Beleid, isolatie en gegevenscontroles die echt werken

Cyberbeveiliging
Securing GenAI in the Browser

De browser is voor de meeste ondernemingen de belangrijkste interface voor GenAI geworden: van webgebaseerde LLM’s en copiloten tot door GenAI aangedreven extensies en agentische browsers zoals ChatGPT Atlas. Werknemers maken gebruik van de kracht van GenAI om e-mails op te stellen, documenten samen te vatten, aan code te werken en gegevens te analyseren, vaak door gevoelige informatie rechtstreeks in prompts te kopiëren/plakken of door bestanden te uploaden.

Traditionele beveiligingscontroles zijn niet ontworpen om dit nieuwe, promptgestuurde interactiepatroon te begrijpen, waardoor er een kritieke blinde vlek overblijft waar het risico het grootst is. Beveiligingsteams staan ​​tegelijkertijd onder druk om meer GenAI-platforms mogelijk te maken, omdat deze de productiviteit duidelijk verhogen.

Het eenvoudigweg blokkeren van AI is onrealistisch. De duurzamere aanpak is om GenAI-platforms te beveiligen waar ze toegankelijk zijn voor gebruikers: binnen de browsersessie.

Het GenAI-browserbedreigingsmodel

Het GenAI-in-the-browser-bedreigingsmodel moet vanwege verschillende belangrijke factoren anders worden benaderd dan traditioneel surfen op het web.

  1. Gebruikers plakken routinematig hele documenten, code, klantgegevens of gevoelige financiële informatie in promptvensters. Dit kan leiden tot gegevensblootstelling of langdurige bewaring in het LLM-systeem.
  2. Het uploaden van bestanden brengt soortgelijke risico’s met zich mee wanneer documenten worden verwerkt buiten goedgekeurde dataverwerkingspijplijnen of regionale grenzen, waardoor organisaties het risico lopen de regelgeving te overtreden.
  3. GenAI-browserextensies en -assistenten vereisen vaak brede machtigingen om pagina-inhoud te lezen en aan te passen. Dit omvat gegevens van interne webapps die gebruikers nooit met externe services wilden delen.
  4. Gemengd gebruik van persoonlijke en zakelijke accounts in hetzelfde browserprofiel bemoeilijkt attributie en beheer.

Al deze gedragingen bij elkaar creëren een risicooppervlak dat onzichtbaar is voor veel bestaande controles.

Beleid: veilig gebruik definiëren in de browser

Een werkbare GenAI-beveiligingsstrategie in de browser is een duidelijk, afdwingbaar beleid dat definieert wat ‘veilig gebruik’ betekent.

CISO’s moeten GenAI-tools categoriseren in gesanctioneerde diensten en publieke tools en applicaties met verschillende risicobehandelingen en monitoringniveaus toestaan/niet toestaan. Nadat ze duidelijke grenzen hebben gesteld, kunnen bedrijven de handhaving op browserniveau afstemmen, zodat de gebruikerservaring overeenkomt met de beleidsintentie.

Een sterk beleid bestaat uit specificaties waarrond gegevenstypen nooit zijn toegestaan ​​in GenAI-prompts of uploads. Veelvoorkomende beperkte categorieën zijn onder meer gereguleerde persoonlijke gegevens, financiële details, juridische informatie, bedrijfsgeheimen en broncode. De beleidstaal moet ook concreet zijn en consequent worden afgedwongen door technische controles, in plaats van te vertrouwen op het oordeel van de gebruiker.

Gedragsregels waar gebruikers mee kunnen leven

Naast het toestaan ​​of weigeren van applicaties hebben bedrijven vangrails nodig die bepalen hoe werknemers GenAI in de browser moeten openen en gebruiken. Het vereisen van eenmalige aanmelding en bedrijfsidentiteiten voor alle gesanctioneerde GenAI-services kan de zichtbaarheid en controle verbeteren en tegelijkertijd de kans verkleinen dat gegevens in onbeheerde accounts terechtkomen.

