Ja, we weten het. Het gaat nergens anders meer over. Dus dan kan je denken: wij hoeven er niks meer over te schrijven. Of je gaat mee met de tijd en doet het juist wél. En omdat iedereen het met name heeft over de voor- en nadelen van ChatGPT, gaan wij het even anders doen. Want ook cybersecurity is een veelbesproken onderwerp, maar hoe zit het precies als we ChatGPT naast cybersecuritystandaarden leggen? Look no further, want wij zochten het uit.
Artificial Intelligence en ChatGPT
Ondanks dat Artificial Intelligence (AI) de afgelopen jaren een grote rol is gaan spelen in ons dagelijkse leven én werkleven, kan het een bedreiging vormen voor de veiligheid van je persoonlijke- of bedrijfsgegevens. Om nog even terug te komen op ChatGPT zelf: het is een geavanceerd AI-model dat getraind is om zó te communiceren dat het voelt en lijkt alsof je met een persoon spreekt. In de vorm van bijvoorbeeld dialogen, vertalingen en samenvattingen. En dat razendsnel.
Meestvoorkomende security-risico’s van ChatGPT in je werk
Phising en cybercriminaliteit
Maar hoe werkt dat dan precies? ChatGPT maakt gebruik van machine learning om antwoord te geven op de vragen die worden gesteld via de interface. Om een antwoord samen te stellen, worden miljarden woorden uit het gehele internet getrokken. Als je het omdraait, kunnen alle gegevens die beschikbaar zijn op het internet, bij jou terechtkomen. Dus ook phising, doordat cybercriminelen zich verschuilen achter de echtheid en “menselijkheid” van een algoritme als ChatGPT. Zij gebruiken ChatGPT om phising mails of andere berichtgevingen op te stellen. Die niet te onderscheiden zijn van professionals of betrouwbare contacten. Dit is geen direct risico van het gebruik van ChatGPT als werknemer of werkgever, maar wel het gevaar van het bestaan ervan. Phising is namelijk ook vaak gericht op het binnenhalen van gevoelige bedrijfsinformatie.
Blootstelling van jouw gevoelige bedrijfsgegevens
ChatGPT zit vol met ethische overwegingen waarom het jou geen antwoord zal gaan geven. Het grote gevaar is echter dat het nog steeds mogelijk is om met slim geformuleerde vragen deze ethiek te omzeilen. Dit betekent dat het letterlijk alle vindbare informatie, al dan niet privacygevoelig of persoonlijk, alsnog kan gebruiken. Daardoor kan je je vast ook voorstellen dat de vragen die gesteld worden of de documenten die worden gedeeld in ChatGPT weer worden gebruikt voor nieuwe iteraties in het model. Dus ook de gevoelige informatie van jouw werk of bedrijf.
Moraal van het verhaal: deel nooit, maar dan ook nooit, zomaar gevoelige informatie met chats of interfaces. Zo snel als ChatGPT ook een samenvatting kan maken, belangrijke informatie markeert, of je tekst vertaalt. Laad nooit bedrijfsdocumenten in en stel geen informatie-inhoudelijke vragen. Hetzelfde geldt natuurlijk voor jouw persoonsgegevens of andere privacygevoelige informatie. Minder voor de hand liggende voorbeelden zijn het inladen van PowerPoint slides voor een klantafspraak of notities van een intern gesprek. Of – als Developer – je code, om bijvoorbeeld de oorzaak van een error te achterhalen. Alles wordt hergebruikt en opgeslagen door en voor de chatbox van het AI-model. Op het moment dat je het verstuurt, verlies je controle over die data en heb je geen idee waar het terechtkomt. ChatGPT is simpelweg niet ontworpen om veilig met jouw informatie om te gaan. Het heeft geen encrypties, geen strikte controle over de toegang en het gebruik, én ook geen veiligheidscontroles. De ethiek van het model is gemakkelijk te omzeilen. Het is geen nieuws dat juist dit allemaal van groot belang is als het gaat over gevoelige (bedrijfs-)data.
Programmeren en AI: een alternatief
Ik hoor je al denken: kan ik dan nooit AI gebruiken voor het programmeren? Natuurlijk wel. Maar ChatGPT wordt afgeraden. Een goed alternatief is GitHub Copilot. Dit model wordt beter gecureerd door Microsoft zelf én voldoet aan meer eisen. Ook kan je bij deze tool aangeven dat jouw code expliciet niet gebruikt mag worden om nieuwe iteraties van het AI-model het model te verrijken. Dit laatste is ontzettend belangrijk als het gaat om intellectual property. Iets waar ChatGPT niet aan voldoet.
Conclusie
Hoe ideaal het lijkt te zijn en hoe gemakkelijk het je werkleven soms kan maken: het kent genoeg red flags. Natuurlijk heeft ChatGPT voldoende voordelen en kan het je op weg helpen waar je vastloopt, maar een fout is snel gemaakt. En niet snel opgelost. Wanneer een AI-model als ChatGPT jouw bedrijfsgegevens, al lijkt het nog zo onschuldig, in handen krijgt, kan een ander hier toegang tot krijgen. “The Security Hole” zoals het internet het ondertussen al heeft genoemd. Ons concrete advies: gebruik ChatGPT alleen voor oppervlakkige dingen. Zoals vragen hoe NIST 2-implementaties er in Microsoft Azure er uitzien of wat het verschil is tussen Microsoft Azure en AWS. Stel geen inhoudelijke vragen over jouw bedrijf en denk er niet eens over na om een (deel van een) document in te laden. Want nogmaals, een fout is snel gemaakt. Mochten – om wat voor reden dan ook – je alarmbellen afgaan tijdens het gebruiken van ChatGPT, trek dan bijvoorbeeld een CISO aan de mouw.
Meer innformatie?
Wil je meer weten over ChatGPT in je werk: Je bestie of je enemy?, neem dan contact met ons op.