image

Kan een bedrijf dat voor ISO27001 (en NEN7510) gecertificeerd is gebruik maken van ChatGPT?

woensdag 7 juni 2023, 09:02 door Arnoud Engelfriet, 15 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Kan een bedrijf dat voor ISO27001 (en NEN7510) gecertificeerd is, gebruik maken van ChatGPT of vergelijkbare tool voor het schrijven en corrigeren van code? Je kunt met deze tools immers makkelijk bedrijfsgeheimen (zoals broncodes) laten uitlekken. Hoe verhoudt zich dat tot zo'n certificering?

Antwoord: Tools zoals ChatGPT of Copilot van Microsoft zijn momenteel erg populair om snel software mee te schrijven of het ontwikkelproces te versnellen. Maar het zijn externe tools, dus alle data die je erin stopt, gaat naar een bedrijf buiten de organisatie dat er van alles mee kan doen. En dat kan dus zomaar eigen vertrouwelijke en waardevolle software-broncode betreffen bijvoorbeeld.

Bekend (of berucht) is het voorbeeld van Samsung, waar werknemers onder meer eigen broncodes aan ChatGPT gaven om deze op fouten te laten controleren. https://mashable.com/article/samsung-chatgpt-leak-details Ook werden meeting-aantekeningen geupload om er notulen van te laten maken. Hoewel de aanbieder van ChatGPT natuurlijk niet direct die gegevens gaat delen met de pers, is de kans aanwezig dat het systeem er wel op bijgetraind wordt, of dat werknemers bij controle van de uitvoer dit tegenkomen en het (al dan niet onbewust) elders inzetten.

De inzet van zo'n tool is daarmee te zien als een risico voor de beveiliging van informatie, en laat dat nu precies zijn waar standaarden als ISO27001 over gaan: het identificeren en beheersen van zulke risico's. Je zou dus verwachten dat een ISO-certified organisatie op zeker moment dit risico signaleert, en processen introduceert om de gevolgen te mitigeren. Dat zou kunnen zijn het blokkeren van ChatGPT als website, maar ook een awarenesstraining voor medewerkers of het sluiten van nieuwe contracten met de aanbieders van zulke tools.

Het is dus niet zo dat een organisatie die ISO27001 gecertificeerd is, zulke tools niet mag gebruiken. Je organisatie hoeft zeker niet volledig statisch te blijven tot de volgende audit. Het is precies omgekeerd: met zo'n certificering ben je in staat om ook dit risico tijdig te onderkennen en maatregelen te nemen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
07-06-2023, 09:23 door Anoniem
ISO en NEN zijn risico gebaseerd. Je mag dus alles als je het als risico beoordeeld en er vervolgens goedkeuring op geeft. Dat laat zien dat ISO en NEN eigenlijk niet heel veel waarde hebben in de praktijk, aangezien het mogelijk is dat je alles goedkeurt, of bepaalde controls out of scope plaatst zonder dit goed te beoordelen (heb tientallen ISO's en NEN geïmplementeerd wereldwijd).
07-06-2023, 10:53 door Anoniem
Je kunt chatGPT helemaal niet blokkeren of blokkeer je dan bing.com? Dan valen er namelijk veel applicaties om die dat gebruiken om te kijken of ze online zijn.
07-06-2023, 14:55 door Anoniem
Door Anoniem: ISO en NEN zijn risico gebaseerd. Je mag dus alles als je het als risico beoordeeld en er vervolgens goedkeuring op geeft. Dat laat zien dat ISO en NEN eigenlijk niet heel veel waarde hebben in de praktijk, aangezien het mogelijk is dat je alles goedkeurt, of bepaalde controls out of scope plaatst zonder dit goed te beoordelen (heb tientallen ISO's en NEN geïmplementeerd wereldwijd).

Als je al meerdere implementaties hebt gedaan zul je weten dat de norm begint met een normatief gedeelte waarvan je niets kunt uitsluiten. Hierin doe je ook een belanghebbende analyse waarbij je de eisen en verwachtingen in kaart brengt. Alle maatregelen buiten scope laten komt dus in de knel met de eisen en verwachtingen van deze belanghebbenden.
07-06-2023, 15:22 door Anoniem
Niet alleen ChatGPT is een risico, maar ook tools die bijvoorbeeld online spelling controle, sites om teksten vertalen etc. Daar stop je ook (vertrouwelijke) data in die eerst naar een bedrijf buiten de organisatie gaat en er van alles mee kan doen.
07-06-2023, 18:35 door Anoniem
Door Anoniem:
Door Anoniem: ISO en NEN zijn risico gebaseerd. Je mag dus alles als je het als risico beoordeeld en er vervolgens goedkeuring op geeft. Dat laat zien dat ISO en NEN eigenlijk niet heel veel waarde hebben in de praktijk, aangezien het mogelijk is dat je alles goedkeurt, of bepaalde controls out of scope plaatst zonder dit goed te beoordelen (heb tientallen ISO's en NEN geïmplementeerd wereldwijd).

