ChatGPT vs AVG – wat AI-chatbots betekenen voor gegevensprivacy

Hoewel OpenAI’s ChatGPT de grote taalmodelruimte stormenderhand verovert, is er veel om te overwegen als het gaat om gegevensprivacy

Als je de afgelopen weken op LinkedIn hebt gebladerd, heb je vrijwel zeker een aantal meningen gehoord over ChatGPT. Ontwikkeld door Openai, die ook generatieve AI-tools zoals DALL-E heeft gemaakt, gebruikt ChatGPT een uitgebreid taalmodel op basis van miljarden gegevenspunten van over het hele internet om vragen en instructies te beantwoorden op een manier die een menselijke reactie nabootst. Degenen die interactie hebben met ChatGPT hebben het gebruikt om wetenschappelijke concepten uit te leggen, poëzie te schrijven en academische essays te produceren. Zoals met elke technologie die nieuwe en innovatieve mogelijkheden biedt, is er echter ook een serieus potentieel voor exploitatie en risico’s op het gebied van gegevensprivacy.

ChatGPT is al beschuldigd van het verspreiden van verkeerde informatie door feitelijke vragen op misleidende of onnauwkeurige manieren te beantwoorden, maar het potentiële gebruik ervan door cybercriminelen en slechte actoren is ook een enorme reden tot bezorgdheid.

ChatGPT en de AVG

De methode die OpenAI gebruikt om de gegevens te verzamelen waarop ChatGPT is gebaseerd, moet nog worden bekendgemaakt, maar deskundigen op het gebied van gegevensbescherming hebben gewaarschuwd dat het verkrijgen van trainingsgegevens door simpelweg door het internet te struinen onrechtmatig is. In de EU kan het schrapen van datapunten van sites bijvoorbeeld in strijd zijn met de Avg (en Britse GDPR), de e-privacyrichtlijn en het Handvest van de grondrechten van de EU. Een recent voorbeeld hiervan is Clearview AI, die zijn gezichtsherkenningsdatabank bouwde met behulp van afbeeldingen die van internet waren geschraapt en bijgevolg betekend tenuitvoerleggingsberichten door verschillende toezichthouders voor gegevensbescherming vorig jaar.

Onder AVG hebben mensen ook het recht om te vragen dat hun persoonlijke gegevens volledig uit de administratie van een organisatie worden verwijderd, via wat bekend staat als het “recht op verwijdering”. Het probleem met natuurlijke taalverwerkingstools zoals ChatGPT is dat het systeem potentieel persoonlijke gegevens opneemt, die vervolgens worden omgezet in een soort ‘gegevenssoep’ – waardoor het onmogelijk wordt om de gegevens van een persoon te extraheren.

Het is dan ook helemaal niet duidelijk of ChatGPT voldoet aan AVG. Het lijkt niet transparant genoeg; het kan zijn dat persoonsgegevens op onwettige wijze worden verzameld en verwerkt, en het lijkt erop dat betrokkenen het moeilijk zouden vinden om hun rechten uit te oefenen, waaronder het recht om geïnformeerd te worden en het recht op wissing.

De technische risico’s van ChatGPT

Als een open tool worden de miljarden datapunten waarop ChatGPT is getraind toegankelijk gemaakt voor kwaadwillende actoren die deze informatie kunnen gebruiken om een willekeurig aantal gerichte aanvallen uit te voeren. Een van de meest zorgwekkende mogelijkheden van ChatGPT is het potentieel om realistisch klinkende gesprekken te creëren voor gebruik in social engineering en phishing-aanvallen, zoals het aansporen van slachtoffers om op kwaadaardige links te klikken, malware te installeren of gevoelige informatie weg te geven. De tool opent ook mogelijkheden voor meer geavanceerde imitatiepogingen, waarbij de AI wordt geïnstrueerd om de collega of familielid van een slachtoffer te imiteren om vertrouwen te winnen.

Een andere aanvalsvector kan zijn om machine learning te gebruiken om grote hoeveelheden geautomatiseerde, legitiem ogende berichten te genereren om slachtoffers te spammen en persoonlijke en financiële informatie te stelen. Dit soort aanvallen kan zeer schadelijk zijn voor bedrijven. Bijvoorbeeld een payroll-omleiding Business Email Compromise (BEC) aanval, samengesteld uit imitatie en social engineering tactieken, kan enorme financiële, operationele en reputatie gevolgen hebben voor een organisatie – en ChatGPT zal door sommige kwaadwillende actoren worden gezien als een waardevol wapen voor imitatie en social engineering.

Een kracht ten goede?

Gelukkig is het niet allemaal kommer en kwel: grote taalmodellen zoals ChatGPT hebben ook het potentieel om een krachtige te zijn cyberbeveiliging tool in de toekomst. AI-systemen met een genuanceerd begrip van natuurlijke taal kunnen worden gebruikt om chatgesprekken te controleren op verdachte activiteiten en om het proces van het downloaden van gegevens voor AVG-naleving te automatiseren. Deze automatiseringsmogelijkheden en gedragsanalysetools kunnen door bedrijven in cyberincidentbeheer worden gebruikt om een deel van de handmatige analyse te versnellen die gewoonlijk door professionals wordt uitgevoerd. Realistische taalgesprekken zijn ook een geweldig educatief hulpmiddel voor cyberteams als ze worden gebruikt om phishing-simulaties te genereren voor trainingsdoeleinden.

Hoewel het nog te vroeg is om te beslissen of ChatGPT al dan niet een favoriete tool van cybercriminelen zal worden, hebben onderzoekers al waargenomen code die wordt geplaatst op cybercrimeforums die lijkt te zijn gemaakt met behulp van het gereedschap. Naarmate AI zich blijft ontwikkelen en uitbreiden, zullen tools zoals ChatGPT inderdaad het spel veranderen voor zowel cybersecurity-aanvallers als verdedigers.

Bron: information-age