5 tips: Hoe te navigeren door beveiligingsuitdagingen in AI-tools

  • 10/10/2023

Kunstmatige intelligentie (AI) groeit snel in de productie-industrie en daar is een goede reden voor. Het heeft de potentie om de productiviteit en efficiëntie te verhogen en bedrijven zelfs een voorsprong te geven op concurrenten. Maar zoals we allemaal weten, brengt grote kracht grote verantwoordelijkheid met zich mee. Je moet ervoor zorgen dat je organisatie is uitgerust om veilig AI-tools te ontwikkelen en te gebruiken zonder je organisatie in gevaar te brengen.

Als je je eigen AI-oplossingen ontwikkelt, heb je volledige controle over de beveiliging ervan, terwijl bij bestaande AI-tools de verantwoordelijkheid voor de beveiliging vaak bij de leverancier ligt. Toch wil je je organisatie niet in gevaar brengen, dus is het belangrijk om een goed beeld te hebben van het beveiligingsaspect van de AI-tool die je al gebruikt of in de toekomst wilt gebruiken.

Daarom zullen we essentiële tips met je delen over hoe je dit kunt doen, terwijl je mogelijke valkuilen vermijdt.

Timothy Martens

Chief Information Security Officer

Tip 1: Gegevensbescherming - stel je waardevolle assets veilig

Gegevens zijn het levensbloed van elke AI-tool. In dit geval je bedrijfsgegevens. De bescherming ervan is absoluut cruciaal om vele redenen, zoals het versterken van het vertrouwen van klanten en belanghebbenden. Bovendien moet je gegevensbeschermingsbeleid voldoen aan relevante privacywet- en regelgeving zoals GDPR, CCPA en binnenkort de AI-wet.

Het is belangrijk om duidelijke processen te hebben over hoe gegevens worden verzameld, opgeslagen, gebruikt en verwijderd. Elk bedrijf moet eersteklas cyberbeveiligingsmaatregelen implementeren om zijn gegevens te beschermen tegen inbreuken en andere potentiële bedreigingen. Versleutel gevoelige gegevens en zorg ervoor dat er veilige communicatiekanalen worden gebruikt tussen je AI-systemen en andere softwarecomponenten. Daarnaast is het essentieel om over mechanismen te beschikken waarmee betrokkenen hun rechten kunnen uitoefenen, zoals het opvragen van een kopie van hun gegevens of een verzoek tot verwijdering.

Hoewel open-source AI-tools zeer nuttig en kosteneffectief kunnen zijn, brengen ze ook potentiële risico's met zich mee. Het is cruciaal om de geschiedenis van de tool grondig te onderzoeken en te evalueren, inclusief het lezen van reviews van andere gebruikers, en ervoor te zorgen dat de tool een sterke staat van dienst heeft op het gebied van beveiliging en privacy voordat deze wordt opgenomen in het AI-raamwerk van je organisatie. Bij tools als ChatGPT is het belangrijk om vragen te stellen over hun privacybeleid. Bewaart ChatGPT privégegevens van zijn gebruikers? Deze vraag wordt nog relevanter als je gegevens over je klanten invoert in het systeem, omdat je dan mogelijk je klanten moet informeren over hoe hun gegevens worden gebruikt. Wees altijd voorzichtig en vermijd het uploaden of invoeren van gevoelige of persoonlijke informatie in tools waarvan de gegevenspraktijken niet transparant en goed gedocumenteerd zijn.

Deze informatie is gemakkelijk te vinden als je de AI-tools van Microsoft bekijkt. De meest toegankelijke tool is Copilot. Copilot wordt aangestuurd door Azure OpenAI Service en biedt een combinatie van verantwoorde AI-principes en de toonaangevende beveiliging van Azure. Copilot is geïntegreerd in services zoals Dynamics 365 en Microsoft 365 en erft de robuuste beveiliging, compliance en privacyprocedures van deze systemen. Met functies zoals twee-factor authenticatie en privacybescherming positioneert Copilot zichzelf als een vertrouwd AI-platform.

Wat Copilot onderscheidt van andere tools is de unieke manier waarop het AI-reacties genereert. Deze zijn specifiek contextueel, direct relevant voor de betreffende taak en gebaseerd op je bedrijfsgegevens. Bekijk een van onze eerdere artikelen voor enkele voorbeelden. Het is ontworpen met een sterke focus op beveiliging en privacy:

  • Je gegevens zullen nooit worden gebruikt voor het trainen van Large Language Models (LLM's).
  • Je kunt je goedkeuring voor de toegang van Copilot tot Microsoft 365 Graph en Dataverse op elk gewenst moment intrekken.
  • Het antwoord zal nooit informatie bevatten waartoe de gebruiker geen toegang heeft, tenzij expliciet anders is geconfigureerd.

In het geval van kritieke applicaties kan het voor veel organisaties een evenwichtige strategie zijn om bestaande AI-tools te combineren met ontwikkeling op maat. Als je het Azure AI Platform van Microsoft gebruikt, beschik je over verschillende ingebouwde beveiligingsfuncties.