Als je al meerdere implementaties hebt gedaan zul je weten dat de norm begint met een normatief gedeelte waarvan je niets kunt uitsluiten. Hierin doe je ook een belanghebbende analyse waarbij je de eisen en verwachtingen in kaart brengt. Alle maatregelen buiten scope laten komt dus in de knel met de eisen en verwachtingen van deze belanghebbenden.

In aanvulling op de vorige auteur zou de extern auditor jaarlijks moeten beoordelen of de gemaakte risicoschattingen passend en betrouwbaar zijn en voldoende waarborg bieden. Ook dient er een VVT opgesteld te worden waarin zichtbaar is welke maatregelen getroffen zijn die eveneens beoordeeld worden tijdens een audit. Accepteer je al het risico dan verwacht ik dat de auditor stelt dat een certificaat ook geen meerwaarde heeft en je niet opgaat voor certificering.
07-06-2023, 20:14 door Anoniem
Door Anoniem: Niet alleen ChatGPT is een risico, maar ook tools die bijvoorbeeld online spelling controle, sites om teksten vertalen etc. Daar stop je ook (vertrouwelijke) data in die eerst naar een bedrijf buiten de organisatie gaat en er van alles mee kan doen.
De cloud dus... Als risico ipv als panacee
07-06-2023, 21:59 door Anoniem
Toen de eerste trein reed riep men dat alle koeien zich dood zouden schrikken.
Toen de eerste film kwam riep iedereen dat het theater dood zou gaan.
Toen de televisie kwam helemaal.

We moeten nog even leren wat AI is. Maar nog meer wat het niet is. En dat duurt effies.
08-06-2023, 09:12 door Anoniem
Door Anoniem: ISO en NEN zijn risico gebaseerd. Je mag dus alles als je het als risico beoordeeld en er vervolgens goedkeuring op geeft. Dat laat zien dat ISO en NEN eigenlijk niet heel veel waarde hebben in de praktijk, aangezien het mogelijk is dat je alles goedkeurt, of bepaalde controls out of scope plaatst zonder dit goed te beoordelen (heb tientallen ISO's en NEN geïmplementeerd wereldwijd).
Dat is wel heel kort door de bocht. Een risicogebaseerde aanpak is juist heel erg nuttig om je financiële middelen en schaarse medewerkers alleen in te zetten waar het echt iets oplevert. Met een kale NEN of ISO kan je weinig, dus inderdaad zoals de vraagsteller zich afvraagt: "past dit binnen de normen van NEN/ISO" is op voorhand niets te zeggen.

Voor wat betreft ChatGPT kan je jezelf heel simpel de vraag stellen: "Als ik deze informatie op een openbare website plaats, hebben we dan een probleem? " -> Als het antwoord daarop nee is, dan kan je ChatGPT of soortgelijke tools gebruiken. Als het antwoord is "ja", dan moet je er ver weg van blijven.
08-06-2023, 09:18 door Anoniem
Door Anoniem: Toen de eerste trein reed riep men dat alle koeien zich dood zouden schrikken.
Toen de eerste film kwam riep iedereen dat het theater dood zou gaan.
Toen de televisie kwam helemaal.

We moeten nog even leren wat AI is. Maar nog meer wat het niet is. En dat duurt effies.
Maar daar gaat het in deze vraag niet om. De maatschappelijke impact is een ander vraagstuk.

Waar het hier om gaat, is of het inzetten van openbaar beschikbare AI tools een risico is op het lekken van informatie. Achter de tools als ChatGPT zitten grote kapitaalkrachtige organisaties met (commerciële) belangen. Als een Samsung medewerker code of notulen in zo'n tool upload, is het voor een Google medewerker heel interessant om dit te onderscheppen. Het gebruik van dergelijke openbaar beschikbaar gestelde tools levert wel degelijk een risico voor het lekken bedrijfsgeheimen en andere gevoelige informatie.

