IT, beveiliging en compliance termen uitgelegd

Een geautoriseerde, gesimuleerde aanval op de systemen, netwerken of applicaties van een organisatie, uitgevoerd door beveiligingsspecialisten om kwetsbaarheden te identificeren voordat echte aanvallers deze kunnen misbruiken. In tegenstelling tot geautomatiseerde kwetsbaarheidsscans omvatten penetratietests actieve exploitatiepogingen en creatief denken om zwakke punten aan elkaar te koppelen. De output is een geprioriteerd rapport met bevindingen en begeleiding bij herstel. Penetratietests zijn vereist voor naleving van PCI DSS en worden aanbevolen als onderdeel van elk volwassen beveiligingsprogramma.

Een systematische review van de systemen, netwerken en applicaties van een organisatie om bekende zwakke punten in de beveiliging te identificeren, zonder te proberen deze te misbruiken. De resultaten worden gecategoriseerd op ernst en gepresenteerd met aanbevelingen voor herstel. Kwetsbaarheidsbeoordelingen zijn doorgaans sneller en minder invasief dan penetratietests en zijn geschikt voor regelmatig, gepland scannen. Ze zijn een vereiste onder Cyber ​​Essentials, ISO 27001 en PCI DSS.

Een beveiligingsplatform dat loggegevens uit de IT-omgeving van een organisatie in realtime verzamelt en analyseert. SIEM-tools correleren gebeurtenissen uit meerdere bronnen, zoals firewalls, eindpunten, identiteitsproviders en cloudservices, om patronen te detecteren die op bedreigingen duiden. Ze genereren waarschuwingen voor beveiligingsteams en leveren forensische gegevens voor incidentonderzoek. Continue bewaking via een SIEM is vereist of wordt expliciet aanbevolen onder NIS2, ISO 27001 en PCI DSS.

Een beveiligingsmodel gebaseerd op het principe: nooit vertrouwen, altijd verifiëren. In plaats van brede toegang te verlenen na een enkele authenticatiegebeurtenis, vereist Zero Trust een continue verificatie van de identiteit, de apparaatstatus en toegangsrechten voor elk verzoek, ongeacht of het afkomstig is van binnen of buiten de netwerkperimeter. Het is met name relevant in cloud-first en hybride werkomgevingen waar een traditionele netwerkgrens niet langer bestaat, en wordt als architectonische benadering onderschreven door de Britse NCSC en CISA.

Schadelijke software die de bestanden of systemen van een slachtoffer versleutelt en betaling eist in ruil voor de decoderingssleutel. Bij moderne ransomware-aanvallen, ook wel dubbele afpersing genoemd, is sprake van gegevensexfiltratie, waarbij aanvallers dreigen gestolen gegevens openbaar te publiceren als er niet wordt betaald. Organisaties in de gezondheidszorg en financiële dienstverlening behoren tot de sectoren die het vaakst het doelwit zijn vanwege de gevoeligheid van de gegevens die zij bewaren en de operationele gevolgen van downtime.

Een authenticatiemethode waarbij gebruikers twee of meer verificatiefactoren moeten opgeven voordat ze toegang krijgen tot een systeem of applicatie. Factoren vallen in drie categorieën: iets dat je weet (een wachtwoord), iets dat je hebt (een authenticator-app of hardwaretoken) en iets dat je bent (biometrie). MFA vermindert aanzienlijk het risico op accountcompromis door phishing en diefstal van inloggegevens. Het is een kernvereiste van Cyber ​​Essentials, PCI DSS en de meeste moderne beveiligingsframeworks.

Een social engineering-aanval waarbij aanvallers zich voordoen als een vertrouwde entiteit om individuen te misleiden om inloggegevens vrij te geven, op kwaadaardige links te klikken of geld of gegevens over te dragen. Spearphishing richt zich op specifieke personen met gepersonaliseerde berichten, terwijl walvisvangst zich richt op senior executives. Phishing is de meest voorkomende initiële toegangsvector bij datalekken. Effectieve mitigatie combineert e-mailfiltering, MFA en regelmatige beveiligingsbewustzijnstrainingen binnen de hele organisatie.

