De lancering van ChatGPT in november 2022 heeft veel stof doen opwaaien. In de afgelopen vijf maanden is de generatieve AI (kunstmatige intelligentie)-chatbot het onderwerp geworden van voortdurende discussies over de maatschappelijke impact ervan, maar ook over de impact ervan op het algemene security-landschap.
Voor security-professionals kan het gebruik van AI een krachtig hulpmiddel zijn om ervoor te zorgen dat de infrastructuur van hun organisatie bestand is tegen eventuele nieuwe dreigingen. Om deze dreigingen voor te blijven, moeten we verder kijken dan reactieve oplossingen die de nieuwe en geavanceerde technieken van cybercriminelen niet kunnen bijhouden.
ChatGPT integreren in strategieën en processen voor cybersecurity
Gezien de populariteit van ChatGPT en de impact ervan op consumenten wereldwijd, kijken security-managers steeds vaker naar dergelijke tools om de bedrijfsvoering te verbeteren. Hoewel het een krachtig systeem is, is het belangrijk om na te gaan hoe AI veilig en doeltreffend in de workflows van een organisatie kan worden ingepast.
Over het algemeen hebben gebruikers positieve ervaringen met de AI-chatbot. De maker van de bot, OpenAI, heeft echter verschillende voorwaarden en security-richtlijnen gepubliceerd die gebruikers waarschuwen dat ChatGPT momenteel geen fact-checking biedt en dat men de gegeven antwoorden niet blindelings moet vertrouwen.
Volgens het Duitse Fraunhofer Gesellschaft moet een AI aan verschillende criteria voldoen om als betrouwbaar te worden aangemerkt. Deze omvatten geldigheid, betrouwbaarheid, verantwoordingsplicht, transparantie en eerlijkheid. ChatGPT kan veilig worden ingezet als de leidinggevenden en security-teams van een bedrijf samenwerken om de risico’s te beheersen. Vanuit menselijk perspectief is het belangrijk om te begrijpen hoe generatieve AI-chatbots kunnen worden misbruikt en hoe men zich daartegen kan beschermen.
Cybercriminelen profiteren ook van AI
Onderzoek heeft aangetoond dat ChatGPT door kwaadwillenden kan worden gebruikt om ‘on-the-fly’ malware te maken. Dit is in strijd met de richtlijnen van OpenAI, maar er zijn aanwijzingen dat kwaadwillenden actief werken aan het omzeilen van de beperkingen van OpenAI door hun technieken te delen op fora van het dark web. Als de beperkingen worden opgeheven, kan de chatbot worden gebruikt door minder ervaren cybercriminelen en andere opportunisten om bestaande malwarecode te maken of te verbeteren.
Vanwege het op dialogen gebaseerde karakter van ChatGPT vermoeden securitydeskundigen dat de AI-bot gebruikt zal worden om goed geschreven phishing-e-mails te maken. Tot nu toe konden phishing-e-mails worden herkend aan slechte grammatica, spelfouten en een vreemde toon. Mochten kwaadwillenden generatieve AI gebruiken om hun social engineering content te maken, dan zouden ze niet alleen meer phishing e-mails kunnen maken, maar ze ook overtuigender kunnen doen klinken.
In zijn huidige versie is ChatGPT net zo doelgericht als vele andere platforms die op de markt beschikbaar zijn. Bedrijven kunnen potentiële risico’s van generatieve AI-tools tegengaan met een mensgerichte aanpak. Dit betekent dat werknemers in opleidings- en bewustmakingsprogramma’s moeten leren hoe bots zoals ChatGPT werken. En ook niet onbelangrijk: hoe AI-gegenereerde content kan worden herkend en hoe op identiteit gebaseerde security-maatregelen worden genomen.
