Met AI-tools als Copilot, ChatGPT en Gemini werk je stukken sneller en efficiënter. Maar het levert ook risico’s op voor je security. We zetten de 3 belangrijkste op een rij én checken bij security-expert Joeri Schnetz hoe je die risico’s zo klein mogelijk kunt maken.
Misschien doe je het al geregeld: je laat Microsoft Copilot een meeting samenvatten. Je vraagt schrijftool Jasper om je zakelijke mail taalkundig te verbeteren. Of je hebt een onlinetraining in elkaar gezet die je met behulp van Synthesys zelf presenteert in vier talen. Anders gezegd: AI-tools maken het werk voor jou of je medewerkers al een stuk efficiënter, leuker en sneller.
Geen nieuwe, maar grotere uitdagingen
‘Mooi!’, zou je zeggen. Maar er zit ook een nadeel aan het gebruik van AI voor bedrijfsdoeleinden. Het kan namelijk securityrisico’s opleveren waar je nu misschien nog geen rekening mee houdt. Joeri Schnetz heeft dagelijks te maken met die risico’s. Hij is operationeel directeur van VTM Groep, een zakelijke IT-, telecom en cybersecuritydienstverlener en Business Partner van KPN. VTM levert onder meer AI-tools aan ondernemers en adviseert en ondersteunt bij het gebruik ervan.
“We hebben het niet per se over níéuwe, maar eerder over bestaande dreigingen, die nog groter worden door AI”, vertelt Joeri. “Neem goed datamanagement. Dat is altijd al belangrijk, maar AI-tools kunnen sneller dan mensen bij gevoelige data uitkomen. Dus wordt het nog harder nodig. En zo zijn er meer risico’s die zwaarder gaan wegen als je AI-tools gebruikt.”
Cybersecurity voor mkb'ers
De belangrijkste cybersecurity diensten samengevoegd in 1 pakket. Zo bescherm je je data en medewerkers beter tegen online- en offline gevaar.
De 3 grootste risico's
Wat zijn de 3 belangrijkste securityrisico’s? En hoe kun je er volgens Joeri het beste mee dealen?
1. Werknemers gebruiken hun privé AI-tools op het werk
Stel, je gebruikt als ondernemer of werknemer Excelly-AI voor je thuisadministratie of bewerkt je vakantiefoto’s in Canva. En dat bevalt zo goed dat je er ook op je werk gebruik van wil maken. Voor je het weet voer je dan zakelijke data in waar je vervolgens geen controle meer over hebt.
Joeri: “Als organisatie wil je scherp hebben welke AI-tools er gebruikt worden. Je wil voorkomen dat zakelijke data in privé-accounts verdwijnen. Denk hier dus over na als ondernemer en zorg voor een duidelijk beleid. Waarbij je werknemers wél alternatieven biedt voor tools die ze zakelijk niet mogen gebruiken.”
2. AI-tools gebruiken 'verboden' data
Het zou zomaar kunnen gebeuren: je gaat als ondernemer of leidinggevende op vakantie en deelt tijdelijk toegang tot enkele mappen met een collega. Maar vervolgens vergeet je die autorisatie weer in te trekken en ben je de rest van het jaar wel nieuwe data in die mappen aan het plaatsen. Als die collega vervolgens een tool als Copilot gaat gebruiken, kan die data uit die mappen gebruiken om antwoord te geven. Gegevens uit je arbeidsovereenkomst bijvoorbeeld.
Joeri: “Medewerkers zijn zich er niet altijd bewust van tot welke gevoelige data ze toegang hebben. Dat was altijd al een probleem en dat wordt door AI-tools nog urgenter. Daarom is het meer dan ooit belangrijk om je role based access control – welke functie heeft tot welke data toegang – op orde te hebben. Het is ook belangrijk om bij elk proces waar je een AI-tool voor inzet te kijken hoe bedrijfskritisch het is. Je wilt niet dat de continuïteit van je bedrijf in gevaar komt doordat een tool plotseling niet meer te gebruiken is. Ik zou voor dat soort vitale activiteiten dus geen aanbieder met vijf werknemers op de Kaaimaneilanden gebruiken. Maar als je even snel eenmalig een grappig logootje voor je bedrijfsfeestje wil maken, mag je best iets minder kritisch zijn.”
Checklist Security: de basics voor MKB
Voorkom dat je bedrijf slachtoffer wordt van deze 15 meest gebruikte trucs door cybercriminelen.
Download3. Je data is niet veilig omdat je AI-tool niet voldoet aan de privacyregels
Als je persoonsgegevens invoert in ChatGPT via een OpenAI-account, voldoe je als onderneming niet aan de AVG-regels. Het is niet bekend wat er precies met die data gebeurt. Wel bekend is dat OpenAI ze opslaat op servers in de VS, en dat de data dus niet volgens de Europese regels behandeld hoeven te worden. Kortom: AI-tools kunnen een probleem zijn voor je AVG-compliance.
Joeri: “Als je gaat knippen en plakken uit een zakelijk document, stuur je al snel vertrouwelijke data richting die servers. Dat geldt niet alleen voor ChatGPT, maar ook voor veel andere AI-tools. Gebruik je ChatGPT binnen een Microsoft-omgeving, dan blijven de data wel binnen je eigen beheer. Maar het is knap ingewikkeld om zelf vast te stellen of een aanbieder nou wel of niet aan de AVG en alle andere privacyregels voldoet. Deskundig advies inwinnen helpt je verder.”
AI ook positief voor je cybersecurity
Het is gelukkig niet alleen maar slecht nieuws als het om AI en security gaat. Want AI maakt het ook mogelijk om sneller en gerichter onregelmatigheden en incidenten te signaleren. En het leert zichzelf om daar steeds beter in te worden.
Joeri: “Het is belangrijk dat AI-tools juist voor security worden ontwikkeld en ingezet. We weten dat cybercriminelen zich niet geremd voelen door wetten en regels. Laten wij aan de andere kant daarom de techniek adopteren. Want als we dat niet doen, staan we 1-0 achter. Al met al moet veiligheid geen remmende factor zijn waardoor je als ondernemer AI dan maar links laat liggen. Begin daarom klein, doe het verstandig, maar ben zeker niet té voorzichtig. Want anders loop je achter de feiten – en de concurrentie – aan.”