Proofpoint, dat zich toelegt op cybersecurity en security awareness, keek vanuit bedrijfsmatig opzicht naar de valkuilen van het gebruik van AI-tools, en dan vooral waar het gaat om data. Dat leverde vijf adviezen op.
Vaak bevinden AI-tools zich al in securityplatforms en ondersteunen ze bij de bescherming van mensen en het afschermen van gegevens. Toch zijn er ook risico’s verbonden aan het gebruik van deze geavanceerde tools, zegt Proofpoint. De aanpak van publieke AI-tools verschilt per bedrijf en varieert van beleidsregels voor aanvaardbaar gebruik tot beperkende controles. Wat zijn de meest gestelde vragen en welke antwoorden horen daarbij?
1. Wie gebruikt ChatGPT binnen de organisatie?
ChatGPT is een van de honderden AI-applicaties op de markt. Ga na of de cybersecurityprovider beschikt over een ingebouwde generatieve AI-applicatiecategorie. Dit ondersteunt namelijk bij het efficiënt zicht krijgen op deze categorie van shadow-IT en past controles toe op meer dan 600 URL’s. Dat kan per gebruiker, groep of afdeling.
2. Hoe blokkeer ik toegang tot generatieve AI-websites?
People-centric policies ondersteunen bij het toepassen van dynamische toegangscontroles op basis van het gebruikersrisico. Dit houdt in dat de toegang voor een gebruiker geblokkeerd wordt op basis van: 1. Kwetsbaarheid – zoals het niet volgen van security awareness-trainingen, of het vertonen van onzorgvuldig gedrag, bijvoorbeeld klikken op een phishing-link. 2. Privilege – de toegang tot gevoelige data.
3. Hoe sta ik het gebruik van ChatGPT toe en voorkom ik tegelijkertijd het verlies van gevoelige data?
De zorgen rondom het risico van dataverlies tijdens het gebruik van generatieve AI-tools zijn zeer reëel. Gebruikers kunnen bijna zes pagina’s met 12-point front kopiëren en plakken in ChatGPT. Prompt splitters kunnen zelfs nog grotere stukken tekst in afzonderlijke stukken opsplitsen.
Een andere manier om risico’s te verminderen, is het beperken van het kopiëren en plakken in de tool. Blokkeer bijvoorbeeld de optie tot plakken, of verlaag het aantal toegestane tekens. Dit beperkt kritieke datalekscenario’s, zoals gebruikers die grote hoeveelheden vertrouwelijke broncodes in de tool plaatsen met als doel die te optimaliseren, of die volledige transcripties van vergaderingen willen samenvatten via ChatGPT.
Het is ook mogelijk om het uploaden van alle bestanden, of bestanden met gevoelige data, tegen te gaan. Dit kan via een analyse van de browser-extensie. Real-time meldingen aan de gebruiker geven dan aan waarom hun actie wordt gestopt. Een andere mogelijkheid is het opnemen van links in het bedrijfsbeleid voor aanvaardbaar gebruik van generatieve AI-tools.
4. Hoe sta ik de inzet van generatieve AI-tools toe en monitor ik het gebruik tegelijkertijd?
Er zijn bedrijven die het gebruik van ChatGPT of andere generatieve AI-websites niet willen beperken en juist het gebruik onderzoeken. Hierbij is het houden van toezicht op een veilige inzet of op de gebruikerscontext belangrijk. Zo is het mogelijk om meta- en schermafbeeldingen vast te leggen terwijl gebruikers de tool toepassen. Voeg zichtbaarheid toe aan de bestanden en de bron daarvan. Dit zorgt voor het snel in kaart brengen van potentiële risico’s.
Een andere optie is het instellen van alerts die afgaan tijdens het bezoeken van generatieve AI-websites, om zo aan te geven dat verder onderzoek nodig is. Het is mogelijk om dit voor iedere gebruiker in te stellen, of voor een deel daarvan, zoals gebruikers met een hoog risico.
5. Hoe begin ik en hoe licht ik gebruikers voor?
Start met het communiceren van een beleid voor aanvaardbaar gebruik rondom generatieve AI-tools. Een expliciet beleid vergroot het bewustzijn en stimuleert de verantwoordingsplicht van medewerkers. Denk daarnaast aan het publiceren van een lijst met vooraf goedgekeurde use-cases. Vermeld hierin welke type data-invoer goedgekeurd is voor publiekelijk en corporate gebruik (of door derden gehoste interne) van generatieve AI-tools. Geef bijvoorbeeld aan dat alleen openbare gegevens ingevoerd mogen worden in openbare tools en dat het invoeren van klantgegevens niet is toegestaan. Zorg dat gebruikers de output van generatieve AI-tools beoordelen en herzien en zich niet beperken tot kopiëren en plakken. Creëer een proces voor het beoordelen en goedkeuren van nieuwe generatieve AI-tools en use-cases. Informeer gebruikers tot het recht van voorbehoud om het gebruik van dergelijke AI-tools te monitoren en vast te leggen.