Artificial Intelligence (AI) is dé oplossing! Waarvoor? Hoor ik je denken. Alles! Er is geen probleem dat we niet kunnen tackelen met behulp van AI. Het kent alleen maar voordelen. Of wellicht toch niet? In deze blog gaan we het hebben over de security & privacy risico’s die komen kijken bij het gebruik van AI.
Ik zal erkennen dat AI inderdaad veel voordelen met zich meebrengt. Zo ondersteunt het bij het schrijven van blogs (zoals deze), genereert het kunst, inspireert het, levert het input op complexe vraagstukken en nog veel meer. Het gemak en de bereikbaarheid van deze ‘nieuwe’ technologie dragen ongetwijfeld bij aan de hype die eromheen is ontstaan. Zelfs de moderne koelkast wordt verbeterd met AI.
Vanuit mijn rol als Chief Information Security Officer (CISO) mis ik - in de ogenschijnlijk oneindige stroom van positiviteit en potentie - een belangrijk nuance. Het gezegde luidt: “elk voordeel heeft zijn nadeel” en AI is geen uitzondering. Onder al deze hype liggen een aantal serieuze Security & Privacy risico’s die niet onderschat dienen te worden. Laten we het daar eens over hebben.
Voordat we verder gaan, laat mij een ding duidelijk stellen: ik ben niet tegen AI. In tegendeel; ik gebruik het zelf ook. Dat betekent echter niet dat het maar te pas en te onpas in elke applicatie gepropt moet worden. Er zijn ook momenten dat ik er bewust voor kies geen AI te gebruiken, hoewel je tegenwoordig al niet meer zeker kunt stellen dat het niet (stiekem) op de achtergrond meedraait. Waarom kies ik er soms voor om AI uit de weg te gaan?
Bron: Google
Om bovenstaande risico’s (deels) te mitigeren hebben we er binnen Avisi voor gekozen om een AI beleid op te stellen, als onderdeel van ons Information Security Management System (ISMS). Dat klinkt heel gewichtig maar dat hoeft het niet te zijn. Je zal merken: met gezond verstand kom je een heel eind. Wel hebben we hiervoor een aantal principes in acht genomen:
Informeer medewerkers over de risico's van AI-integratie en benadruk best practices voor veilige ontwikkeling, gegevensverwerking en naleving van het informatiebeveiligingsbeleid.
De kernprincipes vanuit ons AI beleid zijn op te splitsen in input (de data waarvan je het AI-model voorziet) en output (de respons die je uiteindelijk terugkrijgt). Voor de input hebben we afgesproken geen persoonsgegevens in te voeren en geen vertrouwelijke (bedrijfs)informatie te delen. Bij afwijking hiervan, borgen we schriftelijke toestemming. Voor de output hebben we de medewerker in kwestie verantwoordelijk gesteld. Denk aan het beoordelen en eventueel corrigeren van fouten of onvolledigheden. Op deze laagdrempelige manier kun je een grote stap maken om bovenstaande risico’s voor een groot deel te mitigeren.
De integratie van AI in het bedrijfsleven en de maatschappij brengt zowel veel mogelijkheden als potentiële beveiligings- en privacyuitdagingen met zich mee. Door een concreet informatiebeveiligingsbeleid te ontwikkelen, kunnen organisaties deze risico's beperken en profiteren van de voordelen van AI terwijl hun systemen, gegevens en gebruikers worden beschermd. Resumerend: gebruik AI, maar wel met mate.