BLOG – Nu de hype rond de plotselinge en schijnbaar baanbrekende opkomst van DeepSeek is afgenomen, blijven organisaties achter met vragen over het gebruik van generatieve ai (gen-ai) op de werkvloer. De belangrijkste kwestie is of Chinese chatbot een veiligheidsrisico vormt of dat het simpelweg de risico’s van het toenemende gebruik van ai-chatbots en gebruiksvriendelijke grote taalmodellen (llm’s) benadrukt. Het antwoord ligt ergens in het midden.
Hoewel DeepSeek wellicht zijn eigen problemen heeft met privacy, security en censuur, staat deze hier zeker niet alleen in. Alle gen-ai-modellen en llm’s brengen een risico met zich mee, vooral als er geen volledig bewustzijn is van hoe vaak, waar en waarom ze worden gebruikt. Omdat veel van deze tools niets meer vereisen dan een webbrowser, is het moeilijk te begrijpen welke soorten informatie er worden verzonden en ontvangen tussen werknemers en een verschillend aantal applicaties.
Als de snelle opkomst van DeepSeek ons iets kan leren, dan is het wel de snelheid waarmee krachtige applicaties de markt kunnen bereiken en een brede acceptatie kunnen verwerven. Als de controles niet snel genoeg zijn om bij te blijven, dan neemt de kans toe om blootgesteld te worden aan een wereld van risico’s die in de schaduw schuilen.
Besef
Schaduw-ai is het gebruik van ai-tools buiten de controle en machtigingen van de organisatie, vaak zonder het besef dat dit gebeurt. Hoewel sommige werknemers hun gebruik van deze applicaties opzettelijk maskeren, gebruiken veel anderen ze openlijk en te goeder trouw, vaak zonder zich bewust te zijn van de risico’s. Soms zijn ze überhaupt niet bewust dat ze met gen-ai bezig zijn.
Vraag de gemiddelde werknemer om de ai-applicaties te noemen die ze elke dag gebruiken en ze zullen misschien enkel ChatGPT noemen. Toch zijn er veel meer in algemeen gebruik, van Microsofts Copilot en Googles Gemini tot Claude, Grammarly, Otter en bepaalde tools in Canva en GitHub. Deze applicaties bieden veel voordelen en helpen werknemers sneller en efficiënter te werken. Toch is het cruciaal dat er bewustzijn binnen het bedrijf is over wat de werknemers delen met deze applicaties. Ook is het zaak dat degenen die deze toepassingen gebruiken, weten hoe ze werken, hoe ze met data omgaan en de vele potentiële risico’s die ze voor de organisatie vormen.
Vizier
Het is niet gek dat DeepSeek een doelwit werd voor cybercriminelen, zodra het bekend werd in de wereld. Elke applicatie die data opslaat en analyseert, staat midden in het vizier van dreigingsactoren. Tenzij er grip is op het gebruik van dit soort tools, wordt er waarschijnlijk pas te laat ontdekt hoeveel van de algemene data van eigen data afstamt.
Schaduw-ai leidt tot meerdere risico’s:
- Beveiligingslekken
Wanneer informatie van een bedrijf wordt gedeeld met een onbevoegde derde partij, is niet bekend hoe deze wordt opgeslagen, verwerkt of geanalyseerd. Alleen al aan een llm vragen om een e-mail naar een klant op te stellen of een call samenvatten, kan resulteren in het blootleggen van gevoelige data van het bedrijf of de klanten.
- Data-integriteit
Ai maakt fouten. Wanneer werknemers ChatGPT en andere tools klakkeloos aannemen, lopen ze het risico authenticiteit te verlenen aan onjuiste informatie, wat de service van het bedrijf beïnvloedt en de reputatie schaadt.
- Compliance
Naast dat data risico lopen op blootstelling, kan het delen van informatie met schaduw-ai-applicaties, non-disclosure agreements, de Algemene Verordening Gegevensbescherming (AVG) en tal van andere wetgeving rondom dataprivacy in gevaar brengen.
- Interne bedreigingen
Gebruikers die code, tekst of afbeeldingen kopiëren en plakken van ongeautoriseerde tools, kunnen kwetsbaarheden, malware en meer in de systemen en netwerken van de organisatie introduceren.
