Articles

Gebruik AI, maar wel met mate.

Geschreven door Tijmen Visser | Nov 22, 2023 8:34:14 AM

Artificial Intelligence (AI) is dé oplossing! Waarvoor? Hoor ik je denken. Alles! Er is geen probleem dat we niet kunnen tackelen met behulp van AI. Het kent alleen maar voordelen. Of wellicht toch niet? In deze blog gaan we het hebben over de security & privacy risico’s die komen kijken bij het gebruik van AI.

 

De impact van Artificial Intelligence

Ik zal erkennen dat AI inderdaad veel voordelen met zich meebrengt. Zo ondersteunt het bij het schrijven van blogs (zoals deze), genereert het kunst, inspireert het, levert het input op complexe vraagstukken en nog veel meer. Het gemak en de bereikbaarheid van deze ‘nieuwe’ technologie dragen ongetwijfeld bij aan de hype die eromheen is ontstaan. Zelfs de moderne koelkast wordt verbeterd met AI.

 

Vanuit mijn rol als Chief Information Security Officer (CISO) mis ik - in de ogenschijnlijk oneindige stroom van positiviteit en potentie - een belangrijk nuance. Het gezegde luidt: “elk voordeel heeft zijn nadeel” en AI is geen uitzondering. Onder al deze hype liggen een aantal serieuze Security & Privacy risico’s die niet onderschat dienen te worden. Laten we het daar eens over hebben.

 

Voordat we verder gaan, laat mij een ding duidelijk stellen: ik ben niet tegen AI. In tegendeel; ik gebruik het zelf ook. Dat betekent echter niet dat het maar te pas en te onpas in elke applicatie gepropt moet worden. Er zijn ook momenten dat ik er bewust voor kies geen AI te gebruiken, hoewel je tegenwoordig al niet meer zeker kunt stellen dat het niet (stiekem) op de achtergrond meedraait. Waarom kies ik er soms voor om AI uit de weg te gaan?

 

  • Groter aanvalsoppervlak
AI-diensten kunnen nieuwe aanvalsvectoren introduceren voor organisaties, waardoor mogelijk gevoelige gegevens worden blootgelegd of onbevoegden toegang krijgen tot systemen. Denk bijvoorbeeld aan (cyber)criminelen die met AI de LinkedIn-profielen van gehele organisaties uitlezen en vervolgens per medewerker zeer specifieke spearphishing e-mails opstellen. Dit alles in foutloos Engels of Nederlands, afgestemd op de specifieke belangstelling van de ontvanger. Ook bedrijfsdata die wordt gedeeld met AI kan leiden tot een breuk in vertrouwelijkheid. Zo heeft Samsung recent het gebruik van Chat-GPT verboden na een datalek.

  • Data Privacy
Het gebruik van AI kan betekenen dat gegevens worden gedeeld met externe aanbieders, waardoor privacyproblemen kunnen ontstaan met betrekking tot gegevensverwerking en naleving van de AVG/GDPR. Persoonsgegevens die worden gedeeld met een AI-model worden vaak meegenomen in de trainingscyclus van het model en kunnen zelfs op een later moment terug worden gegeven in een antwoord naar een andere gebruiker. Zo heeft Italië Chat-GPT tijdelijk verboden, wat OpenAI forceerde om wijzigingen aan te brengen in hun privacyverklaring.

  • Gebrek aan transparantie
    Sommige AI-modellen, met name modellen gebaseerd op deep learning, kunnen worden beschouwd als black boxes, waardoor het moeilijk is om te begrijpen hoe ze tot hun beslissingen komen. Dit verhoogt het risico op mogelijke vooroordelen en ethische problemen en maakt deze moeilijker te identificeren. Ook zijn feitelijke fouten lastiger te identificeren voor gebruikers. Zo maakte Google Bard in zijn eerste demo meteen een fout.

 

Bron: Google

 

Artificial Intelligence-beleid

Om bovenstaande risico’s (deels) te mitigeren hebben we er binnen Avisi voor gekozen om een AI beleid op te stellen, als onderdeel van ons Information Security Management System (ISMS). Dat klinkt heel gewichtig maar dat hoeft het niet te zijn. Je zal merken: met gezond verstand kom je een heel eind. Wel hebben we hiervoor een aantal principes in acht genomen:

 

  • Evaluatie en selectie van leveranciers
    Beoordeel grondig de beveiligingspraktijken, het privacybeleid en de naleving van regelgeving van potentiële AI-leveranciers. Zorg ervoor dat ze over robuuste beveiligingsmaatregelen beschikken, zoals versleuteling, toegangscontroles en regelmatige beveiligingsaudits.

  • Gegevensverwerking en privacy
    Definieer duidelijke richtlijnen voor gegevensverwerking en -opslag met externe AI-aanbieders. Implementeer technieken voor het anonimiseren en pseudonimiseren van gegevens om de privacy van gebruikers te beschermen. Leg deze richtlijnen en eisen vast in uitgebreide (verwerkers)overeenkomsten waarin expliciet wordt ingegaan op beveiligings- en privacyvereisten.

  • Bewustzijn en training van werknemers

Informeer medewerkers over de risico's van AI-integratie en benadruk best practices voor veilige ontwikkeling, gegevensverwerking en naleving van het informatiebeveiligingsbeleid.

 

De kernprincipes vanuit ons AI beleid zijn op te splitsen in input (de data waarvan je het AI-model voorziet) en output (de respons die je uiteindelijk terugkrijgt). Voor de input hebben we afgesproken geen persoonsgegevens in te voeren en geen vertrouwelijke (bedrijfs)informatie te delen. Bij afwijking hiervan, borgen we schriftelijke toestemming. Voor de output hebben we de medewerker in kwestie verantwoordelijk gesteld. Denk aan het beoordelen en eventueel corrigeren van fouten of onvolledigheden. Op deze laagdrempelige manier kun je een grote stap maken om bovenstaande risico’s voor een groot deel te mitigeren.

 

Conclusie

De integratie van AI in het bedrijfsleven en de maatschappij brengt zowel veel mogelijkheden als potentiële beveiligings- en privacyuitdagingen met zich mee. Door een concreet informatiebeveiligingsbeleid te ontwikkelen, kunnen organisaties deze risico's beperken en profiteren van de voordelen van AI terwijl hun systemen, gegevens en gebruikers worden beschermd. Resumerend: gebruik AI, maar wel met mate.