BLOG – Nu de hype rond de plotselinge en schijnbaar baanbrekende opkomst van DeepSeek is afgenomen, blijven organisaties achter met vragen over het gebruik van generatieve ai (gen-ai) op de werkvloer. De belangrijkste kwestie is of Chinese chatbot een veiligheidsrisico vormt of dat het simpelweg de risico’s van het toenemende gebruik van ai-chatbots en gebruiksvriendelijke grote taalmodellen (llm’s) benadrukt. Het antwoord ligt ergens in het midden. Hoewel DeepSeek wellicht zijn eigen problemen heeft met privacy, security en censuur, staat deze hier zeker niet alleen in. Alle gen-ai-modellen en llm’s brengen een risico met zich mee, vooral als er geen volledig bewustzijn is van hoe vaak, waar en waarom ze worden gebruikt. Omdat veel van deze tools niets meer vereisen dan een webbrowser, is het moeilijk te begrijpen welke soorten informatie er worden verzonden en ontvangen tussen werknemers en een verschillend aantal applicaties. Als de snelle opkomst van DeepSeek ons iets kan leren, dan is het wel de snelheid waarmee krachtige applicaties de markt kunnen bereiken en een brede acceptatie kunnen verwerven. Als de controles niet snel genoeg zijn om bij te blijven, dan neemt de kans toe om blootgesteld te worden aan een wereld van risico’s die in de schaduw schuilen. BesefSchaduw-ai is het gebruik van ai-tools buiten de controle en machtigingen van de organisatie, vaak zonder het besef dat dit gebeurt. Hoewel sommige werknemers hun gebruik van deze applicaties opzettelijk maskeren, gebruiken veel anderen ze openlijk en te goeder trouw, vaak zonder zich bewust te zijn van de risico’s. Soms zijn ze überhaupt niet bewust dat ze met gen-ai bezig zijn. Vraag de gemiddelde werknemer om de ai-applicaties te noemen die ze elke dag gebruiken en ze zullen misschien enkel ChatGPT noemen. Toch zijn er veel meer in algemeen gebruik, van Microsofts Copilot en Googles Gemini tot Claude, Grammarly, Otter en bepaalde tools in Canva en GitHub. Deze applicaties bieden veel voordelen en helpen werknemers sneller en efficiënter te werken. Toch is het cruciaal dat er bewustzijn binnen het bedrijf is over wat de werknemers delen met deze applicaties. Ook is het zaak dat degenen die deze toepassingen gebruiken, weten hoe ze werken, hoe ze met data omgaan en de vele potentiële risico’s die ze voor de organisatie vormen. VizierHet is niet gek dat DeepSeek een doelwit werd voor cybercriminelen, zodra het bekend werd in de wereld. Elke applicatie die data opslaat en analyseert, staat midden in het vizier van dreigingsactoren. Tenzij er grip is op het gebruik van dit soort tools, wordt er waarschijnlijk pas te laat ontdekt hoeveel van de algemene data van eigen data afstamt. Schaduw-ai leidt tot meerdere risico’s: BeveiligingslekkenWanneer informatie van een bedrijf wordt gedeeld met een onbevoegde derde partij, is niet bekend hoe deze wordt opgeslagen, verwerkt of geanalyseerd. Alleen al aan een llm vragen om een e-mail naar een klant op te stellen of een call samenvatten, kan resulteren in het blootleggen van gevoelige data van het bedrijf of de klanten. Data-integriteitAi maakt fouten. Wanneer werknemers ChatGPT en andere tools klakkeloos aannemen, lopen ze het risico authenticiteit te verlenen aan onjuiste informatie, wat de service van het bedrijf beïnvloedt en de reputatie schaadt. ComplianceNaast dat data risico lopen op blootstelling, kan het delen van informatie met schaduw-ai-applicaties, non-disclosure agreements, de Algemene Verordening Gegevensbescherming (AVG) en tal van andere wetgeving rondom dataprivacy in gevaar brengen. Interne bedreigingenGebruikers die code, tekst of afbeeldingen kopiëren en plakken van ongeautoriseerde tools, kunnen kwetsbaarheden, malware en meer in de systemen en netwerken van de organisatie introduceren. Vertrouwen en betrouwbaarheidHet gebruik van schaduw-ai-services kan in strijd zijn met het openbare beleid van het bedrijf met betrekking tot dergelijke tools. Dit kan problemen veroorzaken met vertrouwen en authenticiteit als dit onder de aandacht komt van klanten, prospects of zakenpartners. WondermiddelEr is geen wondermiddel voor het beveiligen van het gebruik van schaduw-ai. Elke effectieve cyberverdediging moet bestaan uit meerdere lagen en mensen, processen en technologie combineren. Dit betekent het implementeren van mensgerichte toegangs- en databeheermaatregelen, naast een robuust intern beleid en ai-governance-boards voor toezicht en begeleiding. De eerste stap is inzicht krijgen in het schaduw-ai-landschap. Met gespecialiseerde dlp-tools wordt het gebruik van meer dan zeshonder gen-ai-sites per gebruiker, groep of afdeling gevolgd, toegang hebben tot clouddata geïdentificeerd, en e-mail en agenda’s, en het app-gebruik in context met gebruikersrisico gemonitord. Een uitgebreide oplossing stelt het bedrijf in staat om acceptabele beleidsregels voor gen-ai-gebruik af te dwingen, het uploaden of plakken van gevoelige gegevens te blokkeren, gevoelige termen uit ai-prompts te halen en metadata en screenshots vast te leggen voor en na het gebruik van gen-ai-applicaties. Deze controles moeten worden aangevuld met robuuste en voortdurende training van medewerkers. Iedereen in de organisatie moet de potentiële risico’s van schaduw-aibegrijpen, evenals de goedgekeurde processen voor het aanvragen en gebruiken van nieuwe technologieën. Zo geven organisaties hun medewerkers wat ze nodig hebben om hun werk te doen, zonder gevoelige data aan de schaduw te verliezen. Siegfried Huijgen, cybersecurityexpert Benelux Proofpoint
computable
04-11-2025 16:42