- Vertrouwen en betrouwbaarheid
Het gebruik van schaduw-ai-services kan in strijd zijn met het openbare beleid van het bedrijf met betrekking tot dergelijke tools. Dit kan problemen veroorzaken met vertrouwen en authenticiteit als dit onder de aandacht komt van klanten, prospects of zakenpartners.
Wondermiddel
Er is geen wondermiddel voor het beveiligen van het gebruik van schaduw-ai. Elke effectieve cyberverdediging moet bestaan uit meerdere lagen en mensen, processen en technologie combineren. Dit betekent het implementeren van mensgerichte toegangs- en databeheermaatregelen, naast een robuust intern beleid en ai-governance-boards voor toezicht en begeleiding.
De eerste stap is inzicht krijgen in het schaduw-ai-landschap. Met gespecialiseerde dlp-tools wordt het gebruik van meer dan zeshonder gen-ai-sites per gebruiker, groep of afdeling gevolgd, toegang hebben tot clouddata geïdentificeerd, en e-mail en agenda’s, en het app-gebruik in context met gebruikersrisico gemonitord. Een uitgebreide oplossing stelt het bedrijf in staat om acceptabele beleidsregels voor gen-ai-gebruik af te dwingen, het uploaden of plakken van gevoelige gegevens te blokkeren, gevoelige termen uit ai-prompts te halen en metadata en screenshots vast te leggen voor en na het gebruik van gen-ai-applicaties.
Deze controles moeten worden aangevuld met robuuste en voortdurende training van medewerkers. Iedereen in de organisatie moet de potentiële risico’s van schaduw-aibegrijpen, evenals de goedgekeurde processen voor het aanvragen en gebruiken van nieuwe technologieën. Zo geven organisaties hun medewerkers wat ze nodig hebben om hun werk te doen, zonder gevoelige data aan de schaduw te verliezen.
Siegfried Huijgen, cybersecurityexpert Benelux Proofpoint
“een wereld van risico’s die in de schaduw schuilen. ”
nou, de FUD toon is weer gezet.
Het kan nog erger “vaak zonder het besef dat dit gebeurt.”
eeh, zonder besef in een wereld van risico’s in de schaduw..
Het kan verkeren.
Waar eerst nog it als commodity zou gelden, loert nu overal het gevaar.
Alles moest uitbesteed en ineens “is het zaak dat degenen die deze toepassingen gebruiken, weten hoe ze werken, hoe ze met data omgaan en de vele potentiële risico’s die ze voor de organisatie vormen.”
Das best ambitieus na bijv bericht vandaag : https://tweakers.net/nieuws/241124/mijn-uwv-omgeving-onbereikbaar-door-vergeten-certificaatvernieuwing.html
Door welk vizier moet er nou gekeken worden en welke schaduwen achtervolgd ?
Wat is de schaduw waarvan ?
Ik lees iets over meerdere lagen en natuurlijk weer een proprietary oplossing van proofpoint, agentic AI governance.
Moet we nu een bedrijf vertrouwen dat het continu over vage schaduwen heeft ?
Elke technologische vooruitgang brengt risico’s met zich mee. Denk aan e-mail, cloudopslag, BYOD. Allemaal ooit gezien als risicovol maar nu onmisbaar in de bedrijfsprocessen door een voortschrijdend digitalisatie. Dus is de vraag of auteur aan de klassieke kant van risico benadering zit of aan de alternatieve. Want een digitale volwassenheid betekent risico’s systematisch leren beheersen omdat de organisaties die dat niet doen blijven hangen in restrictief beleid. En restricties frustreren gebruikers want die schaduw-AI ontstaat uit frustratie en ambitie.
De geruststellende afsluiter van het artikel klinkt als een belofte maar is in feite een verkoopvoorwaarde die gebaseerd is op de conditionele aanname dat bespioneren van de gebruiker via DLP-tools gerechtvaardigd is. Als dat het fundament is dan staat niet alleen de deur naar de OR wagenwijd open maar ook die naar een fundamenteel debat over vertrouwen, autonomie en digitale volwassenheid.