In IT-kringen is de term shadow IT al geruime tijd bekend. Het verwijst naar toestellen en apps die werknemers op eigen houtje gebruiken. Met de opmars van artificiële intelligentie wordt de schaduw echter groter. “Je kunt een tsunami niet stoppen, maar je kunt wel een boot bouwen.”
Shadow AI ontstaat wanneer werknemers zonder medeweten van de IT- of beveiligingsafdeling AI-applicaties gebruiken. Deze apps worden voor uiteenlopende taken ingezet, zoals het samenvatten van rapporten, het schrijven van marketingteksten en data-analyse.
Wat Lance Armstrong en shadow AI met elkaar gemeen hebben
Dat shadow AI een feit is, blijkt uit recente studies. Een rondvraag van integrator Insight Enterprises onder 150 Belgische bedrijven toont aan dat 77 procent al AI-tools gebruikt. Slechts 5 procent heeft deze echter geïntegreerd in de bedrijfsprocessen.
Een onderzoek van Software AG onder zesduizend kenniswerkers bevestigt deze trend: 75 procent gebruikt al AI-tools en 46 procent zegt deze niet op te geven, zelfs niet als hun werkgever het gebruik ervan verbiedt.
Werknemers en zelfs hele afdelingen kiezen voor externe AI-oplossingen vanwege de directe voordelen, vaak op het gebied van productiviteit. “Het is als doping in de Ronde van Frankrijk”, vergelijkt Itamar Golan, CEO en medeoprichter van Prompt Security, in een interview met VentureBeat. “Mensen willen een voorsprong, zonder de langetermijngevolgen te beseffen.”
Waar het in het tijdperk van Lance Armstrong ging om EPO of specifieke dopingvormen, is het AI-landschap veel diverser. “Er zijn meer dan 25.000 AI-tools beschikbaar, en er komen er dagelijks tientallen bij,” schat Marc Vael, Chief Digital Trust Officer bij Esko en voorzitter van IT-federatie SAI, in. “Begin er maar aan als bedrijf of IT-afdeling.”
Sommige toepassingen springen er echter wel uit. Volgens Insight Enterprises is ChatGPT met 44 procent de meest gebruikte generatieve AI-tool, gevolgd door Microsoft Copilot met 27,6 procent.
Waarom is shadow AI zo gevaarlijk? Van dataverlies tot intellectueel eigendom
Artificiële intelligentie kan de productiviteit en efficiëntie aanzienlijk verhogen, maar het heeft ook een keerzijde. “Er zijn vraagstukken rond de betrouwbaarheid en daarmee ook de veiligheid van de toepassingen,” vat Marc Vael samen.
Het probleem? Deze tools worden vaak getraind met bedrijfsgevoelige data. Volgens Prompt Security staat ongeveer 40 procent van deze AI-apps standaard ingesteld om te trainen op alle ingevoerde data. Dit betekent dat je intellectueel eigendom deel kan worden van hun modellen.
Het grootste probleem van shadow AI is namelijk dat bedrijfsgevoelige informatie in publieke modellen terechtkomt. Zodra je vertrouwelijke informatie – van broncode tot bedrijfsstrategie en financiële data – in deze modellen invoert, blijft die informatie effectief bestaan in het model. Dit kan leiden tot accidentele datalekken, compliance-overtredingen en reputatieschade.
Wat de situatie verergert, is dat de meeste shadow AI-apps geen beveiligingsmaatregelen hebben. Traditionele endpointprotectie en systemen voor gegevensverliespreventie zijn niet ontworpen om de kwetsbaarheden van deze apps te detecteren.
Hoe het tij keren? Aanpak verschilt vaak
Dat is vandaag de vraag van 1 miljoen. “Veel bestuurders die aan de knoppen zitten, vragen zich af: hoe blijf ik zeker dat die knoppen van mij blijven?”, stelt Marc Vael. “Hoe behoud ik de controle?”
Sommige organisaties nemen alvast hun voorzorgen rondom shadow AI. De gemeente Amsterdam gaat bijvoorbeeld niet in zee met Microsoft Copilot. “Uit een recente privacytoets van SLM Rijk blijkt dat Copilot vooralsnog niet compliant te gebruiken is”, aldus het oordeel van de Vereniging Nederlandse Gemeenten. Een assessment zou aantonen dat er risico’s zijn verbonden aan het gebruik van de AI-tool, vooral door het gebrek aan transparantie van Microsoft over de verwerking van persoonsgegevens.
De Vlaamse overheid ziet dit anders. Zij sluiten een contract voor 10.000 licenties op Copilot. Het is het grootste Copilot-overheidscontract dat Microsoft in Europa heeft afgesloten. Deze slimme assistent moet Vlaamse ambtenaren ondersteunen bij repetitieve taken zoals dossierverwerking.
De Vlaamse overheid is zich echter wel bewust van de risico’s. “De uitrol van Copilot gaat hand in hand met de verdere ontwikkeling van het AI Expertisecentrum”, aldus Jan Smedts, hoofd van Digitaal Vlaanderen. “Dat centrum speelt een cruciale rol bij het opstellen van richtlijnen voor het veilige en doordachte gebruik van artificiële intelligentie.”
Eigen AI-alternatieven
Volgens experts zoals Marc Vael moeten bedrijven AI beter integreren en veilige, goedgekeurde oplossingen aanbieden. Alleen zo kunnen ze voorkomen dat medewerkers naar ongecontroleerde AI-oplossingen grijpen en bedrijfsgegevens blootstellen aan risico’s. Dit is met name van belang in streng gereguleerde omgevingen zoals overheden en financiële instellingen.
BNP Paribas Fortis, de grootste bank van België, heeft bijvoorbeeld recent een interne AI-assistent uitgerold, onder de naam Yara, die door de meeste medewerkers kan worden gebruikt. Deze assistent wordt onder meer ingezet voor het analyseren en samenvatten van documenten en voor het vertalen van rapporten. BNP maakt gebruik van het AI LLM-model van het Franse AI-bedrijf Mistral, dat op de eigen servers van de bank draait.
Bouw een boot
Niet elke organisatie gaat zo ver. Maar doen alsof AI niet bestaat, beschermt je niet, benadrukt Itamar Golan. “Je kunt een tsunami niet stoppen, maar je kunt wel een boot bouwen”, oppert hij. Een centrale beheersoplossing, ondersteund door consistente beleidsregels, is cruciaal.
Bedrijven die ontdekken dat shadow AI zich door hun netwerken verspreidt, moeten stappen ondernemen. Dit begint met een formele shadow AI-audit om ongeautoriseerd AI-gebruik op te sporen.
Vervolgens maakt een entiteit binnen de organisatie een lijst van goedgekeurde AI-tools. Dit vermindert de verleiding voor het gebruik van ad-hocdiensten. AI-bewuste beveiligingscontroles worden overigens best geïntegreerd in de GRC-aanpak van de organisatie: governance, risico en compliance.
Training en sensibilisering zijn bij dit alles cruciaal, aldus Golan. “Want beleid is waardeloos als medewerkers het niet begrijpen.”
Lees ook: Anthropic lanceert nieuw AI-platform voor samenwerking binnen bedrijven