Dit jaar heeft Microsoft wereldwijd hun Copilot-software voor Microsoft 365 gelanceerd, waardoor de AI-assistent binnen handbereik komt van elke organisatie. Copilot biedt de mogelijkheid om kunstmatige intelligentie toe te passen in het dagelijkse werk, die verder gaat dan ChatGPT. Hierin schuilt wel een potentieel gevaar. Microsoft heeft veel gedaan om Copilot volgens wet- en regelgeving te laten werken en te beveiligen. Er wordt gecontroleerd of de medewerker de data mag gebruiken. En daar zit een belangrijk punt. Het is namelijk maar de vraag of je als organisatie de toegang tot deze data goed hebt geregeld.
Copilot en onbedoelde toegang tot gevoelige data
Copilot hanteert bestaande gebruikersrechten om te bepalen tot welke gegevens een medewerker toegang heeft. Als een gebruiker Copilot om informatie vraagt over een project, analyseert Copilot alle inhoud – bestanden, e-mails, chats, notities, etcetera – waartoe die medewerker toegang heeft om resultaten te produceren. De AI-assistent kan zo bijvoorbeeld met suggesties komen van bestanden die persoonsgegevens bevatten. Aangezien die gebruiker technisch gezien toegang heeft tot het bestand, weet Copilot niet dat ik de werknemersgegevens in het bestand mogelijk niet (meer) zou mogen zien. Denk aan een medewerker die tijdelijke toegang had tot een map, maar de rechten zijn nooit ingetrokken. Of een medewerker die van functie gewijzigd is, maar nog toegang heeft tot alle klantdata.
Het is dus van belang om te controleren of een medewerker alleen toegang heeft tot data die relevant is voor zijn of haar functie. Het implementeren van een goed data governance beleid is essentieel. Bij het werken met data binnen een organisatie wil je immers dat alleen de medewerkers die de data voor hun werk nodig hebben, toegang hebben. Niet-essentiële toegang tot gegevens moet worden beperkt of uitgesloten. Ook leg je in zo’n beleid vast wie welke verantwoordelijkheden draagt met betrekking tot de opgeslagen data en voor welke doeleinden de data mag worden gebruikt. Op deze manier voorkom je datalekken.
Een paar basistips zijn:
- Zorg dat je processen hebt voor nieuwe medewerkers, als ze in dienst treden, uit dienst gaan of van functie veranderen;
- Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben;
- Haal de toegang van vertrekkende collega’s direct weg van informatie en systemen;
- Verwijder accounts die niet gebruikt worden.
Copilot biedt kansen om ons werk makkelijker te maken, maar het kan ook een gevaar worden, wanneer het securitybeleid van je organisatie niet goed op orde is. Daarom is het belangrijk om verantwoord met AI om te gaan. Alleen op deze manier kunnen we ervoor zorgen dat AI een krachtig en waardevol hulpmiddel wordt voor iedereen.
Door Dominique Frison, Sales Consultant Security bij Ictivity
Terug naar overzicht