WatchGuard geeft acht cruciale tips voor het veilig gebruiken van AI-tools
Corey Nachreiner (foto) van WarchGuard Technologies geeft acht cruciale tips voor het veilig gebruiken van AI-tools. 'Het is onvoorspelbaar hoe een AI-dienst inkomsten genereert uit jouw gegevens’.
AI-tools maken medewerkers 66% productiever, aldus onderzoeken, zoals die van Nielsen Norman Group. Niet voor niets willen bedrijven graag met deze tools aan de slag. Maar hoe pakken zij dan de nadelen van AI, aan? Want onnauwkeurige resultaten, datalekken en -diefstal liggen op de loer. Corey Nachreiner van WatchGuard Technologies, geeft 8 tips om AI-tools zo veilig mogelijk te gebruiken.
AI/Machine Learning (ML) is volgens Corey Nachreiner, Chief Security Officer bij WatchGuard Technologies, eigenlijk statistiek op grote schaal. Alle AI-modellen gebruiken gegevens voor statistische berekeningen en het genereren van resultaten die relevant zijn voor hun vooraf bepaalde doelstellingen of toepassingsgebieden.
“Dat betekent dus dat die data de grootste risico’s vormen bij het gebruiken van AI en ML”, zegt Nachreiner. “Want die gegevens kunnen gevoelige of vertrouwelijke informatie bevatten. Deze data worden immers gebruikt voor het trainen van algoritmen, met als resultaat het per ongeluk lekken of stelen van intellectueel eigendom. Bovendien kunnen AI-tools die gebruikmaken van onbetrouwbare data onnauwkeurige resultaten produceren. Gelukkig zijn veel AI-tools krachtig en kunnen ze veilig gebruikt worden, mits organisaties de nodige voorzorgsmaatregelen nemen.”
Nachreiner geeft daarom de volgende 8 tips voor AI-gebruikers:
Tip 1: als het gratis is, ben jij het product
Als je een gratis AI-tool of -dienst gebruikt, moet je ervan uitgaan dat deze mogelijk de door jou verstrekte gegevens benutten. “Veel van de allereerste AI-diensten, waaronder ChatGPT, hebben een bedrijfsmodel dat vergelijkbaar is met dat van socialmediaplatforms zoals Facebook en TikTok. Hoewel je niet betaalt voor het gebruik van deze diensten, deel je wel je privégegevens. Deze bedrijven maken hier vervolgens gebruik van voor gerichte reclame en het verkopen van deze persoonlijke data.”
Hetzelfde geldt volgens Nachreiner voor gratis AI-tools. Deze diensten kunnen data van je apparaten verzamelen en je invoer (prompts) opslaan voor het verbeteren van hun AI-algoritmen. “Hoewel dit niet direct kwaadaardig lijkt, is het onvoorspelbaar hoe een AI-dienst inkomsten genereert uit jouw gegevens. Als de AI-leverancier wordt gehackt, kunnen cybercriminelen toegang krijgen tot jouw data.”
Tip 2: juridische beoordeling van overeenkomsten
Wil je weten hoe een AI-tool of -dienst met jouw data omgaat? Dan is het belangrijk om de licentieovereenkomst voor eindgebruikers, de dienstverleningsovereenkomst, de algemene voorwaarden en het privacy-beleid van de aanbieder te lezen.
“Deze documenten zijn vaak lang en complex en ze gebruiken vaak een bewoording die verhult hoe de aanbieder je gegevens kan gebruiken”, legt Nachreiner uit. “Daarom is het raadzaam dat bedrijfsjuristen deze documenten controleren. Een jurist is bekend met de regelgeving voor het beschermen van gevoelige gegevens, inclusief persoonsgegevens. Zij kunnen deze documenten uitvoerig beoordelen en je waarschuwen als er clausules in staan die een risico vormen.”
Een data privacy officer die gespecialiseerd is in de AVG of andere relevante privacywetgeving kan ook helpen bij het beoordelen van deze overeenkomsten.