Het afhandelen van uitzonderingen is net zo belangrijk, omdat teams zoals onderzoek of marketing mogelijk meer tolerante GenAI-toegang nodig hebben. Anderen, zoals de financiële of juridische sector, hebben wellicht strengere vangrails nodig. Een formeel proces voor het aanvragen van beleidsuitzonderingen, op tijd gebaseerde goedkeuringen en beoordelingscycli zorgt voor flexibiliteit. Deze gedragselementen maken technische controles voorspelbaarder en acceptabeler voor eindgebruikers.

Isolatie: risico beperken zonder de productiviteit te schaden

Isolatie is de tweede belangrijke pijler van het beveiligen van browsergebaseerd GenAI-gebruik. In plaats van een binair model kunnen organisaties specifieke benaderingen gebruiken om de risico’s te verminderen wanneer toegang wordt verkregen tot GenAI. Speciale browserprofielen creëren bijvoorbeeld grenzen tussen gevoelige interne apps en GenAI-zware workflows.

Controles per locatie en per sessie vormen een extra verdedigingslaag. Een beveiligingsteam kan GenAI bijvoorbeeld toegang verlenen tot aangewezen ‘veilige’ domeinen, terwijl de mogelijkheid van AI-tools en extensies wordt beperkt om inhoud te lezen van zeer gevoelige applicaties zoals ERP- of HR-systemen.

Deze aanpak stelt werknemers in staat GenAI te blijven gebruiken voor generieke taken, terwijl de kans wordt verkleind dat vertrouwelijke gegevens worden gedeeld met tools van derden die via de browser toegankelijk zijn.

Gegevensbediening: precisie-DLP voor aanwijzingen en pagina’s

Beleid definieert de intentie, en isolatie beperkt de blootstelling. Gegevenscontroles bieden het precieze handhavingsmechanisme aan de rand van de browser. Het inspecteren van gebruikersacties zoals kopiëren/plakken, slepen en neerzetten en bestandsuploads op het punt waarop ze vertrouwde apps verlaten en GenAI-interfaces openen, is van cruciaal belang.

Effectieve implementaties moeten meerdere handhavingsmodi ondersteunen: alleen monitoren, gebruikerswaarschuwingen, tijdige educatie en harde blokken voor duidelijk verboden gegevenstypen. Deze gelaagde aanpak helpt de frictie bij gebruikers te verminderen en ernstige lekken te voorkomen.

GenAI-browserextensies beheren

Door GenAI aangedreven browserextensies en zijpanelen vormen een lastige risicocategorie. Velen bieden handige functies zoals paginasamenvattingen, het maken van antwoorden of gegevensextractie. Maar hiervoor zijn vaak uitgebreide machtigingen nodig om pagina-inhoud, toetsaanslagen en klembordgegevens te lezen en te wijzigen. Zonder toezicht kunnen deze extensies een exfiltratiekanaal voor gevoelige informatie worden.

CISO’s moeten op de hoogte zijn van de door AI aangedreven extensies die in hun onderneming worden gebruikt, deze indelen op risiconiveau en een lijst met standaard weigeren of toestaan ​​met beperkingen afdwingen. Het gebruik van een Secure Enterprise Browser (SEB) voor continue monitoring van nieuw geïnstalleerde of bijgewerkte extensies helpt bij het identificeren van wijzigingen in machtigingen die in de loop van de tijd nieuwe risico’s met zich mee kunnen brengen.

Identiteit, accounts en sessiehygiëne

Identiteits- en sessieafhandeling staan ​​centraal in de GenAI-browserbeveiliging, omdat ze bepalen welke gegevens bij welk account horen. Het afdwingen van SSO voor gesanctioneerde GenAI-platforms en het terugkoppelen van het gebruik aan bedrijfsidentiteiten zal de registratie en respons op incidenten vereenvoudigen. Besturingselementen op browserniveau kunnen kruistoegang tussen werk- en persoonlijke contexten helpen voorkomen. Organisaties kunnen bijvoorbeeld het kopiëren van inhoud van bedrijfsapps naar GenAI-applicaties blokkeren wanneer de gebruiker niet is geverifieerd bij een bedrijfsaccount.

Zichtbaarheid, telemetrie en analyse

Uiteindelijk is een werkend GenAI-beveiligingsprogramma afhankelijk van nauwkeurig inzicht in de manier waarop werknemers browsergebaseerde GenAI-tools gebruiken. Het is allemaal nodig om na te gaan welke domeinen en apps worden geopend, welke inhoud in prompts wordt ingevoerd en hoe vaak beleid waarschuwingen of blokkades activeert. Door deze telemetrie samen te voegen in de bestaande logging- en SIEM-infrastructuur kunnen beveiligingsteams patronen, uitschieters en incidenten identificeren.

Analyses die op deze gegevens zijn gebaseerd, kunnen helpen echte risico’s onder de aandacht te brengen. Bedrijven kunnen bijvoorbeeld duidelijk bepalen of niet-gevoelige en propriëtaire broncode in prompts wordt ingevoerd. Met behulp van deze informatie kunnen SOC-teams de regels verfijnen, de isolatieniveaus aanpassen en de training richten op de plek waar deze de grootste impact zal hebben.

Verandermanagement en gebruikerseducatie

CISO’s met succesvolle GenAI-beveiligingsprogramma’s investeren in de tijd om het ‘waarom’ achter de beperkingen uit te leggen. Door concrete scenario’s te delen die aansluiten bij verschillende rollen, kunt u de kans verkleinen dat uw programma mislukt. Ontwikkelaars hebben voorbeelden nodig die verband houden met IP, terwijl verkoop- en ondersteuningspersoneel profiteren van verhalen over klantvertrouwen en contractdetails. Het delen van op scenario’s gebaseerde content met relevante partijen zal goede gewoonten op de juiste momenten versterken.

Wanneer werknemers begrijpen dat vangrails zijn ontworpen om hun vermogen om GenAI op grote schaal te gebruiken te behouden en hen niet te hinderen, is de kans groter dat ze de richtlijnen volgen. Door de communicatie af te stemmen op bredere AI-governance-initiatieven kunnen bedieningselementen op browserniveau worden geplaatst als onderdeel van een samenhangende strategie in plaats van als een geïsoleerde strategie.

Een praktische uitrolbenadering van 30 dagen

Veel organisaties zijn op zoek naar een pragmatisch pad om van ad-hoc browsergebaseerd GenAI-gebruik over te stappen naar een gestructureerd, beleidsgestuurd model.

Een effectieve manier om dit te doen is het gebruik van een Secure Enterprise Browsing (SEB)-platform dat u de benodigde zichtbaarheid en bereik kan bieden. Met de juiste SEB kunt u de huidige GenAI-tools die binnen uw onderneming worden gebruikt in kaart brengen, zodat u beleidsbeslissingen kunt nemen, zoals alleen monitoren of waarschuwen en opleiden voor duidelijk risicovol gedrag. In de daaropvolgende weken kan de handhaving worden uitgebreid naar meer gebruikers en gegevenstypen met een hoger risico, veelgestelde vragen en training.

Tegen het einde van een periode van 30 dagen kunnen veel organisaties hun GenAI-browserbeleid formaliseren, waarschuwingen integreren in SOC-workflows en een ritme instellen voor het aanpassen van controles naarmate het gebruik evolueert.

De browser veranderen in het GenAI-besturingsvlak

Terwijl GenAI zich blijft verspreiden over SaaS-apps en webpagina’s, blijft de browser de centrale interface waarmee de meeste werknemers toegang krijgen. De beste GenAI-beveiligingen kunnen eenvoudigweg niet worden verwerkt in bestaande perimetercontroles. Bedrijven kunnen de beste resultaten behalen door de browser als het primaire besturingsvlak te beschouwen. Deze aanpak biedt beveiligingsteams zinvolle manieren om gegevenslekken en compliancerisico’s te verminderen en tegelijkertijd de productiviteitsvoordelen te behouden die GenAI zo krachtig maken.

Met goed ontworpen beleid, afgemeten isolatiestrategieën en browser-native gegevensbescherming kunnen CISO’s overstappen van reactieve blokkering naar zelfverzekerde, grootschalige inschakeling van GenAI voor hun hele personeelsbestand.

Voor meer informatie over Secure Enterprise Browsers (SEB) en hoe zij het gebruik van GenAI binnen uw organisatie kunnen beveiligen, kunt u contact opnemen met een Seraphic-expert.

Het hackernieuws

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Final onthult twee nieuwe audioproducten onder de $ 150

Met de nieuwe AI van Google kun je kleding passen met slechts een selfie

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]