Shadow AI: De verborgen risico's van generatieve AI op de werkvloer beheersen

Voor veel mensen begon generatieve AI als een persoonlijke experimenten in huis en op persoonlijke apparaten. Tegenwoordig is AI echter diep doorgedrongen in de werkgewoonten, wat zorgt voor productiviteitswinsten, maar ook organisaties blootstelt aan aanzienlijke beveiligingsrisico's. Gevoelige bedrijfsgegevens belanden vaak, al dan niet per ongeluk, in openbare AI-systemen, waardoor IT- en cybersecurity-leiders in een race tegen de klok komen om te reageren.

Zodra vertrouwelijke gegevens door een openbaar AI-hulpmiddel worden verwerkt, kunnen ze deel uitmaken van de trainingsdata van het model en zo andere gebruikers bereiken. In maart 2023 werd gerapporteerd dat een multinationale elektronicafabrikant verschillende incidenten had ervaren waarbij medewerkers vertrouwelijke gegevens, waaronder productbroncode, in ChatGPT invoerden. Generatieve AI-toepassingen, zoals grote taalmodellen, zijn ontworpen om te leren van interacties. Geen enkel bedrijf wil openbare AI-apps trainen met eigen gegevens.

Met het risico om handelsgeheimen of andere waardevolle gegevens te verliezen, werd de standaardaanpak voor veel organisaties het blokkeren van toegang tot generatieve AI-toepassingen. Dit leek bedrijven in staat te stellen de stroom van gevoelige informatie naar niet-goedgekeurde platforms te stoppen, maar het bleek ineffectief en stimuleert risicovol gedrag ondergronds, wat leidt tot een groeiend blinde vlek bekend als "Shadow AI." Medewerkers vinden manieren om te omzeilen door persoonlijke apparaten te gebruiken, gegevens naar privé-accounts te e-mailen of zelfs schermafbeeldingen te maken om deze buiten gecontroleerde systemen te uploaden.

Erger nog, door de toegang te blokkeren, verliezen IT- en beveiligingsleiders het zicht op wat er werkelijk gebeurt, zonder daadwerkelijk de risico's van databeveiliging en privacy te beheersen. Deze stap verstikt innovatie en productiviteitswinst.

Een strategische aanpak voor het aanpakken van AI-risico's

Effectieve mitigatie van de risico's die voortkomen uit het gebruik van AI door medewerkers vereist een veelomvattende aanpak die gericht is op zichtbaarheid, governance en het ondersteunen van medewerkers.

De eerste stap is het verkrijgen van een compleet overzicht van hoe AI-tools binnen de organisatie worden gebruikt. Zichtbaarheid stelt IT-leiders in staat om patronen van medewerkeractiviteit te identificeren, risicovol gedrag (zoals pogingen om gevoelige gegevens te uploaden) te signaleren en de werkelijke impact van het gebruik van openbare AI-apps te evalueren. Zonder deze basiskennis zijn governance-maatregelen gedoemd te falen omdat ze niet ingaan op de werkelijke omvang van de interacties van medewerkers met AI.

Het ontwikkelen van op maat gemaakte beleidslijnen is de volgende cruciale stap. Organisaties moeten algemene verbodsbepalingen vermijden en in plaats daarvan beleidslijnen ontwikkelen die de nadruk leggen op contextbewuste controles. Voor openbare AI-toepassingen kun je browserisolatietechnieken implementeren die medewerkers in staat stellen deze apps voor algemene taken te gebruiken zonder bepaalde soorten bedrijfsgegevens te kunnen uploaden. Als alternatief kunnen medewerkers worden doorgestuurd naar goedgekeurde AI-platforms die vergelijkbare mogelijkheden bieden, zodat ze productief kunnen blijven zonder vertrouwelijke informatie bloot te stellen. Hoewel sommige rollen of teams nuancevere toegang tot specifieke apps kunnen vereisen, kunnen andere sterkere beperkingen nodig hebben.

Om misbruik te voorkomen, moeten organisaties robuuste mechanismen voor gegevensverliespreventie afdwingen die pogingen om gevoelige informatie te delen met openbare of niet-goedgekeurde AI-platforms identificeren en blokkeren. Aangezien per ongeluk openbaarmaking een belangrijke oorzaak is van AI-gerelateerde datalekken, kan het mogelijk maken van real-time DLP-handhaving een vangnet zijn dat de kans op schade voor de organisatie vermindert.

Tenslotte moeten medewerkers worden voorgelicht over de inherente risico's van AI en de beleidsmaatregelen die zijn ontworpen om deze te mitigeren. Training moet praktische richtlijnen benadrukken - wat veilig kan en niet kan worden gedaan met behulp van AI - samen met duidelijke communicatie over de gevolgen van het blootstellen van gevoelige gegevens. Bewustzijn en verantwoordelijkheid gaan hand in hand met technologiegedreven bescherming om je verdedigingsstrategie te completeren.

Balans tussen innovatie en beveiliging

Generatieve AI heeft de manier waarop medewerkers werken en samenwerken fundamenteel veranderd. Het biedt ongekende mogelijkheden voor productiviteit en creativiteit, maar brengt ook nieuwe beveiligingsuitdagingen met zich mee. Om de voordelen van deze technologie te benutten, moeten organisaties een evenwicht vinden tussen het stimuleren van innovatie en het waarborgen van een veilige werkomgeving. Dit vereist een proactieve benadering van risico's en een bereidheid om te investeren in zowel technologie als training. Door een cultuur van bewustzijn en verantwoordelijkheid te creëren, kunnen bedrijven de voordelen van generatieve AI optimaal benutten terwijl ze de risico's effectief beheersen.

Vertaald met ChatGPT gpt-4o-mini