Het inzetten van generatieve AI: het onderzoeken van de cybersecurity-implicaties van generatieve AI-hulpmiddelen

Het is redelijk om te zeggen dat generatieve AI nu de aandacht heeft getrokken van elke boardroom en zakenleider in het land. Eens een randtechnologie die moeilijk te hanteren was, laat staan meester, zijn de deuren naar generatieve AI nu wijd opengegooid dankzij toepassingen zoals ChatGPT of DALL-E. We zien nu een algehele omarming van generatieve AI in alle industrieën en leeftijdsgroepen, terwijl medewerkers manieren vinden om de technologie voor hun eigen voordeel te gebruiken.

Een recente onderzoek gaf aan dat 29% van de Gen Z, 28% van de Gen X en 27% van de millennials nu generatieve AI-hulpmiddelen gebruiken als onderdeel van hun dagelijkse werk. In 2022 was de grootschalige adoptie van generatieve AI 23%, en dat cijfer wordt verwacht te verdubbelen naar 46% in 2025.

Generatieve AI is een embryonale maar snel evoluerende technologie die getrainde modellen gebruikt om originele inhoud in verschillende vormen te genereren, van geschreven tekst en afbeeldingen tot video’s, muziek en zelfs softwarecode. Met behulp van grote taalmodellen (LLM’s) en enorme datasets kan de technologie onmiddellijk unieke inhoud creëren die bijna niet van menselijk werk te onderscheiden is en in veel gevallen nauwkeuriger en overtuigender is.

Echter, terwijl bedrijven steeds vaker generatieve AI gebruiken om hun dagelijkse operaties te ondersteunen en medewerkers snel zijn omarmd, heeft het tempo van adoptie en het gebrek aan regelgeving aanzienlijke cybersecurity- en regelgevingsproblemen opgeleverd.

Volgens een onderzoek van de algemene bevolking zijn meer dan 80% van de mensen bezorgd over de beveiligingsrisico’s die worden veroorzaakt door ChatGPT en generatieve AI, en 52% van de ondervraagden wil dat de ontwikkeling van generatieve AI wordt stopgezet totdat regelgeving kan bijbenen. Deze bredere sentiment is ook door bedrijven zelf geëchoed, met 65% van de senior IT-leiders die geen frictieloze toegang tot generatieve AI-hulpmiddelen willen goedkeuren vanwege beveiligingsproblemen.

Generatieve AI is nog een onbekende onbekende

Generatieve AI-hulpmiddelen voeden zich met data. Modellen, zoals die gebruikt worden door ChatGPT en DALL-E, worden getraind op externe of vrij beschikbare data op internet, maar om het meeste uit deze hulpmiddelen te halen, moeten gebruikers zeer specifieke data delen. Vaak, wanneer gebruikers hulpmiddelen zoals ChatGPT aanzetten, delen ze gevoelige bedrijfsinformatie om accurate, goed afgeronde resultaten te krijgen. Dit creëert veel onbekenden voor bedrijven. Het risico van ongeautoriseerde toegang of onbedoelde openbaarmaking van gevoelige informatie is “ingebakken” bij het gebruik van vrij beschikbare generatieve AI-hulpmiddelen.

Dit risico is op zich niet noodzakelijkerwijs slecht. Het probleem is dat deze risico’s nog niet goed zijn onderzocht. Tot nu toe is er geen echte bedrijfsimpactanalyse van het gebruik van breed beschikbare generatieve AI-hulpmiddelen, en wereldwijde juridische en regelgevingskaders rondom generatieve AI-gebruik hebben nog geen enkele vorm van volwassenheid bereikt.

Regelgeving is nog een werk in uitvoering

Regulators zijn al bezig met het evalueren van generatieve AI-hulpmiddelen in termen van privacy, gegevensbeveiliging en de integriteit van de data die ze produceren. Echter, zoals vaak het geval is met opkomende technologie, ligt de regelgevingsapparatuur om de technologie te ondersteunen en te reguleren een aantal stappen achter. Terwijl de technologie door bedrijven en medewerkers overal wordt gebruikt, zijn de regelgevingskaders nog steeds op de tekentafel.

