Frank Elderson, vicevoorzitter van de ECB: “De situatie is urgent, de tijd dringt.”
De ECB heeft dinsdag online enkele honderden publieke en private actoren bijeengebracht op een moment dat de nieuwste AI-modellen, zoals Mythos, ontwikkeld door Anthropic, zorgen baren over een ingrijpende verandering voor de cyberveiligheid van staten.
Een informele bijeenkomst op initiatief van Frank Elderson, vicevoorzitter van de ECB, dus zonder officiële mededeling. Maar met een duidelijke boodschap: “de tijd dringt”.
De Europese Centrale Bank heeft dinsdag alle Europese banken onder haar directe toezicht, grotendeels de belangrijkste banken, uitgenodigd om zich te buigen over de gevoelige kwestie van de nieuwe IT-kwetsbaarheden die worden gecreëerd door AI-modellen, en meer specifiek het Mythos-model van Anthropic.
Tot op heden zitten de onderhandelingen tussen de Europese Unie en Anthropic over de toegang van Europese banken tot Mythos in een impasse, zoals Crypto Briefing meldt: de instellingen die onder toezicht staan van Frankfurt worden blootgesteld aan dezelfde softwarekwetsbaarheden als hun Amerikaanse concurrenten, zonder te beschikken over de detectietool die de ECB hen nu vraagt te integreren in hun cyberbeveiliging.
Radicale verandering
Banken en toezichthouders over de hele wereld spannen zich in om te reageren op de gevolgen van de snelle verspreiding van steeds krachtigere AI-tools.
“Dit is een radicale verandering en we gaan met de leidinggevenden van de banken om de tafel zitten om deze kwestie te bespreken. We willen hun analyses verzamelen, hen de kans geven om hun ervaringen te delen en het belang van dit onderwerp benadrukken. We willen dat de banken zich serieus over deze kwestie buigen“, vertelde Frank Elderson aan de Financial Times.
De banken in de eurozone hebben momenteel geen toegang tot Mythos, dat alleen beschikbaar is gesteld aan een beperkt aantal organisaties in de Verenigde Staten . “Het ontbreken van toegang is echter geen excuus voor passiviteit“, aldus Frank Elderson.
De ECB houdt toezicht op ongeveer 111 van de grootste banken in de eurozone, waaronder dochterondernemingen van grote Amerikaanse Wall Street-banken zoals JPMorgan Chase, die wel toegang hebben tot Mythos.
DORA legt de plicht op, niet de hefboom
De DORA-verordening, die sinds 17 januari 2025 van kracht is, legt een geharmoniseerd kader voor IT-risicobeheer op, maar voorziet niet in soevereine toegang tot een offensief AI-instrument van een derde partij. Kortom, de Europese toezichthouder zet zijn banken onder druk zonder de hefboom in handen te hebben die hij van hen vraagt in te zetten.
“Er is een hele reeks cyberbeveiligingsproblemen waar we al jaren samen met de banken aan werken, die allemaal nog steeds actueel zijn, maar gezien de vooruitgang op het gebied van AI moeten ze sneller worden aangepakt”, aldus Frank Edelrson gisteren in de Financial Times.
Mythos verschuift het operationele evenwicht tussen aanval en verdediging. De tool is in staat om duizenden zero-day-kwetsbaarheden in de systemen van banken op te sporen. Een softwarepatch kan nu in ongeveer dertig minuten worden gereconstrueerd, tegenover enkele weken vroeger. Deze verkorting van de tijd tussen de publicatie van de patch en het verschijnen van een exploit die misbruik maakt van de verholpen kwetsbaarheid, verandert de dynamiek van de herstelmaatregelen ingrijpend: de periode waarin een instelling kwetsbaar blijft na de verspreiding van een patch is aanzienlijk verkort.
