RobotFirst #7: Chatbotrisico’s
Communiceren via een browser wordt steeds minder aantrekkelijk, omdat het merendeel van je werk en contact via apps gebeurt. Chatbots zijn een gevolg van deze verandering van services. Nieuwe kanalen betekenen echter ook nieuwe risico’s.
Wat zou je zelf kiezen: browser openen, inloggen in het HR-systeem van je werkgever, en dan opzoeken hoeveel vrije dagen je nog hebt, of een berichtje naar de bedrijfschatbot sturen? Communicatie, intern of met klanten, willen we zo gebruiksvriendelijk mogelijk maken. De financiële sector doet het al jaren: eerst pinautomaten, toen internetbankieren en nu apps en bots. Haal dus zoveel mogelijk drempels en ruis in communicatie en transacties weg.
Ontwikkelingen in kunstmatige intelligentie hebben ervoor gezorgd dat interactie steeds beter te automatiseren is. Dankzij diensten als Siri en Alexa verwachten we bovendien dat interactie ook prima in spreektaal kan. Deze hoge verwachtingen zijn echter ook interessant voor kwaadwillenden. Een nieuw medium gaat gepaard met verandering en een leercurve; beide zijn koren op de molen van cybercriminelen. Daarbij is het zo dat sommige bedrijven niet snel genoeg hun plek claimen in die nieuwe kanalen. Kwaadwillenden springen in dat gat en communiceren uit naam van een ander. Een app die oogt als een chatbot van een bank, wordt gemakkelijk ingezet als phishing-tool voor waardevolle informatie.
Verschillende beveiligingsniveaus
Het advies is dan ook om officiële kanalen vast te leggen op bestaande diensten als Facebook Messenger, en dit te communiceren richting klanten. Zo is in ieder geval duidelijk welke kanalen officieel in gebruik zijn en welke niet. Bij het gebruik van Messenger kan Facebook ook een beveiligende rol spelen. In dit geval is de inzet van mobiele apparatuur een voordeel. Mobiele platformen, met name iOS, blijken namelijk nog altijd veiliger te zijn dan besturingssystemen van computers. Bovendien bieden ze meer mogelijkheden voor gedragsanalyse (zoals locatie) en mechanismen voor two-factor authenticatie, ofwel dubbele controle.
Verder is het slim om verschillende beveiligingsniveaus te maken. Aan een chatbot van een winkel vragen waar het dichtstbijzijnde filiaal is, is vrijwel onschuldig en mag iedereen doen. Informatie over een openstaande rekening ligt daarentegen gevoeliger en zouden alleen geautoriseerde gebruikers mogen doen. Diezelfde niveaus kunnen gelden voor interne doeleinden: hoe gevoeliger het verzoek, hoe strenger de authenticatie moet zijn.
Ondanks alle ontwikkelingen blijven de principes van beveiliging overeind. Als de standaardregels worden gevolgd, hoeft een nieuw medium niet extra risicovol te zijn. Hou de kennis daarom hoog, zorg voor heldere, goed werkende beveiligingsprocessen en gebruik bewezen technologie.
Tekst: Bart Bruijnesteijn, presales manager Verenigd Koninkrijk & Noord-Europa bij informatiebeveiligingsexpert CyberArk.
- authenticatie
- chatbot
- kunstmatige intelligentie
- beveiliging
- RobotFirst
- CyberArk
- security
- gedragsanalyse
- communicatie
- Bart Bruijnesteijn