De snelle ontwikkelingen op het gebied van generatieve artificiële intelligentie (GenAI) hebben de aandacht gevestigd op robuuste beveiligings- en governance-maatregelen binnen ondernemingen. Hoewel het spookbeeld van AI vaak dramatische scenario’s oproept, tot de ondergang van de mensheid aan toe, hebben de meer directe en beheersbare risico’s te maken met data governance, beveiliging en ethische besluitvorming.
Er staat veel op het spel bij de toepassing van GenAI door bedrijven. Deze systemen zijn namelijk in staat op commando nieuwe tekst, afbeeldingen, audio of code te genereren. De beveiligingsuitdagingen van deze technologieën verschillen van traditionele risico’s op het gebied van cyberbeveiliging doordat ze nieuw zijn en soms onvoorspelbare resultaten opleveren. Deskundigen benadrukken echter dat deze uitdagingen niet onoverkomelijk hoeven te zijn. Strategische governance kan de risico’s namelijk effectief beperken.
Snelle evolutie van AI vergt waakzaamheid
In 2023 investeerden bedrijven naar schatting 19,4 miljard dollar in GenAI-oplossingen. De prognoses lopen op tot 151 miljard dollar in 2027. Large Language Models (LLMs) worden breed toegepast in tal van sectoren, waaronder toerisme, verzekeringen, financiële dienstverlening en de maakindustrie. Zonder goed beheer lopen ondernemingen het risico geconfronteerd te worden met problemen zoals wantrouwen in output, ethische kwesties, schendingen van auteursrecht en datalekken.
John Pescatore, directeur security bij het SANS Institute, onderstreept het belang van een alomvattend governance-model en wijst op de noodzaak van doorlopend beheer in plaats van een ‘set-and-forget’-aanpak. Een effectieve governance kan relatief snel worden gerealiseerd. Bovendien kunnen dit soort modellen in de loop van de tijd gemakkelijk worden aangepast naarmate de technologie en de bedrijfsbehoeften veranderen.
Acht essentiële stappen voor succes
Om met succes GenAI-implementaties te beveiligen zijn de volgende stappen belangrijk:
- Definieer je AI/LLM-bereik en data governance: Voor ieder GenAI-systeem moeten specifieke doelen worden vastgelegd. Daarbij is het belangrijk dat privacyregelgeving nageleefd wordt.
- Implementeer sterke datahygiëne: Organisaties moeten gedetailleerd processen opstellen voor het opschonen, verrijken en valideren van trainingsgegevens. Dat is nodig om datalekken of privacyschendingen te voorkomen.
- Creëer robuuste databeveiliging: Gevoelige data moeten afdoende beschermd worden, en er moeten goede afspraken gemaakt worden over wie toegang krijgt tot de data en de modellen. Zo kan je het aanvalsoppervlak minimaliseren.
- Monitor continu: Bewaak het gedrag van alle AI-modellen en de bijbehorende data feeds om schadelijke activiteiten of inbreuken op gevoelige gegevens te detecteren.
- Beperk bias: Bias is moeilijk helemaal uit te schakelen, maar toch moeten organisaties alles doen om het te verminderen. Bias kan een grote invloed hebben op de besluitvorming, bijvoorbeeld bij het toekennen van leningen of bij rekrutering.
- Herzie incident respons: De draaiboeken die je eerder opstelde, zijn niet aangepast aan AI. Daarom moeten die helemaal herzien worden.
- Behoudt flexibiliteit: Als je policies opstelt, hou er dan rekening mee dat je ze zal moeten aanpassen aan de technologische evolutie van AI.
- Hou het consistent: Zorg voor uniforme AI-governance en -beveiliging in de gehele organisatie om te voorkomen dat iedere afdeling zijn eigen ding gaat doen.
Beveiliging van AI is een teaminspanning
Als een organisatie een GenAI-beleid wil opstellen, moet ze ook beslissingen nemen over de soorten LLM’s die moeten of mogen worden gebruikt, of deze nu vanaf nul zijn opgebouwd, op maat zijn gemaakt of al bestaan. Het is cruciaal om rekening te houden met de scheiding en compartimentering van data voor verschillende afdelingen. Daarom pleiten beveiligingsspecialisten voor aparte LLM’s voor individuele divisies en business units om het risico van wijdverspreide datalekken te verkleinen.
Risicobeheer voor de supply chain vormt eveneens een integraal onderdeel van een uitgebreid GenAI governance-plan.
Wytze Rijkmans, Regional Vice President Tanium
Risicobeheer voor de supply chain vormt eveneens een integraal onderdeel van een uitgebreid GenAI governance-plan. Niet alleen moeten de governance- en beveiligingsprotocollen van leveranciers geëvalueerd en gemonitord worden, ze moeten ook in lijn gebracht worden met de eigen werkwijze van de organisatie.
Succesvolle implementatie van deze maatregelen vereist een gezamenlijke inspanning van security-specialisten en de C-suite, met de nadruk op security-by-design principes. De uitdaging is om de beveiligingsmaatregelen gelijke tred te laten houden met de snelle inzet van GenAI-technologieën. Zoals John Pescatore van het SANS Institute opmerkt, loopt de beveiliging in deze scenario’s vaak een paar stappen achter op de technologische ontwikkelingen. Wie telkens een inhaalrace moet doen, heeft een zwakke positie ten opzichte van potentiële tegenstanders.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht