De introductie van Open AI's ChatGPT was een beslissend moment voor de software-industrie en leidde met de release in november 2022 tot een GenAI-race. SaaS-leveranciers haasten zich nu om tools te upgraden met verbeterde productiviteitsmogelijkheden die worden aangestuurd door generatieve AI.
Naast een breed scala aan toepassingen maken GenAI-tools het voor ontwikkelaars gemakkelijker om software te bouwen, helpen ze verkoopteams bij het schrijven van alledaagse e-mails, helpen ze marketeers unieke inhoud te produceren tegen lage kosten en stellen ze teams en creatievelingen in staat om over nieuwe ideeën te brainstormen.
Recente belangrijke GenAI-productlanceringen zijn onder meer Microsoft 365 Copilot, GitHub Copilot en Salesforce Einstein GPT. Opvallend is dat deze GenAI-tools van toonaangevende SaaS-providers betaalde verbeteringen zijn, een duidelijk teken dat geen enkele SaaS-provider de winst uit de GenAI-transformatie zal willen missen. Google lanceert binnenkort zijn SGE ‘Search Generative Experience’-platform voor premium, door AI gegenereerde samenvattingen in plaats van een lijst met websites.
In dit tempo is het slechts een kwestie van korte tijd voordat een vorm van AI-capaciteit standaard wordt in SaaS-applicaties.
Toch komt deze vooruitgang op het gebied van AI in het cloud-enabled landschap niet zonder nieuwe risico's en nadelen voor gebruikers. De brede adoptie van GenAI-apps op de werkplek leidt in snel tempo tot zorgen over de blootstelling aan een nieuwe generatie cyberveiligheidsbedreigingen.
Ontdek hoe u uw SaaS-beveiligingspositie kunt verbeteren en AI-risico's kunt beperken
Reageren op de risico’s van GenAI
GenAI werkt aan trainingsmodellen die nieuwe gegevens genereren die het origineel weerspiegelen op basis van informatie die door gebruikers met de tools wordt gedeeld.
Omdat ChatGPT gebruikers nu waarschuwt wanneer ze inloggen: “Deel geen gevoelige informatie” en “controleer uw feiten”. Op de vraag naar de risico's van GenAI antwoordt ChatGPT: “Gegevens die worden verzonden naar AI-modellen zoals ChatGPT kunnen worden gebruikt voor modeltraining en verbeteringsdoeleinden, waardoor deze mogelijk worden blootgesteld aan onderzoekers of ontwikkelaars die aan deze modellen werken.”
Deze blootstelling vergroot het aanvalsoppervlak van organisaties die interne informatie delen in cloudgebaseerde GenAI-systemen. Nieuwe risico's zijn onder meer het gevaar van IP-lekken, gevoelige en vertrouwelijke klantgegevens en PII, evenals bedreigingen door het gebruik van deepfakes door cybercriminelen die gestolen informatie gebruiken voor phishing-fraude en identiteitsdiefstal.
Deze zorgen, evenals de uitdagingen om te voldoen aan compliance- en overheidsvereisten, veroorzaken een reactie op GenAI-applicaties, vooral door industrieën en sectoren die vertrouwelijke en gevoelige gegevens verwerken. Volgens een recent onderzoek van Cisco heeft meer dan één op de vier organisaties het gebruik van GenAI al verboden vanwege privacy- en gegevensbeveiligingsrisico's.
De banksector was een van de eerste sectoren die het gebruik van GenAI-tools op de werkplek verbood. Leiders in de financiële dienstverlening zijn hoopvol over de voordelen van het gebruik van kunstmatige intelligentie om efficiënter te worden en werknemers te helpen hun werk te doen, maar 30% verbiedt nog steeds het gebruik van generatieve AI-tools binnen hun bedrijf, blijkt uit een onderzoek van Arizent.
