De risico’s van het gebruiken van AI chatbots

De risico’s van het gebruiken van AI chatbots

Tegenwoordig zijn ze bijna overal te vinden: AI chatbots die je kunnen helpen met allerhande taken en informatievoorziening en eerlijk is eerlijk, ze kunnen enorm handig zijn! Maar zoals wel vaker zijn er ook risico’s verbonden aan het gebruik hiervan. 
In dit (geheel door een mens geschreven!) artikel leggen we een aantal van die risico’s uit.

Chatbots

Het lijkt wel een enorme hype te zijn, overal verschijnen nieuwe chatbots en worden ze geïntegreerd in bestaande applicaties. Vaak zijn dit AI-toepassingen gebaseerd op het LLM-model wat staat voor Large Language Model. Dat betekent dat dit type AI getraind is met enorme sets aan data om menselijke taal te intepreteren, begrijpen en genereren.
Ze kunnen dus enorm goed tekst genereren, maar niet echt de materie ‘begrijpen’.
Bekende modellen hiervan zijn ChatGPT, Microsoft Copilot of GROK van X (voorheen Twitter).

Kwaliteit & betrouwbaarheid van de datasets

Deze LLM’s baseren de informatie die ze je geven op informatie die ze al hebben verzameld vanuit hun datasets. Daar zit ook meteen een risico in; je weet immers niet waar de dataset op gebaseerd is, de meeste publiek beschikbare chatbots zijn daar ontzettend onduidelijk over.
Daarnaast moet je je ook afvragen of de informatie relevant is voor de locatie waar je je bevindt, zo zijn er voorbeelden bekend van juristen of advocaten die informatie uit ChatGPT haalden over wetboeken maar de chatbot doodleuk met informatie uit een wetboek van een ander land kwam die helemaal niet relevant was. Dat laat maar weer zien dat de informatie die zo’n bot geeft handig is, maar niet klakkeloos 1-op-1 overgenomen moet worden.

Gevoelige informatie delen

Daarbij is het ook belangrijk om te onthouden dat je geen gevoelige informatie deelt met een chatbot, tenzij de dataset privé of 100% transparant is. Een publieke chatbot verwerkt namelijk de gegevens die jíj erin stopt ook in de dataset en daarmee kunnen die gegevens in potentie gedeeld worden met derden. Uit onderzoek van Netskope is gebleken dat van de 10.000 zakelijke gebruikers er minimaal 183 een incident hebben gehad waarbij gevoelige informatie zoals personal identifiable information (PII) gedeeld is met een chatbot, maar dit kan ook net zo goed broncode van een applicatie of andere bedrijfsgeheimen inhouden. In sommige gevallen zijn er zelfs credentials gedeeld met een chatbot.

Rechten binnen een zakelijke chatbot

Met Microsoft Copilot zien we ook een opkomst van een nieuw soort chatbot, eentje die geïntegreerd wordt in je bestaande Microsoft 365-omgeving en daaruit relevante informatie kan opzoeken.
Maar dit model brengt ook weer een nieuw risico met zich mee: Copilot baseert zich op de bestaande rechten van de gebruiker die een vraag stelt, maar als de rechtenstructuur niet klopt of niet dekkend is kunnen er heel makkelijk gegevens worden gedeeld met iemand die dat niet hoeft te weten. Zo is het niet ondenkbaar dat in specifieke gevallen een gebruiker toegang kan krijgen tot gevoelige HR-informatie, simpelweg omdat de rechten niet goed genoeg zijn ingesteld volgens het Zero Trust-model.

Meer weten of benieuwd hoe bestendig jouw organisatie is?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten.

Meer weten? Neem contact met ons op!

Meer artikelen

  • Zero Trust: Segmentatie
    Met segmentatie kun je laterale beweging, het verplaatsen van het ene naar het andere systeem, binnen de organisatie beperken. Dit zorgt ervoor dat geautoriseerde gebruikers voor hen benodigde delen kunnen bereiken maar ook dat aanvallen beperkt blijven tot één systeem en geen verdere schade kunnen aanrichten.
  • Zero Trust: Identity & Access Management (IAM)
    Met Identity & Access Management (IAM) draait het om het controleren van wie er waar en wanneer toegang heeft tot welke resources. Dit omvat onder andere authenticatie, autorisatie en audit trails (AAA model).
  • Cybercriminelen gebruiken Microsoft Teams om contact te leggen met gebruikers
    Cybercriminelen doen zich voor als IT-support via Teams na spam-e-mails. Wees alert en voorkom dat ze toegang krijgen tot bedrijfsdata.
  • Meetbaar voldoen aan normeringen?
    Met het RiskGuardian-platform voldoe je aan normeringen zoals NEN7510 en ISO27001, en toon je maatregelen aan voor klanten, leveranciers en auditors.
  • Wachtwoorden hoeven niet meer te verlopen
    Wachtwoorden laten verlopen verhoogt niet de veiligheid, maar leidt juist tot zwakkere wachtwoorden. Ontdek waarom deze verouderde praktijk niet werkt.