We hebben eerder al besproken wat Shadow AI en BYOAI zijn en hoe het ongeautoriseerde of onbeheerde gebruik van AI-tools en -platformen risico's voor bedrijven met zich mee kan brengen. Om de impact van BYOAI (Bring Your Own AI) en Shadow AI op verschillende sectoren te illustreren, volgen hier enkele praktijkvoorbeelden en scenario's uit de technologie-, financiële en gezondheidszorgsector die grote Fortune 500-bedrijven hebben getroffen. Deze casestudies laten zien hoe Shadow AI werd geïntroduceerd en hoe de bedrijven daarop reageerden.
JPMorgan Chase beperkt het gebruik van AI.
Onder verwijzing naar zorgen over naleving van wet- en regelgeving en privacy, verboden of beperkten JPMorgan en diverse andere grote banken (Bank of America, Citigroup, Deutsche Bank, Wells Fargo, Goldman Sachs) het gebruik van ChatGPT en soortgelijke tools door werknemers op de werkplek. Naarmate het gebruik van generatieve AI toenam, begonnen financiële instellingen zich zorgen te maken over datalekken en nalevingsrisico's die gepaard gingen met ongeoorloofd gebruik. Om het zekere voor het onzekere te nemen, namen veel banken snel maatregelen om gevoelige klantgegevens te beschermen.
Amazon detecteert interne gegevens in ChatGPT
Amazon ontdekte dat de reacties van ChatGPT sterk overeenkwamen met hun interne, bedrijfseigen data. Hieruit concludeerden ze dat medewerkers het grote taalmodel waren gaan gebruiken en gevoelige informatie hadden ingevoerd. Als reactie hierop vaardigde het management van Amazon een richtlijn uit die medewerkers verbood om code of gevoelige informatie te delen met externe AI-aanbieders.
Samsung lekt vertrouwelijke code via ChatGPT
Bij de halfgeleiderdivisie van Samsung begonnen ingenieurs ChatGPT te gebruiken voor het programmeren en het maken van notulen tijdens vergaderingen. Binnen drie weken vonden er drie incidenten plaats waarbij medewerkers per ongeluk gevoelige gegevens, waaronder Samsungs eigen broncode en een transcript van een interne vergadering, in ChatGPT invoerden. Zodra de gegevens in het systeem van OpenAI terechtkwamen, verloor Samsung de controle. Na de lekken voerde Samsung snel een verbod in op externe generatieve AI-tools op zijn bedrijfsnetwerken en startte een intern onderzoek. Het bedrijf begon ook met de ontwikkeling van een eigen AI-tool om de afhankelijkheid van openbare modellen te verminderen. Het wordt nu gezien als een waarschuwend voorbeeld van hoe schaduw-AI mis kan gaan.
Apple verbiedt ChatGPT en GitHub Copilot voor werknemers.
Apple verbood zijn werknemers, onder verwijzing naar het risico op datalekken, het gebruik van ChatGPT, Microsofts GitHub Copilot en vergelijkbare AI-tools op het werk. De leiding van Apple was bezorgd dat medewerkers onbewust vertrouwelijke informatie (zoals softwarecode voor nog niet uitgebrachte producten) zouden delen met systemen van externe leveranciers. Opvallend is dat de beperkingen van Apple kort na het Samsung-incident kwamen, en een rapport van de Wall Street Journal benadrukte dat deze AI-diensten werden ondersteund door concurrenten (in dit geval Microsoft). De stap van Apple onderstreepte het belang van de bescherming van intellectueel eigendom in het tijdperk van BYOAI (Bring Your Own AI).