Veilig gebruik vanuit een procesperspectief
Steeds meer managers beseffen dan ook dat medewerkers instructies nodig hebben in het veilig gebruiken van ChatGPT en hoe de risico’s die daarmee gepaard gaan kunnen worden beperkt. Om gegevens beter te beschermen, investeren veel organisaties in de ontwikkeling van ChatGPT-specifieke beleidslijnen en processen. Dit zijn aanbevelingen en vereisten met betrekking tot bijvoorbeeld het beoordelen van code, brainstormen, maken van content, bewerken en onderzoek. Hierin kan ook staan hoe bedrijven de kwaliteitscontrole uitvoeren op content die met behulp van generatieve AI is gemaakt en zijn de eventuele contractuele risico’s genoemd voor het gebruik van generatieve AI-tools van derden.
De gegevens die in de AI worden ingevoerd, kunnen daarnaast intellectueel eigendom, handelsgeheimen of vertrouwelijke informatie bevatten. Voor de door de AI gegenereerde antwoorden is immers geen toestemming nodig van de eigenaren van de gegevens. Gebruikers moeten beslissen of zij het recht hebben om bepaald materiaal te gebruiken of te publiceren. Bij het gebruik van gegevens van de AI-bot moeten ook de regionaal geldende wetten en wettelijke voorschriften in acht worden genomen.
Wat ChatGPT zo aantrekkelijk maakt, is de snelheid en de schijnbare complexiteit van de antwoorden bij het invoeren van vragen en opdrachten. Dit kan leiden tot een zekere mate van vertrouwen in de onderliggende technologie. Als bedrijven deze technologie willen omarmen, moeten zij de afhankelijkheden bij het leveren van de output begrijpen. Deze omvatten de volgende gebieden:
- Standaardisatie van de gegevensuitvoer: Het is mogelijk dat alle door ChatGPT gegenereerde inhoud qua structuur en schrijfstijl vergelijkbaar is. De productie en verspreiding van ChatGPT-output kan leiden tot eenzijdige perspectieven die gebruikers ontmoedigen om verdere standpunten te verkennen en te onderzoeken. Ze worden ook ontmoedigd om creatief te schrijven of innovatieve oplossingen voor problemen te vinden.
- Mogelijke kosten: Hoewel de kosten die aan tools zoals ChatGPT verbonden zijn nu aantrekkelijk lijken, is dat in de toekomst misschien niet het geval. Wanneer men afhankelijk wordt van opkomende oplossingen van derden, is het belangrijk om rekening te houden met de kans dat de kosten in de toekomst onverwacht kunnen stijgen. Onlangs kondigde de CEO van OpenAI nog aan dat een professionele versie van de tool betere prestaties voor abonnees zal bieden.
Conclusie
De voordelen van ChatGPT zijn enorm. Generatieve AI-tools zoals ChatGPT hebben bewezen dat ze menselijke taken aanvullen en de productie van content efficiënter maken. Bedrijven proberen de voordelen van ChatGPT te maximaliseren en te gebruiken als concurrentievoordeel. Het gebruik van generatieve AI bevindt zich echter nog in het beginstadium van grootschalige toepassing. Tijdens integratie van ChatGPT in de cybersecuritystrategie en -processen van een organisatie moeten managers rekening houden met de verschillende risico’s voor mensen, processen en technologie. Met de juiste security-maatregelen kunnen generatieve AI-tools worden gebruikt om bestaande security-infrastructuren te ondersteunen.
Vanuit technologisch oogpunt is het voor bedrijven belangrijk om duidelijk te zijn over wat AI-tools zoals ChatGPT wel en niet kunnen. Generatieve AI kan enorme hoeveelheden gegevens analyseren en patronen vinden om antwoorden te genereren, maar het kan niet redeneren, kritisch denken of begrijpen wat het beste is voor het bedrijf. Het kan echter wel een krachtige aanvulling zijn op menselijke intelligentie. De menselijke component in het veilig gebruiken van ChatGPT blijft essentieel voor bedrijven die meer gebruik willen maken van AI.
Lees ook:
- Waar moet een effectief incident response plan aan voldoen?
- Waarom de publieke sector steeds vaker doelwit is van cyberaanvallen
