Het bedrijfsleven is in de ban van ai. Organisaties moeten echter voorzichtig te werk gaan. Want in de haast om ai-technologie in alle soorten en maten toe te passen, lopen ze het risico om op beveiligingsgebied steken te laten vallen. Veel nieuwe ai-tools maken namelijk gebruik van opensource-infrastructuren en -data repositories, en die vragen mogelijk om een totaal andere beveiligingsstrategie dan niet-open tools.
In bijna elke directiekamer wordt druk overlegd hoe de nieuwe technologie is in te zetten, werknemers downloaden massaal ai-applicaties om te kijken hoe die hen kunnen helpen met het automatiseren van routinetaken, en interne developers stropen ondertussen internet af naar de data-libraries om in te zetten als basis voor hun eigen ai-oplossingen.
Voor cio’s ciso’s en andere it-besluitvormers is het belangrijker dan ooit om een proces in het leven te roepen dat het security-team in staat stelt om de data-libraries en platforms waarop veel van deze ai-oplossingen zijn gebaseerd, te testen en te valideren.
Gratis uitproberen
Met een simpele zoekopdracht in Google kun je voor zo’n beetje elke zakelijke taak een door ai ondersteunde oplossing vinden. Een aantal van deze oplossingen kun je gratis uitproberen, in andere gevallen moet je eerst je creditcardgegevens invoeren. Vervolgens kun je in no time met de volledige softwareoplossing aan de slag gaan. ChatGPT is hier vanzelfsprekend het bekende voorbeeld van, maar er zijn ook gratis video- en afbeeldingeditors, customer service bots en zelfs voice-generators
Schaduw-it, het gebruik van applicaties en apparaten door werknemers zonder dat hun werkgever hiervan op de hoogte is, is al jaar en dag een doorn in het oog van ciso’s en cio’s. Ai kan dit probleem mogelijk verergeren. Want in tegenstelling tot de grote softwarepakketten die organisaties gebruiken, zijn AI-tools steeds vaker op een open source-architectuur gebaseerd.
Als gevolg van de stortvloed aan open source-oplossingen van de afgelopen jaren zijn er legio data libraries op het internet te vinden. Die nemen alleen maar in aantal toe nu bedrijven als OpenAI hun eigen datasets uitbrengen, zodat developers die als basis voor hun oplossingen kunnen inzetten.
Open source is een krachtig instrument, maar er zijn wel risico’s aan verbonden. Zoals eerder benoemd richten sommige cybercriminelen hun pijlen op open platforms. Bij de hack bij SolarWinds van een paar jaar geleden kregen de aanvallers toegang tot de datanetwerken van duizenden klanten van het bedrijf. Dit laat zien hoeveel schade data supply chain-aanvallen kunnen aanrichten en is een reden dat er vanuit beveiligingsoogpunt grote zorgen zijn over de AI-goudkoorts. Want hoe meer open AI-platforms worden gebruikt, hoe meer een bedrijf het risico loopt om getroffen te worden door een mogelijk catastrofale cyberaanval via hun technologische toevoerketen.
Het goede nieuws is dat besluitvormers op security-gebied een aantal maatregelen kunnen treffen om open source-tools voortdurend te controleren op de aanwezigheid van kwetsbaarheden.
Huiswerk
Het is belangrijker dan ooit voor bedrijven om hun huiswerk te doen en het aanbod van elke it-dienstverlener grondig te inspecteren. Daarnaast is het zaak dat ciso’s en hun teams constant zicht hebben op de tools die werknemers – proberen te – gebruiken.
Voor securityteams is samenwerking met hun collega’s van het development-team daarom alleen maar belangrijker geworden om de kwaliteit van de oplossingen van beoogde leveranciers te beoordelen. Ze moeten daarnaast vaststellen welke beveiligingsprotocollen worden gebruikt om opensource-libraries te beschermen.
Zodra het interne it-team weet welke data repositories veilig zijn, kan het beginnen met het opstellen van richtlijnen. Aan de hand daarvan kunnen werknemers goedgekeurde applicaties downloaden of data-libraries gebruiken.
Scorekaarten
Richtlijnen moeten echter geen vrijbrief vormen voor werknemers om halsoverkop elke beschikbare tool uit te proberen. Het blijft belangrijk dat zij en het securityteam de zakelijke waarde van de software afwegen tegen de mogelijke risico’s.
Scorekaarten voor leveranciers kunnen een rol spelen bij het beoordelen van potentiële risico’s. Bedrijven die de tijd nemen voor een vergelijkende analyse van ai-oplossingen kunnen die inzetten om te bepalen met welke leverancier ze in zee kunnen gaan.
Deze vorm van benchmarking is vaak al een standaardpraktijk voor it-teams. Met de opkomst van ai ontstaat echter een compleet nieuw opensource-ecosysteem van potentiële leveranciers en partners dat om gedegen beheer vraagt. Bedrijven doen er goed aan om vragen te stellen als:
- Welke ontwikkelingsmethodiek heeft de leverancier gebruikt?
- Heeft de leverancier de code voldoende geanalyseerd?
- Hanteert de leverancier een dynamisch scanproces dat helpt met de detectie van onregelmatigheden?
- Welk proces hanteert de leverancier voor het verhelpen van eventueel geconstateerde kwetsbaarheden?
- Beschikt de leverancier over systemen die inzicht bieden in de gevolgen van een supply chain-aanval voor zijn oplossing?
Zodra dit proces is voltooid, is het werk nog niet gedaan. Naarmate er binnen de organisatie meer opensource-tools worden ingezet, is het essentieel dat securityteams de applicaties voortdurend monitoren op onbekende code of op een potentieel beveiligingslek.
Grappig genoeg kan ai daar een handje bij helpen, aangezien securityteams daarmee een belangrijk deel van de dagelijkse monitoring kunnen automatiseren. Zij kunnen op die manier meer tijd besteden aan de beveiliging van geavanceerde ai-oplossingen.
Hype
De opwinding rondom ai is begrijpelijk, maar het is daarmee niet minder belangrijk dat bedrijven door de hype heen prikken en inzicht verwerven in de werkelijke waarde en risico’s van ai-oplossingen. Met name de explosie van opensource-ai-oplossingen vraagt om grondige analyse. Doen organisaties die niet, dan bestaat de kans dat hun systemen worden meegesleurd door een golf van opportunistische hackers die de stand van de ai-trend wél scherp in het vizier hebben.
