Inmiddels wel bij iedereen bekend: de opkomst van AI-tools als Microsoft Copilot, biedt organisaties enorme voordelen op het gebied van productiviteit en automatisering. Met Copilot agents kan ondersteuning worden geboden op specifieke functies. Tóch zijn er ook aanzienlijke IT-risico’s verbonden aan het gebruik van deze technologie. We bespreken de belangrijkste risico’s en hoe organisaties zich hiertegen kunnen beschermen.

Wat zijn Copilot Agents?

Copilot Agents zijn geavanceerde assistenten die gebruikmaken van AI-technologie om gebruikers te ondersteunen bij allerlei taken. Ze kunnen bijvoorbeeld code genereren, automatiseringen uitvoeren en ingewikkelde analyses ondersteunen. Deze Agents integreren vaak met bestaande softwaretools en maken gebruik van Cloudgebaseerde modellen om zichzelf constant te blijven optimaliseren. Ze werken binnen de bekende omgeving van Microsoft 365 en Dynamics 365. Of je nu verantwoordelijk bent voor sales, customer service, HR of logistiek: er is een agent die je taken sneller en slimmer kan afhandelen.

Hoewel de Agents veel voordelen bieden, brengt hun gebruik ook aanzienlijke IT-risico’s met zich mee. We gaan verder in op vijf concrete IT-risico’s bij het gebruik van Copilot Agents.

Nu al meer weten over Copilot Agents en de kosten ervan? Lees dit blog ook. Maar eerst:

1. Gegevensbeveiliging en privacy

Eén van de grootste zorgen bij het gebruik van Copilot Agents is de veiligheid van gevoelige (bedrijfs)gegevens, zoals klantdata. AI-modellen verwerken vaak grote hoeveelheden informatie, wat kan leiden tot onbedoelde blootstelling van deze gegevens. Dit kan ontstaan doordat:

• AI-modellen worden getraind op datasets die mogelijk onbedoeld gevoelige informatie bevatten;
• Gebruikers zonder duidelijke richtlijnen per ongeluk vertrouwelijke data invoeren in het AI-systeem;
• API-integraties en cloudopslag onvoldoende beveiligd zijn tegen datalekken;
• AI-tools vaak gebruikmaken van third-party cloudproviders, wat extra risico’s met zich meebrengt.

Oplossing

Zorg voor duidelijke richtlijnen voor je gebruikers over welke gegevens gedeeld mogen worden en gebruik alleen beveiligde AI-oplossingen die voldoen aan regelgeving zoals GDPR. Daarnaast kan het implementeren van encryptie en Access Control Lists (ACLs) helpen om gegevens te beschermen.

2. Vertekende informatie en onjuiste beslissingen

Copilot Agents zijn getraind op enorme datasets, maar deze kunnen onjuiste of onvolledige informatie bevatten. Wat kan dit veroorzaken?

• Trainingsdatasets die bestaan uit een oververtegenwoordiging van bepaalde perspectieven of groepen;
• De mogelijkheid dat AI-modellen patronen leren die in een bepaalde context juist lijken, maar niet altijd kloppen in andere situaties;
• Gebrek aan menselijke controle, wat ervoor zorgt dat fouten niet worden verbeterd;
• Modellen die niet altijd snel genoeg kunnen inspelen op veranderende regelgeving en ethische normen.

Oplossing

Controleer en evalueer regelmatig de antwoorden van Copilot Agents, om zo foutieve of vertekende informatie te herkennen en te verbeteren. Dit gaat over menselijke controle, want AI zelf kan dit niet zelf toetsen. Het trainen van modellen op diverse, goed gestructureerde datasets zorgen ook voor betrouwbaardere resultaten.

3. Cybersecurityrisico’s

AI-tools kunnen een doelwit zijn voor cybercriminelen. Hackers kunnen bijvoorbeeld proberen modellen te manipuleren (ook wel: Adversarial Attacks) of misbruik maken van zwakke plekken in de AI-integratie in je netwerk. Dit risico ontstaat door:

• Slecht geconfigureerde API-toegang, waardoor onbevoegde gebruikers het AI-model kunnen beïnvloeden;
• Mogelijkheden voor invoeraanvallen waarbij cybercriminelen gemanipuleerde data invoeren om verkeerde AI-uitkomsten te forceren;
• Onvoldoende logging en monitoring, waardoor aanvallen niet op tijd worden gedetecteerd;
• Reverse engineering van AI-modellen door hackers om kwetsbaarheden bloot te leggen.

