BLOG – Afgelopen week werd DeepSeek gelanceerd, de gloednieuwe ai-chatbot van Chinese afkomst die veel efficiënter én goedkoper lijkt dan zijn Amerikaanse tegenhangers. DeepSeek is in een relatief korte periode superpopulair geworden en massaal gedownload.
Vorige week werd DeepSeek echter slachtoffer van een cyberaanval. Zo was het onder meer niet meer mogelijk om in te loggen. De storingen op maandag zijn inmiddels opgelost maar het waren de langste in ongeveer drie maanden en vielen samen met de explosieve populariteit van deze nieuwe ai-dienst. Maar nog erger dan die storing is de breach die in onlangs is ontdekt. Hierbij is extreem gevoelige informatie (waaronder chathistorie, beveiligingssleutels en backend-data) gelekt.
Wake-upcall
Genoemd incident benadrukt een fundamenteel probleem: ontwikkelaars van ai negeren permanent beveiligingsissues. Deze casus rondom DeepSeek zou een wake-upcall moeten zijn. De gehele industrie moet security niet langer als bijzaak beschouwen maar cybersecurity vanaf de ontwerpfase van ai-modellen moeten integreren. Als ai-bedrijven deze ‘gaten’ niet aanpakken, kunnen we dit soort aanvallen op grote schaal zien terugkeren.
Ontwikkelaars van ai negeren permanent beveiligingsissue
Daarbovenop: de aanpak van DeepSeek op het gebied van dataprivacy is zorgwekkend. In tegenstelling tot OpenAI dat (hoewel niet perfect) is toegewijd aan privacy en anonimisering, verzamelt en bewaart DeepSeek enorme hoeveelheden gebruikersgegevens in China, zonder duidelijke maatregelen om data te anonimiseren. Dat vormt een aanzienlijk risico; niet alleen vanuit securityperspectief, maar ook met betrekking tot mogelijk misbruik en datalekken zoals nu is gebleken, regelgevende kwesties en het algemene vertrouwen in ai-systemen.
Concluderend: beveiliging van en rondom ai is niet langer optioneel. Organisaties die dit soort modellen ontwikkelen, moeten security vanaf dag één serieus nemen. Privacyregelgeving moet rekening houden met de realiteit van cyberverdediging én de industrie als geheel moet stoppen met het achter de feiten aanlopen als het om ai-security gaat.
Als we dit nu niet oplossen, bieden we aanvallers een (nog) groter speelveld.
Rob T. Lee is chief of research bij Sans Institute
Cybersecurity en dataprivacy lijken me twee uitersten van een wip want Edward Snowden onthulde eerder de surveillance programma’s die weinig waarde hechten aan privacy. Desondanks vertrouwen we Amerikaanse diensten en wantrouwen Chinese varianten die uiteindelijk min of meer hetzelfde doen. Wat betreft het Juvenalis dilemma in regelgevende kwesties wordt het veiligheidsframe van cybersecurity opmerkelijk namelijk vaak misbruikt voor het overtreden van privacywetten. Surveillance programma’s om terrorisme, fraude en cybercriminaliteit te bestrijden klinken sympathieker dan spionerende Chinezen maar eigenlijk gaat het om het criminaliseren van de burger. Want de aflaat van een boete met belachelijke hoge administratiekosten gaat niet om de veiligheid maar om het vullen van de schatkist.
AI models like DeepSeek process vast amounts of sensitive data, and without clear guidelines, companies risk data exposure, compliance violations, and model manipulation. Organizations must: Establish formal AI security policies.
AI models like DeepSeek process vast amounts of sensitive data, and without clear guidelines, companies risk data exposure, compliance violations, and model manipulation. Organizations must: Establish formal AI security policies.
https://palmbeachpropertyappraisers.com