Kunstmatige intelligentie is het grootste ongecontroleerde kanaal voor bedrijfsdata-exfiltratie geworden en overtreft zowel schaduw-SaaS als onbeheerd delen van bestanden, volgens een nieuw rapport van AI- en browserbeveiligingsbedrijf LayerX. Het onderzoek, gebaseerd op real-world enterprise browsen-telemetrie, geeft aan dat het voornaamste risico van AI in de onderneming niet een toekomstige bedreiging is, maar een hedendaagse realiteit die zich ontvouwt in de dagelijkse workflows. Gevoelige bedrijfsgegevens stromen nu al in hoog tempo naar generatieve AI-tools zoals ChatGPT, Claude en Copilot, voornamelijk via onbeheerde persoonlijke accounts en de kopieer-en-plakfunctie.
De snelle, ongecontroleerde adoptie van AI
AI-tools hebben in slechts twee jaar tijd een adoptieniveau bereikt waar andere technologieën tientallen jaren over deden. Bijna de helft van alle werknemers in ondernemingen (45%) maakt al gebruik van generatieve AI, waarbij ChatGPT alleen al een penetratiegraad van 43% bereikt. AI is nu verantwoordelijk voor 11% van alle zakelijke applicatie-activiteiten, en concurreert daarmee met apps voor het delen van bestanden en kantoorproductiviteit. Deze groei heeft grotendeels plaatsgevonden zonder overeenkomstig bestuur. Uit het rapport blijkt dat 67% van het AI-gebruik plaatsvindt via onbeheerde persoonlijke accounts, waardoor beveiligingsteams geen zicht hebben op welke werknemers welke tools gebruiken of welke gegevens worden gedeeld.
Gevoelige gegevens lekken via bestanden en kopiëren en plakken
Het onderzoek bracht alarmerende trends aan het licht in de manier waarop met AI-platforms wordt omgegaan met gevoelige gegevens.
- Bestandsuploads: 40% van de bestanden die naar generatieve AI-tools worden geüpload, bevatten persoonlijk identificeerbare informatie (PII) of gegevens uit de betaalkaartindustrie (PCI). Bijna vier op de tien van deze uploads worden gedaan via persoonlijke accounts.
- Kopiëren en plakken: Het primaire kanaal voor datalekken is de kopieer-plakfunctie. 77% van de werknemers plakt gegevens in generatieve AI-tools, en 82% van die activiteit komt van onbeheerde persoonlijke accounts. Gemiddeld plakken medewerkers minimaal drie keer per dag via persoonlijke accounts gevoelige gegevens in deze tools.
Het rapport identificeert kopiëren en plakken in generatieve AI als de belangrijkste vector voor bedrijfsgegevens die de controle over de onderneming verlaten. Traditionele beveiligingsprogramma’s gericht op het scannen van bestandsbijlagen en het blokkeren van ongeautoriseerde uploads missen deze bedreiging volledig.
Andere belangrijke blinde vlekken op het gebied van beveiliging
Het rapport belicht nog twee andere kritieke gebieden waarop bedrijfsgegevens gevaar lopen.
- Niet-federatieve logins: Zelfs als werknemers bedrijfsreferenties gebruiken voor platforms met een hoog risico, zoals CRM- en ERP-systemen, omzeilen ze grotendeels single sign-on (SSO). 71% van de CRM-aanmeldingen en 83% van de ERP-aanmeldingen zijn niet-gefedereerd, waardoor een bedrijfsaanmelding functioneel hetzelfde is als een persoonlijke aanmelding vanuit het oogpunt van beveiligingszichtbaarheid.
- Instant messaging: 87% van het zakelijke chatgebruik vindt plaats via onbeheerde persoonlijke accounts, en 62% van de gebruikers plakt daar PII- of PCI-gegevens in.
Aanbevelingen voor bedrijfsbeveiliging in het AI-tijdperk
Het rapport biedt verschillende duidelijke aanbevelingen voor veiligheidsleiders.
- Beschouw AI-beveiliging als een kerncategorie voor ondernemingen, en niet als een opkomende categorie, met monitoring van uploads, aanwijzingen en kopieer- en plakstromen.
- Schakel over van een bestandsgericht beveiligingsmodel naar een actiegericht beveiligingsmodel dat rekening houdt met bestandsloze methoden zoals kopiëren, plakken en chatten.
- Beperk het gebruik van onbeheerde persoonlijke accounts en dwing federatieve logins af voor alle bedrijfsapplicaties.
- Geef prioriteit aan de applicatiecategorieën met het hoogste risico voor de strengste controles: AI, chat en bestandsopslag.
De bevindingen schetsen een duidelijk beeld: de beveiligingsperimeter van de onderneming is verschoven naar de browser, waar werknemers gevoelige gegevens vloeiend kunnen verplaatsen tussen gesanctioneerde en niet-goedgekeurde tools. Het rapport concludeert dat als beveiligingsteams zich niet aanpassen aan deze nieuwe realiteit, AI niet alleen de toekomst van werk zal vormgeven, maar ook de toekomst van datalekken.