Oplossing

Zorg en implementeer een waterdicht beleid voor beveiligingsmaatregelen zoals encryptie, toegangscontrole en monitoring van AI-gebruik. Zo ben je in staat om vroegtijdig potentiële dreigingen te detecteren. Het toepassen van zero-trust beveiligingsprincipes kan hierbij een extra beschermingslaag bieden.

4. Compliance en juridische verantwoordelijkheid

AI-gestuurde systemen kunnen – soms zonder dat je het in de gaten hebt – in strijd zijn met regelgeving, bijvoorbeeld door automatisch gegenereerde inhoud die niet aan compliance-eisen voldoet. Oorzaken daarvan zijn:

• Het feit dat AI-systemen niet expliciet geprogrammeerd zijn om te voldoen aan specifieke wet- en regelgeving;
• De onduidelijke oorsprong van bepaalde beslissingen, wat auditing lastiger maakt;
• Gebrek aan monitoring, wat ertoe leidt dat ongewenste resultaten pas te laat worden ontdekt;
• Verschillende rechtsgebieden die verschillende regels hanteren, waardoor internationale implementatie erg lastig is.

Oplossing

Niet alleen als organisatie zelf moet je geregeld je AI-tools toetsen, maar het is ook belangrijk om juridische experts regelmatig kritisch te laten kijken naar de kwaliteit en juridische verantwoordelijkheid van je AI-uitvoer. Denk daarbij ook aan het ontwikkelen van een beleid voor de toepassing van Agents dat in lijn is met de huidige wet- en regelgeving. Om up-to-date te blijven, doe je dit met zekere regelmaat. Daarnaast kunnen Explainable AI (XAI)-technieken helpen om beslissingen beter te verantwoorden en compliance te verbeteren.

5. Vertrouwen en adoptie binnen de organisatie

Gebruikers moeten kunnen vertrouwen op de aanbevelingen van Copilot en Agents. Als de AI-tool regelmatig irrelevante of niet-betrouwbare resultaten geeft, is het begrijpelijk dat gebruikers de toepassing niet meer vertrouwen en het dus niet meer gebruiken. Hierdoor loop je als organisatie wél voordelen mis in bijvoorbeeld efficiëntie en automatisering van het werk. Maar waardoor ontstaat dit?

• AI-modellen zijn soms niet goed afgestemd op specifieke bedrijfsprocessen en contexten;
• Alle gebruikers binnen je organisatie kunnen de aanbevelingen anders interpreteren, waardoor inconsistentie in beleving en uiteindelijk zelfs besluitvorming kan ontstaan;
• Agents zijn niet altijd transparant over waar zij hun aanbevelingen vandaan halen, wat het soms moeilijk maakt om erop te vertrouwen;
• Gebrek aan gebruikersacceptatie door een te hoge afhankelijkheid van black-box modellen zonder duidelijke uitleg.

Oplossing

Communiceer transparant met je gebruikers over de mogelijke beperkingen van AI en waar je menselijke controle op moet uitvoeren. Dit kan ook in de vorm van trainingen voor medewerkers, dat helpt om verwachtingen te managen en het gebruik te optimaliseren.

Conclusie

Hoewel Copilot Agents veel voordelen bieden, moeten organisaties en gebruikers zich bewust zijn van de IT-risico’s die daarbij kunnen komen kijken. Denk bijvoorbeeld aan het terugkrijgen van onjuiste informatie tot zelf slachtoffer worden van een datalek van gevoelige informatie. Om deze risico’s te minimaliseren, is het belangrijk om voorafgaand aan de toepassing van Agents de nodige maatregelen te treffen. Uiteindelijk komt het vaak neer op menselijke controles. Door zelf, of via een expert, de AI-outcome kritisch te bekijken, te controleren, en beheer te houden op de data die worden gebruikt voor de toepassing van AI.

Een goede data- en IT-governance strategie is daarbij een belangrijk punt. Eerder schreven we over hoe je met data governance verantwoord AI kunt inzetten binnen je organisatie. Meer weten over de risico’s voor jouw organisatie of sparren over bepaalde uitdagingen? Wij helpen graag. Just let us know!