Naarmate kunstmatige intelligentie dieper in dagelijkse werkprocessen wordt geïntegreerd, is er een nieuw risico op het gebied van cyberbeveiliging ontstaan — AI Shadow IT. In tegenstelling tot traditionele Shadow IT, waarbij niet-goedgekeurde software of clouddiensten worden gebruikt, betreft AI Shadow IT het ongecontroleerde en vaak onzichtbare gebruik van AI-tools door werknemers. Inzicht in en detectie van deze verborgen risico’s op persoonlijke computers is cruciaal voor het behoud van gegevensintegriteit op zowel persoonlijk als organisatorisch niveau.
AI Shadow IT verwijst naar het gebruik van AI-toepassingen en -diensten zonder formele goedkeuring of toezicht, met name in werkomgevingen. Denk hierbij aan het gebruik van taalmodellen, transcriptiesoftware of beeldgeneratoren die niet door de IT-afdeling zijn goedgekeurd.
Dergelijke tools worden vaak gebruikt voor efficiëntie of automatisering, maar kunnen ook beveiligingsrisico’s, datalekken of complianceproblemen veroorzaken — vooral wanneer ze toegang krijgen tot gevoelige bestanden of interne systemen.
Het grootste risico is het gebrek aan zichtbaarheid. Wanneer een AI-tool data verwerkt zonder toezicht, zijn gebruikers en organisaties zich vaak niet bewust van de risico’s met betrekking tot opslag, overdracht of externe toegang.
De meeste AI-tools zijn browsergebaseerd en vereisen geen installatie. Daardoor vallen ze niet op bij traditionele systeemcontroles of beveiligingssoftware.
Sommige AI-functies zitten verborgen in plug-ins of extensies van vertrouwde software, waardoor ze onschuldig lijken. Ook gebruiken werknemers vaak persoonlijke apparaten, waardoor bedrijfsbeveiliging wordt omzeild.
Dit maakt detectie lastig: AI-activiteit lijkt op normaal surfgedrag. Zonder specifieke monitoring kunnen deze tools lange tijd onopgemerkt blijven.
Detectie vereist een combinatie van handmatige controle en technologie. Begin met het controleren van browsergeschiedenis op AI-gerelateerde sites zoals ChatGPT, Copy.ai of Jasper.
Controleer ook geïnstalleerde browserextensies. Veel AI-assistenten zijn beschikbaar als plug-ins en kunnen toegang hebben tot pagina-inhoud of toetsaanslagen manipuleren.
Let op systeem- of netwerkgedrag. Ongebruikelijke data-overdrachten of plotseling hoge CPU/RAM-belasting kunnen wijzen op verborgen AI-gebruik.
Beveiligingssoftware zoals Bitdefender of Kaspersky met gedragsanalyse kan verdachte AI-activiteit signaleren. Geavanceerdere EDR-tools (endpoint detection & response) herkennen sommige AI-processen.
Gratis tools zoals Process Explorer of Wireshark tonen actieve processen en netwerkverkeer. Op macOS bieden Activity Monitor en Little Snitch vergelijkbare functies.
Door systeemmonitoring op brede schaal in te zetten, kunnen ook browsergebaseerde AI-tools worden opgespoord, vooral wanneer ze bestanden openen of online data uitwisselen.
Niet elk gebruik van AI is riskant, maar ongecontroleerd gebruik is dat wel. Daarom is het belangrijk om duidelijke richtlijnen op te stellen over het gebruik van AI-tools — voor zowel werknemers als individuele gebruikers.
Definieer wat wel en niet is toegestaan, vooral bij gevoelige gegevens. Moedig openheid aan: laat gebruikers melden welke AI-tools zij gebruiken.
Blijf op de hoogte van nieuwe AI-ontwikkelingen. Veel AI-tools ontwikkelen zich snel, waardoor ze van eenvoudige automatiseringstools kunnen veranderen in diep geïntegreerde systemen met grotere risico’s.
Stel een lijst op van toegestane AI-tools en houd deze actueel. Gebruik monitoringsoftware om afwijkend gedrag tijdig te detecteren. Informeer gebruikers over de risico’s van niet-goedgekeurde AI-toepassingen.
Gebruik tweefactorauthenticatie op diensten die door AI-tools worden gebruikt om gegevensdiefstal te voorkomen. Verbind geen niet-goedgekeurde AI-tools met cloudopslag, e-mail of tekstverwerkers.
Een evenwicht vinden tussen innovatie en veiligheid is cruciaal. Door AI Shadow IT tijdig te detecteren en te beheren, kunnen gebruikers profiteren van AI zonder hun gegevens in gevaar te brengen.