Vorige maand legde het Amerikaanse Congres een verbod op op het gebruik van Microsoft's Copilot op alle door de overheid uitgegeven pc's om de cyberbeveiligingsmaatregelen te verbeteren. “De Microsoft Copilot-applicatie wordt door het Office of Cybersecurity beschouwd als een risico voor gebruikers vanwege de dreiging van het lekken van House-gegevens naar niet door het House goedgekeurde clouddiensten”, zei Catherine Szpindor, Chief Administrative Officer van het House, volgens een Axios-rapport. . Dit verbod volgt op het eerdere besluit van de regering om ChatGPT te blokkeren.
Omgaan met gebrek aan toezicht
Afgezien van reactieve GenAI-verboden hebben organisaties ongetwijfeld problemen met het effectief controleren van het gebruik van GenAI, aangezien de toepassingen de werkplek binnendringen zonder training, toezicht of medeweten van werkgevers.
Volgens een recent onderzoek van Salesforce gebruikt meer dan de helft van de GenAI-gebruikers niet-goedgekeurde tools op het werk. Uit het onderzoek blijkt dat ondanks de voordelen die GenAI biedt, een gebrek aan duidelijk gedefinieerd beleid rond het gebruik ervan bedrijven in gevaar kan brengen.
Het goede nieuws is dat dit nu zou kunnen veranderen als werkgevers de nieuwe richtlijnen van de Amerikaanse overheid volgen om het AI-beheer te versterken.
In een verklaring die eerder deze maand werd uitgegeven, gaf vice-president Kamala Harris alle federale agentschappen de opdracht om een Chief AI Officer aan te wijzen met de “ervaring, expertise en autoriteit om toezicht te houden op alle AI-technologieën … om ervoor te zorgen dat AI op verantwoorde wijze wordt gebruikt.”
Nu de Amerikaanse overheid het voortouw neemt om het verantwoorde gebruik van AI en speciale middelen aan te moedigen om de risico’s te beheersen, is de volgende stap het vinden van methoden om de apps veilig te beheren.
Het herwinnen van de controle over GenAI-apps
De GenAI-revolutie, waarvan de risico's in het rijk van het onbekende blijven, komt in een tijd waarin de focus op perimeterbeveiliging steeds meer achterhaald raakt.
Bedreigingsactoren richten zich tegenwoordig steeds meer op de zwakste schakels binnen organisaties, zoals menselijke identiteiten, niet-menselijke identiteiten en verkeerde configuraties in SaaS-applicaties. Actoren van nationale dreigingen hebben recentelijk tactieken zoals brute force-wachtwoordsprays en phishing gebruikt om met succes malware en ransomware te verspreiden, en ook andere kwaadaardige aanvallen op SaaS-applicaties uit te voeren.
De inspanningen om SaaS-applicaties te beveiligen worden ingewikkelder, waardoor de grenzen tussen werk en privé nu vervagen als het gaat om het gebruik van apparaten in het hybride werkmodel. Met de verleidingen die met de kracht van GenAI gepaard gaan, zal het onmogelijk worden om werknemers ervan te weerhouden de technologie te gebruiken, of ze nu gesanctioneerd zijn of niet.
De snelle introductie van GenAI binnen de beroepsbevolking zou daarom een wake-up call moeten zijn voor organisaties om opnieuw te evalueren of ze over de beveiligingstools beschikken om de volgende generatie SaaS-beveiligingsbedreigingen het hoofd te bieden.
Om de controle terug te krijgen en inzicht te krijgen in SaaS GenAI-apps of apps met GenAI-mogelijkheden, kunnen organisaties zich wenden tot geavanceerde zero-trust-oplossingen zoals SSPM (SaaS Security Posture Management) die het gebruik van AI mogelijk kunnen maken en tegelijkertijd de risico’s ervan strikt in de gaten kunnen houden.
Door inzicht te krijgen in elke verbonden AI-app en de beveiligingspositie ervan te meten op risico's die de SaaS-beveiliging kunnen ondermijnen, kunnen organisaties nieuwe en evoluerende bedreigingen voorkomen, detecteren en erop reageren.
Ontdek hoe u SaaS-beveiliging een kickstart geeft voor het GenAI-tijdperk
