Schaduw AI Bedreigt de Beveiliging van Ondernemingen

Naarmate AI-technologie zich snel ontwikkelt, worden organisaties geconfronteerd met een opkomende beveiligingsdreiging: schaduw AI-apps. Deze ongeautoriseerde applicaties, ontwikkeld door medewerkers zonder IT- of beveiligingstoezicht, verspreiden zich over bedrijven en blijven vaak onopgemerkt, zoals benadrukt in een recent VentureBeat artikel.

VentureBeat legt uit dat hoewel veel van deze apps niet bewust schadelijk zijn, ze aanzienlijke risico’s vormen voor bedrijfsnetwerken, variërend van datalekken tot overtredingen van de naleving.

Shadow AI-apps worden vaak gebouwd door medewerkers die routinetaken willen automatiseren of bedrijfsprocessen willen stroomlijnen, gebruikmakend van AI-modellen getraind op bedrijfseigen data.

Deze apps, die veelal leunen op genererende AI-tools zoals OpenAI’s ChatGPT of Google Gemini, missen essentiële beveiligingsmaatregelen, waardoor ze zeer kwetsbaar zijn voor beveiligingsrisico’s.

Volgens Itamar Golan, CEO van Prompt Security, “valt ongeveer 40% van deze standaard terug op training met alle gegevens die je ze voedt, wat betekent dat je intellectueel eigendom deel kan uitmaken van hun modellen,” zoals gemeld door VentureBeat.

De aantrekkingskracht van schaduw AI is duidelijk. Medewerkers, die steeds meer onder druk staan om strakke deadlines te halen en complexe werklasten aan te pakken, wenden zich tot deze tools om de productiviteit te verhogen.

Vineet Arora, CTO bij WinWire, merkt op tegen VentureBeats, “Afdelingen storten zich op niet-goedgekeurde AI-oplossingen omdat de directe voordelen te verleidelijk zijn om te negeren.” Echter, de risico’s die deze tools met zich meebrengen zijn aanzienlijk.

Golan vergelijkt schaduw AI met prestatieverbeterende medicijnen in de sport, zeggende: “Het is als doping in de Tour de France. Mensen willen een voorsprong zonder zich bewust te zijn van de lange termijn consequenties,” zoals gerapporteerd door VentureBeats.

Ondanks hun voordelen, stellen schaduw AI-apps organisaties bloot aan een reeks kwetsbaarheden, waaronder onbedoelde datalekken en snelle injectieaanvallen die traditionele beveiligingsmaatregelen niet kunnen detecteren.

De omvang van het probleem is verbijsterend. Golan onthult aan VentureBeats dat zijn bedrijf dagelijks 50 nieuwe AI-apps catalogiseert, met momenteel meer dan 12.000 in gebruik. “Je kunt geen tsunami stoppen, maar je kunt wel een boot bouwen,” adviseert Golan, wijzend op het feit dat veel organisaties worden overrompeld door de omvang van het gebruik van schaduw AI binnen hun netwerken.

Een financieel bedrijf ontdekte bijvoorbeeld tijdens een 10-daagse audit 65 niet-geautoriseerde AI-tools, veel meer dan de minder dan 10 tools die hun beveiligingsteam had verwacht, zoals gemeld door VentureBeats.

De gevaren van schaduw AI zijn bijzonder scherp voor gereguleerde sectoren. Zodra eigen data wordt gevoed aan een publiek AI-model, wordt het moeilijk om te beheersen, wat kan leiden tot mogelijke nalevingsproblemen.

Golan waarschuwt: “De komende EU AI Wet kan zelfs de GDPR in boetes overschaduwen”, terwijl Arora de dreiging van datalekken en de straffen die organisaties kunnen krijgen voor het niet beschermen van gevoelige informatie benadrukt, zoals gerapporteerd door VentureBeats.

Om het groeiende probleem van schaduw AI aan te pakken, raden experts een veelzijdige benadering aan. Arora stelt voor dat organisaties gecentraliseerde AI-bestuursstructuren creëren, regelmatige audits uitvoeren, en AI-gevoelige beveiligingscontroles inzetten die AI-gedreven exploits kunnen detecteren.

Bovendien zouden bedrijven hun werknemers moeten voorzien van vooraf goedgekeurde AI-tools en duidelijke gebruiksbeleid om de verleiding te verminderen om niet-goedgekeurde oplossingen te gebruiken.