. Inmiddels worden alle instanties onder één paraplu genomen en is het NCSC verantwoordelijk voor de hele cyberspace in Nederland met een hele concrete strategie en een actieplan. Hiermee onderscheiden we ons in positieve zin ten opzichte van heel veel andere landen.
Next revolution
Een heel andere vraag is: wat kunnen we in de komende jaren verwachten van de ontwikkeling in AI? “Ik denk dat de toepassingen veelzijdiger zullen worden. Maar wat de next revolution is, weet ik natuurlijk ook niet, want die komt altijd onverwacht”, besluit Van den Berg.
Volg Security Management op LinkedIn
