Een olifant met een vogel op zijn kop lopend door kantoor, gegenereerd door AI.

Wat doe je met de AI-lifant in je organisatie?

Of je het nou leuk vindt of niet, daar zit hij dan: de AI-lifant in je organisatie. Je kan nog zo hard duwen, weg gaat hij niet meer. Maar hoe zorg je ervoor dat je organisatie niet onder de voet gelopen wordt door een bakbeest als AI?

Risico’s van AI

Inmiddels zijn Large Language Models (LLM’s), zoals #ChatGPT, voor veel organisaties en werknemers onderdeel van het dagelijks leven geworden. Niet zo gek natuurlijk, want waarom zou je zelf je kostbare tijd besteden aan iets wat je robothulpje in een fractie van een seconde voor je gedaan heeft? Maar ja, inmiddels weten we ook dat het gebruik van #AI niet geheel en al zonder gevaar is. Data die opgeslurpt wordt zonder dat je weet wat ermee gedaan wordt. Werknemers die vertrouwelijke of geheime gegevens voeren aan LLM. Uitvoer die niet echt is, maar voortkomt uit ‘hallucinatie’. Het zijn maar een paar van de bekende risico’s die AI met zich meebrengt. Daarbij komt ook nog eens dat de ontwikkeling van AI niet te voorspellen is, wat de kans op onvoorziene gevolgen alleen maar vergroot.

Wel of geen AI

Dan maar geen AI gebruiken binnen je organisatie? Je zou denken dat het de veiligste keuze is, maar ook daarmee ontspring je de dans niet. Anderen zetten AI namelijk wél in om hun doelen te bereiken. Concurrenten, die daardoor sneller kunnen innoveren of meer werk kunnen verzetten, maar ook kwaadwillende, die AI op slinkse wijze gebruiken om je organisatie aan te vallen. De mailtjes over een miljoenenerfenis van een Nigeriaanse prins vissen je werknemers er wel uit. Maar lukt dat ze ook als de aanvallers door middel van AI perfect de inhoud, context en schrijfstijl van hun collega’s kunnen nabootsen? Negeren van de AI-lifant is dus geen oplossing. Alleen al door het bestaan ervan, loop je risico.

Inventariseren en aanpakken

Of je dus zelf wel of geen AI inzet in je organisatie, het blijft cruciaal om de risico’s ervan te inventariseren en deze stuk voor stuk aan te pakken. Het goede nieuws is: AI kan dan wel bijzonder complex zijn, de strategieën die je gebruikt om kwetsbaarheden te minimaliseren hoeven dat niet te zijn. De belangrijkste stap blijft, dat je inzichtelijk maakt aan wat voor soort risico’s je organisatie bloot staat. Je kop in het zand steken heeft immers geen zin, en je kan pas actie(s) ondernemen als je weet waar je mee te maken hebt.

NIST AI Playbook

Net zoals AI zich baseert op bestaande informatie hoeven wij ook niet vanaf het nulpunt te beginnen. Bestaande risicomanagementtechnieken kunnen effectief ingezet worden om AI-risico’s te beheersen. NIST is bekend vanwege het NIST risk framework, maar heeft inmiddels ook al een playbook opgesteld over de toepassing op AI. Als ik zo vrij mag zijn om 200 pagina’s in één alinea samen te vatten: de risico’s van AI hoeven niet heel anders benaderd te worden dan die op andere gebieden. Het gaat om 4 te volgen stappen: Govern, Map, Measure, Manage, die als volgt kunnen worden samengevat:

  • Govern: Kijk naar je bestaande beleid, hoe wil je AI inzetten? En wat wil je dat AI niet doet?
  • Map: Wie gebruikt je data (welke AI-systemen), welke data wordt gebruikt, en welke data of processen mogen niet worden ingezien? Welke acties mag AI wel en niet uitvoeren?
  • Measure: Meet of AI inderdaad doet wat je wil dat het doet. Voldoet het aan je verwachtingen, of doet AI juist dingen die je niet wilt?
  • Manage: Koppel acties aan de resultaten. Verscherp tot welke data AI toegang heeft en welke acties AI mag uitvoeren.

Vang je hiermee alle risico’s af? Zeker niet. Maar het stelt je wel in staat om de risico’s van AI proactief aan te pakken, in plaats van het gebruik ervan te verbieden of juist compleet los te laten. Je hebt niet in de hand welke nieuwe risico’s er in de toekomst zullen ontstaan door de invloed van AI, maar een dergelijke aanpak stelt je wel in staat zo goed mogelijk met de nieuwe situatie om te gaan.

Ben jij iemand die wat extra hulp kan gebruiken om AI op een verantwoorde wijze in te zetten in je organisatie? Of gebruik je AI al en wil je weten hoe je de risico’s hiervan kan managen? Neem dan contact op met mij via r.van.doorn@ventus.nl.

Natuurlijk ben ik ook beschikbaar voor security– en privacy gerelateerde vragen die niets met AI te maken hebben.

Robin van Doorn
security specialist