Shadow AI verhoogt kosten van datalekken met $670.000 terwijl 97% van de bedrijven basis toegangscontroles negeert, meldt IBM
Shadow AI vormt een probleem van $670.000 dat de meeste organisaties zich niet eens realiseren dat ze het hebben. Het rapport "Cost of a Data Breach 2025" van IBM, dat vandaag is uitgebracht in samenwerking met het Ponemon Institute, onthult dat datalekken die verband houden met ongeoorloofd gebruik van AI-tools door werknemers organisaties gemiddeld $4,63 miljoen kosten. Dit is bijna 16% meer dan het wereldwijde gemiddelde van $4,44 miljoen.
Het onderzoek, gebaseerd op 3.470 interviews bij 600 getroffen organisaties, toont aan hoe snel de adoptie van AI de beveiligingsbewaking inhaalt. Terwijl slechts 13% van de organisaties meldde dat ze AI-gerelateerde beveiligingsincidenten hadden ervaren, ontbraken bij 97% van de getroffen organisaties de juiste toegangscontroles voor AI. Nog eens 8% was niet eens zeker of ze door AI-systemen waren gecompromitteerd.
“De gegevens tonen aan dat er al een kloof bestaat tussen AI-adoptie en toezicht, en dat bedreigingsactoren deze beginnen te exploiteren,” zegt Suja Viswesan, Vice President van Security en Runtime Products bij IBM. “Het rapport onthulde een gebrek aan basis toegangscontroles voor AI-systemen, waardoor zeer gevoelige gegevens blootgesteld worden en modellen kwetsbaar zijn voor manipulatie.”
Shadow AI en de kwetsbaarheid van organisaties
Het rapport toont aan dat 60% van de AI-gerelateerde beveiligingsincidenten resulteerde in gecompromitteerde gegevens, terwijl 31% leidde tot verstoringen in de dagelijkse operaties van een organisatie. Persoonlijk identificeerbare informatie (PII) van klanten werd gecompromitteerd in 65% van de Shadow AI-incidenten. Dit is aanzienlijk hoger dan het wereldwijde gemiddelde van 53%. Een van de grootste zwaktes van AI-beveiliging is governance, waarbij 63% van de getroffen organisaties ofwel geen AI-governancebeleid hebben of deze nog aan het ontwikkelen zijn.
“Shadow AI is als doping in de Tour de France; mensen willen een voorsprong zonder de lange termijn gevolgen te realiseren,” vertelde Itamar Golan, CEO van Prompt Security. Zijn bedrijf heeft meer dan 12.000 AI-apps in kaart gebracht en detecteert dagelijks 50 nieuwe.
VentureBeat blijft zien dat de handelswijze van tegenstanders sneller evolueert dan de huidige defensies tegen software- en modelleveringsketenaanvallen. Het is dan ook niet verrassend dat het rapport ontdekte dat leveringsketens de primaire aanvalsvector zijn voor AI-beveiligingsincidenten, waarbij 30% te maken had met gecompromitteerde apps, API's of plug-ins. Zoals het rapport stelt: “Compromittering van de leveringsketen was de meest voorkomende oorzaak van AI-beveiligingsincidenten. Beveiligingsincidenten die verband hielden met AI-modellen en applicaties waren divers, maar één type claimde duidelijk de hoogste positie: compromittering van de leveringsketen (30%), wat gecompromitteerde apps, API's en plug-ins omvat.”
Wapen-AI neemt toe
Elke vorm van gewapende AI, inclusief LLM's die zijn ontworpen om handelsvaardigheden te verbeteren, blijft zich versnellen. Zestien procent van de datalekken houdt nu in dat aanvallers AI gebruiken, voornamelijk voor door AI gegenereerde phishing (37%) en deepfake-aanvallen (35%). Modellen zoals FraudGPT zijn voorbeelden van deze trend. Het is duidelijk dat de technologie zich snel ontwikkelt en dat de risico's voor organisaties toenemen naarmate ze meer afhankelijk worden van AI.
De gevolgen van deze bevindingen zijn groot. Organisaties zullen niet alleen hun beveiligingsmaatregelen moeten herzien, maar ook hun benadering van AI-governance en toezicht. Het is cruciaal dat bedrijven niet alleen de voordelen van AI benutten, maar ook de risico's begrijpen en mitigeren. Het is een noodzaak in de huidige digitale omgeving om voorbereid te zijn op de uitdagingen die Shadow AI met zich meebrengt.
Het blijven monitoren en verbeteren van beveiliging is essentieel, net als het opleiden van personeel over de risico's van ongeoorloofd AI-gebruik. Dit zal helpen om de kloof tussen adoptie en toezicht te verkleinen en organisaties beter te beschermen tegen de opkomende dreigingen van Shadow AI.
Vertaald met ChatGPT gpt-4o-mini
