Stel beleid op om de cybersecurityrisico’s van AI het hoofd te bieden
De meeste bedrijven maken inmiddels al gebruik van een op AI-gebaseerde tool of zijn dat van plan dit snel te doen. Recent onderzoek toont aan dat bijna tweederde van de bedrijven van plan is om AI-technologie uiteindelijk te integreren in hun cybersecuritystrategie.
De voordelen van AI zijn bekend: hogere productiviteit, snelle en nauwkeurige data-analyse en meer tijd voor werknemers om zich te focussen op strategische taken. Maar er kleven ook risico’s aan het gebruik van AI – ook voor cybersecurity. Dit komt doordat AI-systemen vaak enorme hoeveelheden zeer gevoelige informatie analyseren en opslaan. Als deze informatie wordt gecompromitteerd door een aanvaller, is de kans groot dat het uitlekt.
Met een goed AI-beleid, waarin nauwkeurig staat beschreven hoe en wanneer deze technologie kan worden gebruikt door werknemers, kunnen sommige van deze risico’s worden beperkt. Zo kunnen bedrijven AI veilig integreren in hun bestaande strategie, zonder de cybersecurity in gevaar te brengen.
De cyberrisico’s van het gebruik van AI
AI-gestuurde ontwikkeltools worden vaak getraind met data uit publieke bronnen, waarvan de security niet altijd op de eerste plaats staat. Omdat AI-modellen in principe net zo goed zijn als de data waarmee ze zijn getraind, is de code die deze tools genereren mogelijk ook niet veilig. Een aanvaller hoeft maar een klein beetje broncode aan te tasten of te wijzigingen en de uitvoer van het systeem kan worden misbruikt om schadelijke code te genereren of om het systeem nutteloos te maken.
Naarmate AI-systemen steeds meer worden geïntegreerd in dagelijkse werkzaamheden, neemt ook de hoeveelheid gevoelige data toe waarmee ze te maken hebben – of het nu gaat om personeelsgegevens of vertrouwelijke bedrijfsdocumenten. Zonder goede toegangscontroles, zoals encryptie of multi-factor authenticatie, lopen bedrijven het risico dat aanvallers toegang verkrijgen tot deze systemen en data misbruiken voor persoonlijk of financieel gewin. Tegelijkertijd kunnen bedrijven hierdoor reputatieschade oplopen.
In een onderzoek van Arctic Wolf geeft 40% van de bedrijven aan dat hun teams niet beschikken over het technische personeel of de skills die nodig zijn om AI-oplossingen goed in te zetten. Hierdoor lopen deze bedrijven het risico dat werknemers onbedoeld gevoelige informatie verkeerd gebruiken of lekken. Bedrijven die snelheid belangrijker vinden dan nauwkeurigheid bij het toepassen van AI, zijn daarom al snel een aantrekkelijk doelwit voor aanvallers en maken zelf ook meer fouten met AI. Hoe kunnen deze bedrijven zichzelf hiertegen beschermen?
Zorg voor helder AI-beleid
Hoewel er verschillende manieren zijn waarop bedrijven hun securityrisico's kunnen beperken, kan het opstellen van helder AI-beleid helpen bij het beheren en controleren van de toegang tot deze systemen en het type en de hoeveelheid data die wordt ingevoerd.
Een effectief AI-beleid moet duidelijk definiëren wat de verantwoordelijkheden van werknemers zijn bij het gebruik van AI-tools. Hiernaast moet het duidelijk maken welke typen AI-modellen werknemers mogen gebruiken en de taken waarvoor ze deze technologie wel en niet mogen gebruiken. Daarnaast kan het zinvol zijn als werknemers vastleggen waarvoor ze AI hebben gebruikt.
In het beleid moet ook worden beschreven welke data gedeeld mogen worden bij het gebruik van openbare AI-tools zoals ChatGPT. Er kan zelfs worden overwogen om werknemers te verplichten om eerst toestemming te vragen om gevoelige data in dit soort AI-tools in te voeren. Dit kan helpen om het type en de hoeveelheid data die in deze tools worden ingevoerd te controleren en het risico op een inbreuk te verkleinen.
Het is essentieel dat het securityteam betrokken wordt bij het ontwikkelen van dit soort AI-beleid. Zij zullen een goed beeld hebben van de specifieke risico’s die het gebruik van AI met zich mee kan brengen, de mogelijke gebreken in de security en de noodzakelijke voorzorgsmaatregelen die genomen moeten worden. Zo weet een organisatie zeker dat de grootste dreigingen van tevoren zijn vastgesteld en hoe deze aangepakt kunnen worden.
Conclusie
Nu steeds meer bedrijven gebruik willen maken van AI, mogen de cybersecurityrisico’s die dit met zich meebrengt niet worden vergeten. Met een goed AI-beleid kunnen bedrijven duidelijke richtlijnen opstellen voor veilig en verantwoord AI-gebruik en de risico's van de technologie voor hun organisatie identificeren en beperken.
Door: Dan Schiappa (foto), Chief Product Officer bij Arctic Wolf
