AI is geen nieuw risico, maar een versterker van alle bestaande risico's
Steeds meer organisaties nemen AI op als afzonderlijk onderdeel van hun Enterprise Risk Management (ERM). Volgens een recente analyse is dat een fundamentele denkfout. AI is geen geïsoleerd risico, maar een technologie die vrijwel alle bestaande risico's tegelijkertijd kan versterken.
Waar traditionele risico's meestal een duidelijk aangrijpingspunt hebben, zoals een kwetsbaarheid in software of een fout in een proces, creëert AI voortdurend nieuwe en moeilijk voorspelbare aanvalsvlakken. De auteurs wijzen op uiteenlopende incidenten, variërend van deepfake-fraude en prompt injections tot aanvallen op AI-trainingsdata en autonome cyberaanvallen. Hoewel deze incidenten sterk van elkaar verschillen, hebben ze één overeenkomst: traditionele risicokaders waren niet ingericht om ze tijdig te herkennen of te beheersen.
Volgens de onderzoekers verschuift de uitdaging daardoor van het voorspellen van risico's naar het snel kunnen beperken van de gevolgen. Organisaties doen er goed aan vooraf de impact van iedere AI-toepassing op processen en systemen in kaart te brengen, AI-integraties actief te testen op kwetsbaarheden en de snelheid waarmee incidenten kunnen worden ingedamd centraal te stellen.
De conclusie is dat governance in het AI-tijdperk minder draait om het voorspellen van de volgende aanval en meer om het ontwikkelen van een organisatie die verstoringen snel detecteert, beperkt en herstelt. Daarmee verschuift de focus van risicopreventie naar organisatorische weerbaarheid.
Dit is een samenvatting van het volledige artikel op garp.org.