Tip 2: Beperkte toegang - houd je AI-systemen veilig

De toegang tot je AI-systemen beperken is noodzakelijk om ervoor te zorgen dat alleen geautoriseerd personeel wijzigingen kan aanbrengen. Implementeer rolgebaseerde toegangscontroles (RBAC) zodat werknemers alleen met de AI-systemen kunnen werken binnen de grenzen van hun functieomschrijving. Dit betekent bijvoorbeeld dat een gegevensanalist geen toegang heeft tot systeeminstellingen en een systeembeheerder geen toegang heeft tot ruwe gegevens. Dit beschermt niet alleen je systemen en gegevens tegen mogelijke interne bedreigingen en menselijke fouten, maar helpt ook om de verantwoordelijkheid te handhaven, omdat specifieke acties kunnen worden herleid naar individuele werknemers.

Microsoft vergemakkelijkt het instellen van toegangscontrole. Hun machtigingsmodellen helpen ervoor te zorgen dat de juiste groepen en gebruikers alleen toegang hebben tot de gegevens waartoe ze toegang moeten hebben. Ook hier worden alle prompts en antwoorden opgeslagen, zodat er een volledig controlespoor is voor onderzoekers.

Tip 3: Regelmatige updates - blijf een stap voor

Net als bij andere software is het belangrijk om je AI-systemen up-to-date te houden. Software en systemen worden voortdurend verbeterd en tegelijkertijd worden er nieuwe kwetsbaarheden ontdekt. Regelmatige updates helpen je AI te beschermen tegen deze kwetsbaarheden en potentiële problemen voor te blijven. Zorg ervoor dat je een schema opstelt voor AI-systemen en gerelateerde software-updates en houd deze nauwlettend in de gaten om ervoor te zorgen dat je systemen beschermd zijn. Het gaat niet alleen om updaten, maar ook om het regelmatig controleren op patches en beveiligingsverbeteringen die door softwareleveranciers worden uitgebracht. Op die manier beperk je de kans dat malafide personen misbruik maken van deze zwakke punten.

Tip 4: Training en bewustzijn - geef je personeel meer macht

Technologische beveiliging is slechts zo sterk als de zwakste schakel, en vaak is die schakel menselijk. Daarom moet je regelmatig AI-veiligheidstrainingen geven aan je personeel. Als goed geïnformeerde werknemers begrijpen ze de potentiële risico's en hoe ze die kunnen beperken. Ze zijn beter uitgerust om problemen aan te pakken als ze zich voordoen. Stimuleer een open dialoog binnen de organisatie over AI-veiligheid en zorg dat je werknemers op de hoogte blijven van de nieuwste bedreigingen en preventietechnieken.

Er zijn tal van interessante bronnen om inhoud te vinden voor een dergelijke training: Microsofts AI learning and community hub is slechts één voorbeeld.

Tip 5: Stel richtlijnen op voor het gebruik van AI in je organisatie

Veel van de bovenstaande onderwerpen kunnen worden opgenomen in de bedrijfsrichtlijnen voor het gebruik van AI. Zo'n richtlijn zou een kader moeten vormen voor het verantwoord gebruik van AI binnen je organisatie.

  • Betrek alle betrokkenen bij het proces om dit op te zetten
  • Taken en verantwoordelijkheden
  • Goedgekeurde tools en evaluatie van nieuwe tools
  • IP-rechten
  • Het moet een levend document zijn

Als je op zoek bent naar inspiratie, kan je kijken naar Microsoft. Zij hebben zes ethische principes gedefinieerd die volgens hen essentieel zijn voor het creëren van verantwoorde en betrouwbare AI op het moment dat deze wordt toegepast in mainstreamproducten en -diensten. Dit zijn:

  • Eerlijkheid: How might an AI system allocate opportunities, resources, or information in ways that are fair to the humans who use it?
  • Betrouwbaarheid en veiligheid: Hoe kan het systeem goed functioneren voor mensen in verschillende gebruiksomstandigheden en contexten, inclusief die waarvoor het oorspronkelijk niet bedoeld was?
  • Privacy en veiligheid: Hoe kan het systeem ontworpen worden om privacy en veiligheid te ondersteunen?
  • Inclusiviteit: Hoe kan het systeem zo worden ontworpen dat het toegankelijk is voor mensen met alle vaardigheden?
  • Transparantie: Hoe kunnen mensen de mogelijkheden van het systeem verkeerd begrijpen, gebruiken of inschatten?

Conclusie

Kortom, het is cruciaal voor bedrijven om de aanzienlijke gevolgen van AI voor gegevens te erkennen en uitgebreide richtlijnen op te stellen voordat ze beginnen met de implementatie van AI, of ze nu intern ontwikkelde tools of oplossingen van derden gebruiken. Daarnaast zijn het toekennen van de juiste gebruikersrechten, het faciliteren van vaardigheidsontwikkeling en het regelmatig uitvoeren van updates essentiële stappen om een veilig en effectief gebruik van AI te garanderen. Door deze maatregelen prioriteit te geven, kunnen bedrijven beveiligingsrisico's proactief beperken en de voordelen van AI-technologieën maximaal benutten.

AI-wet

Een baanbrekend initiatief om AI te reguleren op basis van het vermogen om schade aan te richten. Variërend van een laag tot onaanvaardbaar risico, zullen de vereisten voor de AI-toepassing verschillend zijn.

Dataverse

Veilig opslaan en beheren van gegevens die worden gebruikt door bedrijfsapplicaties.

Microsoft 365 Graph

Biedt een uniforme manier om toegang te krijgen tot bedrijfsgegevens en deze te bewerken, zodat je apps kan bouwen die kunnen communiceren met de cloudservices van Microsoft.

Blijf op de hoogte via onze nieuwsbrief