Tip 3: bescherm interne gegevens
Bij externe AI-tools bestaat het risico dat werknemers - bewust of onbewust - gevoelige of vertrouwelijke informatie kunnen delen met de tool. Hierdoor worden deze gegevens blootgesteld aan misbruik. Nachreiner hierover: “Om dit risico te verkleinen, is het cruciaal dat bedrijven het principe van minimale bevoegdheid hanteren. Werknemers hebben dan alleen toegang tot de gegevens die strikt noodzakelijk zijn voor het uitvoeren van hun taken.”
Tip 4: controleer instellingen en betaal voor meer privacy
Zowel gratis als betaalde AI-tools en -diensten beschikken vaak over instellingen die extra privacy bieden. Sommige tools kun je zo instellen dat ze je prompts niet opslaan. Controleer daarom de privacy-instellingen van de AI-tool en pas deze aan naar jouw voorkeur.
“Gratis tools behouden meestal het recht om je gegevens te gebruiken”, licht Nachreiner toe. “Het is daarom over het algemeen beter om licentiekosten te betalen voor bedrijfsversies van AI-tools, omdat ze meer bescherming bieden. Deze versies bevatten vaak functies die jouw gegevens niet gebruiken en deze gescheiden bewaren.”
Tip 5: valideer de security van leveranciers van AI-tools
Het valideren van de security van leveranciers en de supplychain moet volgens Nachreiner een standaardprocedure zijn voor elke nieuwe externe tool of partner. Digitale inbreuken in de toeleveringsketen tonen immers aan dat leveranciers een zwakke schakel kunnen zijn in de beveiliging. Daarom is third-partyriskmanagement (TPRM) essentieel voor informatiebeveiliging.
Tip 6: gebruik lokale open-source AI-frameworks en -tools
Om de privacy van jouw data te waarborgen, kun je overwegen om het gebruik te vermijden van externe online AI-tools die gratis en gebruiksvriendelijk zijn. Daar is namelijk een alternatief voor: gratis AI-frameworks en -tools die je zelf kunt implementeren en ontwikkelen. Nachreiner: “Deze aanpak vereist uiteraard meer werk en kennis op het gebied van AI en datascience. Daar zijn dus wel andere kosten aan verbonden.”
Tip 7: monitor het gebruik van AI binnen je bedrijf
Dankzij cloud- en internetdiensten is het voor iedereen mogelijk om online tools te gebruiken. Dit geldt ook voor op AI-gebaseerde SaaS-oplossingen. Het is daardoor lastig om alle assets, SaaS-tools of dataopslag die medewerkers gebruiken bij te houden.
“Om te monitoren welke externe AI-tools medewerkers gebruiken, hoe ze deze gebruiken en met welke gegevens, moet je het gebruik van AI controleren en vastleggen tijdens het aankoopproces”, meent Nachreiner. “Door alle interne en externe AI-tools te identificeren, begrijp je beter de risico’s waarmee je te maken hebt.”
Tip 8: stel een AI-beleid op en verhoog het risicobewustzijn
Security begint met beleid. De risico's waarmee een bedrijf te maken krijgt, hangen niet alleen af van de missies en behoeften van die organisatie. Maar ook van de data die ze gebruiken. Bedrijven die werken met openbare gegevens lopen mogelijk een laag risico op gegevensdeling en kunnen een relatief soepel AI-beleid hanteren. Bedrijven die te maken hebben met vertrouwelijke zaken moeten daarentegen strenge regels hebben rondom het gebruik van gegevens in externe AI-tools.
“Uiteindelijk moet je een AI-beleid opstellen dat is afgestemd op de behoeften van je bedrijf”, stelt Nachreiner tot slot. “Zodra je dit beleid hebt, moet je het regelmatig communiceren aan je medewerkers. Datzelfde geldt voor de risico’s die verbonden zijn aan AI-tools.”