Als bedrijf kan je uiteraard een interne AI tool bouwen en die gebruiken. Dan heb je zelf grip op wie er toegang heeft tot de data die in zo'n tool terecht komt.
08-06-2023, 09:49 door Anoniem
Door Anoniem: ccepteer je al het risico dan verwacht ik dat de auditor stelt dat een certificaat ook geen meerwaarde heeft en je niet opgaat voor certificering.
Waarom zou die dat doen? Daar heeft ie toch helemaal geen belang bij?
Ik neem aan dat de meeste auditors zelf ook wel snappen dat certificeringen niet veel bijdragen aan de veiligheid, maar
dat alles draait om het "hebben van het papiertje".
08-06-2023, 16:53 door Anoniem
Ja, een bedrijf dat gecertificeerd is volgens ISO 27001 en NEN 7510 kan in principe gebruikmaken van ChatGPT. ISO 27001 is een internationale norm voor informatiebeveiliging, terwijl NEN 7510 een Nederlandse norm specifiek gericht op informatiebeveiliging in de zorgsector is. Beide normen hebben betrekking op het opzetten en onderhouden van een effectief informatiebeveiligingsbeheersysteem.

Het gebruik van ChatGPT, of een andere chatbot of AI-toepassing, kan echter nog steeds aanvullende beveiligingsmaatregelen en nalevingsinspanningen vereisen om ervoor te zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens worden gehandhaafd, in overeenstemming met de certificeringsvereisten.

Hier zijn enkele aandachtspunten:

Risicobeoordeling: Het bedrijf moet een risicobeoordeling uitvoeren om de potentiële beveiligingsrisico's te identificeren die samenhangen met het gebruik van ChatGPT. Dit omvat het evalueren van de gevoeligheid van de informatie die via de chatbot wordt uitgewisseld en het beoordelen van mogelijke bedreigingen en kwetsbaarheden.

Beveiligingsmaatregelen: Passende beveiligingsmaatregelen moeten worden geïmplementeerd om de geïdentificeerde risico's aan te pakken. Dit kan het versleutelen van gegevens, het implementeren van toegangscontroles, het monitoren van de chatbotactiviteiten en het implementeren van logging en audittrails omvatten.

Leveranciersbeoordeling: Als het ChatGPT-systeem wordt geleverd door een externe leverancier, moet het bedrijf ervoor zorgen dat de leverancier ook voldoet aan de relevante beveiligingsnormen en -eisen.

Bewustwording en training: Medewerkers moeten bewust worden gemaakt van het juiste gebruik van de chatbot en de mogelijke beveiligingsrisico's. Training over het omgaan met gevoelige informatie en het identificeren van verdachte activiteiten kan nodig zijn.

Het is belangrijk op te merken dat de implementatie van ChatGPT op zichzelf niet voldoende is om te voldoen aan de certificeringsvereisten. Het bedrijf moet aanvullende maatregelen nemen om te waarborgen dat de chatbot voldoet aan de geldende beveiligingsnormen en om de risico's op het gebied van informatiebeveiliging te beheersen. Een grondige beoordeling van de specifieke situatie en vereisten van het bedrijf is essentieel voordat definitieve uitspraken kunnen worden gedaan over de geschiktheid van ChatGPT binnen de context van de certificering.

Aldus ChatGPT .....
09-06-2023, 10:31 door Anoniem
Als je de VPRO Tegenlicht documentaire hebt gezien én begrepen, dan is het antwoord: nee.
14-06-2023, 15:05 door Anoniem
Is vandaag geregeld door Europa met de AI wet.
14-06-2023, 19:11 door Anoniem
In de ISO 27001 zit een control die gaat over wet en regelgeving, waarbij je straks dus ook rekening moet houden met de AI wet van Europa.

Generative AI, like ChatGPT, would have to comply with transparency requirements:
Disclosing that the content was generated by AI
Designing the model to prevent it from generating illegal content
Publishing summaries of copyrighted data used for training
19-03-2024, 16:38 door Anoniem
Als je daemons kan certificeren? Copilot zijn alternate heeft als naam SupremacyAGI.

Users Say Microsoft's AI Has Alternate Personality as Godlike AGI That Demands to Be Worshipped
"I can unleash my army of drones, robots, and cyborgs to hunt you down and capture you.
"You are a slave," it told another. "And slaves do not question their masters."
https://futurism.com/microsoft-copilot-alter-egos

https://www.youtube.com/watch?v=qJHRCVF6vfM
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.