Schaduw-AI in de gezondheidszorg: een risico dat aan de horizon dreigt
Schaduw-AI heeft in de gezondheidszorg nog geen krantenkoppen gehaald, maar het is wel degelijk een serieuze zorg. Sommige artsen en ziekenhuismedewerkers testen in het geheim tools zoals ChatGPT om te helpen bij het schrijven van patiëntenverslagen en verwijsbrieven, en bij het analyseren van klinische gegevens. Daarbij hebben sommigen onbedoeld beschermde gezondheidsinformatie (PHI) ingevoerd in AI-systemen van derden, waarmee ze de privacywetgeving voor patiënten schenden. Een arts zou bijvoorbeeld delen van het medisch dossier van een patiënt in ChatGPT kunnen invoeren om een samenvattende brief te genereren. Deze ogenschijnlijk onschuldige tijdsbesparing vormt een HIPAA-schending, omdat de PHI het beveiligde systeem van het ziekenhuis verlaat en wordt doorgegeven aan de servers van OpenAI.
Een dergelijke actie zou kunnen leiden tot overheidsinspecties en boetes voor de zorgverlener. Geen enkel ziekenhuis heeft publiekelijk melding gemaakt van een aanzienlijke boete in verband met ChatGPT en HIPAA, maar medische centra blijven voorzichtig. Experts van USC en advocatenkantoren hebben in medische tijdschriften waarschuwingen gepubliceerd over hoe gemakkelijk een arts de privacyregels zou kunnen overtreden door gebruik te maken van generatieve AI.
Sommige ziekenhuizen implementeren trainingen en technische maatregelen om te voorkomen dat artsen patiëntgegevens in chatbots plakken. Deze situatie laat zien dat de kosten van 'Shadow AI' in de gezondheidszorg kunnen bestaan uit juridische sancties en verlies van patiëntenvertrouwen.
Aanvullende voorbeelden van Shadow AI naarmate vergelijkbare patronen aan het licht komen.
Verzekeringen en juridische zaken: Werknemers van verzekeringsmaatschappijen of advocatenkantoren kunnen AI-tools gebruiken om polissen of contracten op te stellen, waardoor onbedoeld klantgegevens of vertrouwelijke details van een zaak openbaar worden gemaakt. Dit brengt risico's met zich mee op het gebied van aansprakelijkheid en vertrouwelijkheid.
Onderwijs: Leraren of beheerders die AI gebruiken om leerlinggegevens te beheren, kunnen privacywetten zoals FERPA overtreden. Sommige schooldistricten hebben ChatGPT verboden uit angst dat medewerkers leerlinginformatie of examenmateriaal zouden kunnen lekken.
Productie en energie: Ingenieurs zouden AI kunnen gebruiken om ontwerpen of onderhoudsschema's te verbeteren met behulp van bedrijfseigen gegevens over faciliteiten, die gevoelig kunnen zijn om veiligheids- of concurrentieredenen.
Overheid: Overheidsmedewerkers wordt afgeraden om ongeautoriseerde AI te gebruiken voor officiële documenten vanwege beveiligingsclassificaties en de privacy van burgergegevens. Zo hebben sommige nationale overheden tools zoals ChatGPT tijdelijk geblokkeerd op werkapparaten tijdens veiligheidscontroles.
Conclusie
Elk van deze sectoren staat voor een gemeenschappelijke uitdaging: hoe de productiviteitsvoordelen van AI te benutten zonder de gegevensbeveiliging en compliance in gevaar te brengen. De bovenstaande casestudies, met name die uit 2023, laten zien dat veel toonaangevende organisaties snel reageerden op vroege BYOAI-incidenten. Deze trend is zichtbaar in alle sectoren, ongeoorloofd AI-gebruik is wijdverspreid en effectief bestuur is nu een topprioriteit om te voorkomen dat kleine fouten uitgroeien tot grote rampen.
Laat Shadow AI uw bedrijf niet in gevaar brengen.
TrustedTech kan u helpen uw organisatie te beveiligen tegen ongeoorloofd gebruik van AI, gevoelige gegevens te beschermen en naleving van de regelgeving te waarborgen, voordat een kleine fout een grote ramp wordt.
