AI Data Security Rapport: 83% van de organisaties missen basismaatregelen
Uit een nieuw brancheonderzoek van Kiteworks blijkt dat er een cruciale kloof bestaat tussen de waargenomen en daadwerkelijke AI-beveiligingsgereedheid binnen organisaties. Het onderzoek, waarbij 461 cybersecurity- en IT-professionals werden ondervraagd, toont aan dat slechts 17% van de bedrijven geautomatiseerde technische controles heeft om te voorkomen dat medewerkers gevoelige gegevens uploaden naar AI-tools zoals ChatGPT. De overige 83% vertrouwt op ineffectieve, mensafhankelijke maatregelen zoals trainingssessies, waarschuwingsmails of schriftelijke richtlijnen—waarbij 13% helemaal geen beleid heeft. Dit beveiligingstekort wordt versterkt door een gevaarlijke overmoed, waarbij 33% van de leidinggevenden beweert volledige AI-gebruikstracering te hebben, terwijl onafhankelijke onderzoeken aantonen dat slechts 9% over functionerende governance-systemen beschikt.
De omvang van gegevensblootstelling is alarmerend: 27% van de organisaties geeft toe dat meer dan 30% van de informatie die naar AI-tools wordt gestuurd, privégegevens bevat zoals burgerservicenummers, medische dossiers, creditcardinformatie en handelsgeheimen. Nog eens 17% heeft geen inzicht in wat medewerkers delen met AI-platforms. De opkomst van “shadow AI”—niet-geautoriseerde tools die door medewerkers worden gedownload—creëert duizenden onzichtbare datalekpunten. Met 86% van de organisaties die geen zicht hebben op AI-datastromen en een gemiddeld bedrijf met 1.200 niet-officiële applicaties, stromen gevoelige gegevens routinematig AI-systemen binnen, waar ze permanent worden opgenomen in trainingsmodellen en mogelijk toegankelijk zijn voor concurrenten of kwaadwillenden.
Naleving van regelgeving vormt een andere kritieke uitdaging nu de handhaving versnelt. Amerikaanse instanties vaardigden in 2024 59 AI-regelgevingen uit, meer dan het dubbele van het voorgaande jaar, maar slechts 12% van de bedrijven noemt nalevingsinbreuken als een van hun belangrijkste AI-zorgen. De huidige praktijken schenden dagelijks specifieke bepalingen van de GDPR, California Consumer Privacy Act (CCPA), HIPAA en SOX-regelgeving. Zonder goed inzicht in AI-interacties kunnen organisaties niet reageren op verzoeken tot gegevensverwijdering, vereiste audittrails bijhouden of compliance aantonen tijdens regelgevende controles. De mediane hersteltijd voor blootgestelde inloggegevens loopt op tot 94 dagen, waardoor aanvallers maanden de tijd krijgen om gelekte toegang te misbruiken.
Het rapport benoemt vier dringende acties die organisaties moeten nemen: voer eerlijke audits uit van het daadwerkelijke AI-gebruik om de 300% overmoedkloof te dichten; zet geautomatiseerde technische controles in, aangezien mensafhankelijke maatregelen consequent falen; richt centrale, uniforme gegevensbeheer-commandocentra in om alle AI-gerelateerde datastromen te monitoren; en implementeer uitgebreid risicobeheer met realtime monitoring over alle platforms. De samenkomst van explosieve AI-adoptie, toenemende beveiligingsincidenten en versnellende regelgeving zorgt voor een snel sluitend tijdsvenster voor actie. Organisaties die hun AI-gebruik nu niet beveiligen, lopen aanzienlijke regelgevende boetes, reputatieschade en een competitief nadeel op, omdat gevoelige gegevens die vandaag worden gedeeld, permanent in AI-systemen worden opgenomen.
Aanvullende bronnen
- Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
- Blog Post Rapport: Het beschermen van gevoelige inhoudscommunicatie is belangrijker dan ooit
- Blog Post Wat het betekent om Zero Trust uit te breiden naar de contentlaag
- Blog Post Bescherming van gevoelige data in het tijdperk van Generatieve AI: risico’s, uitdagingen en oplossingen
- Blog Post Zero Trust voor gegevensprivacy: een praktische benadering van compliance en bescherming