Dit creëert een duidelijk en aanwezig risico voor bedrijven, dat op dit moment niet zo serieus wordt genomen als het zou moeten zijn. Executives zijn natuurlijk geïnteresseerd in hoe deze platforms materiaal bedrijfsvoordeel zullen introduceren, zoals kansen voor automatisering en groei, maar risicomanagers vragen zich af hoe deze technologie zal worden gereguleerd, wat de juridische implicaties zullen zijn en hoe bedrijfsgegevens kunnen worden gecompromitteerd of blootgesteld. Veel van deze hulpmiddelen zijn vrij beschikbaar voor elke gebruiker met een browser en een internetverbinding, dus terwijl ze wachten tot regelgeving bijbenen, moeten bedrijven beginnen met zeer zorgvuldig nadenken over hun eigen “huisregels” rondom generatieve AI-gebruik.

De rol van CISO’s in het reguleren van generatieve AI

Met regelgevingskaders die nog ontbreken, moeten Chief Information Security Officers (CISO’s) een cruciale rol spelen in het beheren van het gebruik van generatieve AI binnen hun organisaties. Ze moeten weten wie de technologie gebruikt en met welk doel, hoe ze ondernemingsinformatie kunnen beschermen wanneer medewerkers interactie hebben met generatieve AI-hulpmiddelen, hoe ze de beveiligingsrisico’s van de onderliggende technologie kunnen beheren en hoe ze de beveiligingstrade-offs kunnen afwegen met de waarde die de technologie biedt.

Dit is geen eenvoudige taak. Gedetailleerde risicoanalyses moeten worden uitgevoerd om zowel de negatieve als de positieve resultaten te bepalen als gevolg van het eerst, het inzetten van de technologie in een officiële capaciteit, en ten tweede, het toelaten van medewerkers om vrij beschikbare hulpmiddelen te gebruiken zonder toezicht. Gezien de gemakkelijke toegang tot generatieve AI-toepassingen, moeten CISO’s zorgvuldig nadenken over het bedrijfsbeleid rondom hun gebruik. Moeten medewerkers vrij zijn om hulpmiddelen zoals ChatGPT of DALL-E te gebruiken om hun werk gemakkelijker te maken? Of moet de toegang tot deze hulpmiddelen worden beperkt of gemodereerd op een of andere manier, met interne richtlijnen en kaders over hoe ze moeten worden gebruikt? Een van de problemen is dat zelfs als interne gebruiksrichtlijnen zouden worden gemaakt, gezien het tempo waarin de technologie evolueert, ze mogelijk verouderd zullen zijn tegen de tijd dat ze zijn afgerond.

Een manier om dit probleem aan te pakken kan zijn om de focus te verleggen van generatieve AI-hulpmiddelen zelf en in plaats daarvan te focussen op gegevensclassificatie en -bescherming. Gegevensclassificatie is altijd een belangrijk aspect geweest van het beschermen van gegevens tegen inbreuken of lekken, en dat geldt ook voor dit specifieke gebruik. Het gaat om het toewijzen van een niveau van gevoeligheid aan gegevens, wat bepaalt hoe ze moeten worden behandeld. Moeten ze worden versleuteld? Moeten ze worden geblokkeerd om te worden geïsoleerd? Moeten ze worden gemeld? Wie moet toegang hebben tot ze en waar is het toegestaan om ze te delen? Door te focussen op de stroom van gegevens, in plaats van het hulpmiddel zelf, zullen CISO’s en beveiligingsfunctionarissen een veel grotere kans hebben om enkele van de risico’s te mitigeren.

Net als alle opkomende technologie is generatieve AI zowel een zegen als een risico voor bedrijven. Terwijl het nieuwe mogelijkheden biedt, zoals automatisering en creatieve concepten, introduceert het ook complexe uitdagingen rond gegevensbeveiliging en het beschermen van intellectueel eigendom. Terwijl regelgevings- en juridische kaders nog steeds worden uitgewerkt, moeten bedrijven zelf de balans vinden tussen kansen en risico’s, door het implementeren van hun eigen beleidscontroles die hun algehele beveiligingshouding weerspiegelen. Generatieve AI zal bedrijven vooruit helpen, maar we moeten voorzichtig zijn om één hand aan het stuur te houden.