4min Security

Het verborgen AI-risico binnen je bedrijf

Een man met kort zwart haar en een bril lacht. Hij draagt een donker jasje en een gestreept shirt. De achtergrond is effen en lichtgekleurd.
Het verborgen AI-risico binnen je bedrijf

Meer dan de helft van de werknemers maakt gebruik van GenAI-toepassingen om hun productiviteit te verhogen. Naarmate er meer AI-apps beschikbaar komen voor meer gebruiksdoeleinden, is de verwachting dat dit alleen maar toeneemt. Het probleem is dat de meeste van deze GenAI-apps van derden niet zijn doorgelicht of goedgekeurd voor werkdoeleinden, waardoor bedrijven aan grote risico’s worden blootgesteld.

Tegenwoordig zijn er duizenden Generative AI (GenAI) tools op de markt en worden elke maand tientallen nieuwe AI-toepassingen gelanceerd. Waarschijnlijk maakt de helft van alle werknemers daar geregeld gebruik van, aldus onderzoek. Er is echter een reden waarom IT- en InfoSec-teams applicaties van derden, die binnen het ecosysteem van technologieën van hun bedrijf worden gebruikt, moeten checken en goedkeuren.

Ze moeten begrijpen welke apps worden gebruikt, of ze veilig zijn en welke gevoelige bedrijfsgegevens eventueel in deze applicaties terechtkomen. Ze moeten ook kijken hoe de appontwikkelaar omgaat met zaken als kwetsbaarheden en welke controles er zijn om de toegang te beperken. Daarnaast is het belangrijk te controleren of alleen medewerkers toegang hebben tot de informatie die ze nodig hebben om hun werk te doen.

Security-problemen

Het gebruik van niet-goedgekeurde GenAI-toepassingen kan leiden tot een breed scala aan cybersecurity-problemen, van het lekken van data tot malware. Dat komt omdat het bedrijf niet weet wie welke apps gebruikt, welke gevoelige informatie erin terechtkomt en wat er met die informatie gebeurt als die er eenmaal is. Hoewel deze apps een enorm productiviteitsvoordeel bieden, brengen ze serieuze risico’s en gevolgen met zich mee als ze niet veilig worden gebruikt.

Neem bijvoorbeeld marketing teams die een niet-goedgekeurde applicatie gebruiken die AI gebruikt om geweldige beeld- en videocontent te genereren. Wat gebeurt er als het team gevoelige informatie in de app laadt en de details van je vertrouwelijke productlancering uitlekken? Niet het soort “viral” waar je naar op zoek was.

Dit is slechts een voorbeeld van hoe het gebruik van GenAI leidt tot onbedoelde verhoogde risico’s. Echter, het blokkeren van deze technologieën kan het vermogen van een organisatie om concurrentievoordeel te behalen,beperken dus dat is ook de oplossing niet. Bedrijven kunnen – en moeten – de tijd nemen om na te denken over hoe ze hun werknemers in staat kunnen stellen om deze toepassingen veilig toe te passen. Hieronder een aantal overwegingen:

Zichtbaarheid

Je kunt niet iets beschermen als je er niet vanaf weet. Een van de grootste uitdagingen voor IT-teams met niet-goedgekeurde apps is dat het moeilijk is om snel te reageren op beveiligingsincidenten, waardoor de kans op beveiligingsinbreuken toeneemt. Elk bedrijf moet het gebruik van GenAI-apps van derden in de gaten houden en de specifieke risico’s van elke tool begrijpen. Om effectief te kunnen werken, moeten IT-teams niet alleen weten welke tools worden gebruikt, maar ook inzicht hebben in de gegevens die door de bedrijfssystemen circuleren.

Controle

IT-teams moeten een weloverwogen beslissing kunnen nemen over het blokkeren, toestaan of beperken van de toegang tot GenAI-apps van derden, per applicatie of met behulp van risico-gebaseerde of categorische controles. Je wilt bijvoorbeeld alle toegang tot tools voor code-optimalisatie blokkeren voor alle medewerkers, maar ontwikkelaars wel toegang geven tot de optimalisatietool van derden die je informatiebeveiligings-team heeft beoordeeld en goedgekeurd voor intern gebruik.

Gegevensbeveiliging

Delen je teams gevoelige gegevens met de apps? IT-teams moeten het uitlekken van gevoelige gegevens blokkeren om gegevens te beschermen tegen misbruik en diefstal. Dit is vooral belangrijk als je bedrijf gereguleerd is of onderhevig is aan wetgeving op het gebied van datasoevereiniteit. In de praktijk houdt dit in dat de gegevens die naar GenAI-apps worden verzonden gemonitord moeten worden en technische controles moeten worden ingezet om te waarborgen dat gevoelige of beschermde informatie, zoals persoonlijke gegevens of intellectueel eigendom, niet naar deze apps wordt gestuurd.

Bedreigingspreventie

Onder het oppervlak van de GenAI-tools die door teams worden gebruikt, kunnen exploits en kwetsbaarheden op de loer liggen. Het is een aanbevolen best practice om gegevens die vanuit de toepassingen naar je organisatie stromen te bewaken en te controleren op kwaadaardige of verdachte activiteiten.

Enerzijds bieden AI-tools de fantastische mogelijkheid om de productiviteit van werknemers te maximaliseren, een organisatie in staat te stellen de omzet te verhogen en de nettowinst te verbeteren. Anderzijds brengen deze tools ook nieuwe, complexere risico’s met zich mee dan we ooit eerder hebben ervaren. Het is aan managers en hun IT-teams om hun werknemers in staat te stellen vol vertrouwen AI-tools te gebruiken. Tegelijkertijd moeten ze ervoor zorgen dat deze tools worden beschermd door middel van bewustzijn, zichtbaarheid, controles, gegevensbescherming en bedreigingspreventie. Zodra beveiligingsteams weten wat er wordt gebruikt en op welke manier, kunnen ze lekken van gevoelige gegevens voorkomen en bescherming bieden tegen de bedreigingen die schuilen in onveilige of gecompromitteerde AI-platforms.