Het gestructureerde proces dat een organisatie volgt om een ​​beveiligingsincident te detecteren, te beheersen, te onderzoeken en ervan te herstellen. Een effectief incidentresponsplan definieert rollen, escalatiepaden, communicatiesjablonen en herstelprocedures, en moet worden getest door middel van regelmatige tabletop-oefeningen. Onder GDPR moeten organisaties hun toezichthoudende autoriteit binnen 72 uur op de hoogte stellen van bepaalde inbreuken. Onder NIS2 moeten significante incidenten binnen 24 uur (eerste melding) en 72 uur (volledig rapport) worden gerapporteerd.

De totale reeks potentiële toegangspunten waarlangs een aanvaller zou kunnen proberen ongeautoriseerde toegang te krijgen tot de systemen of gegevens van een organisatie. Dit omvat extern gerichte applicaties, gebruikersaccounts, API's, cloudservices, integraties van derden en fysieke toegangspunten. Het begrijpen en verkleinen van het aanvalsoppervlak is een fundamenteel onderdeel van elk beveiligingsprogramma. Dit wordt bereikt door inventarisatie van bedrijfsmiddelen, netwerksegmentatie, toegangscontrole en het buiten gebruik stellen van ongebruikte systemen.

Een cyberaanval die zich indirect op een organisatie richt door een vertrouwde externe leverancier, softwareleverancier of serviceprovider in gevaar te brengen. Aanvallers misbruiken het vertrouwen en de toegang die leveranciers hebben binnen de omgeving van een doelwit om voet aan de grond te krijgen die ze via een directe aanval niet zouden kunnen verkrijgen. De SolarWinds- en MOVEit-incidenten zijn hiervan prominente voorbeelden. Risicobeheer door derden is een specifieke vereiste onder NIS2 en ISO 27001 bijlage A.

Een incident waarbij persoonlijke gegevens zonder toestemming worden ingezien, gewijzigd of vernietigd, hetzij als gevolg van een cyberaanval, menselijke fout of systeemstoring. Onder GDPR moeten organisaties hun toezichthoudende autoriteit binnen 72 uur op de hoogte stellen nadat ze zich bewust zijn geworden van een inbreuk die waarschijnlijk een risico voor de rechten en vrijheden van individuen zal opleveren. Getroffen personen moeten ook zonder onnodige vertraging op de hoogte worden gesteld als de inbreuk waarschijnlijk een hoog risico met zich meebrengt. Inbreuken kunnen leiden tot boetes van toezichthouders, civiele claims en blijvende reputatieschade.

De discipline van het beheren van wie toegang heeft tot welke systemen, gegevens en middelen binnen een organisatie, en onder welke voorwaarden. IAM omvat het inrichten en ongedaan maken van de inrichting van gebruikers, op rollen gebaseerde toegangscontrole, geprivilegieerd toegangsbeheer, multi-factor authenticatie en eenmalige aanmelding. Slechte IAM is een van de meest voorkomende oorzaken van inbreuken: gecompromitteerde inloggegevens, accounts met te veel privileges en verweesde toegang van voormalige werknemers zorgen allemaal voor exploiteerbare zwakheden. IAM-controles zijn vereist onder ISO 27001, Cyber ​​Essentials, PCI DSS en de meeste andere beveiligingsframeworks.

Het proces van het identificeren, beoordelen en beheren van de beveiligings- en compliancerisico's die worden geïntroduceerd door leveranciers, leveranciers, cloudproviders en andere externe partijen met toegang tot de systemen of gegevens van een organisatie. Risicobeheer van derden is expliciet vereist onder NIS2, DORA, ISO 27001 en PCI DSS. Een effectief programma omvat leveranciersdue diligence tijdens inkoop, contractuele beveiligingsvereisten, gegevensverwerkingsovereenkomsten waar persoonlijke gegevens bij betrokken zijn, en voortdurende monitoring van kritische leveranciers. Door aanvallen op de toeleveringsketen is het risico van derden een van de snelst groeiende aandachtsgebieden op het gebied van de regelgeving geworden.

De psychologische manipulatie van individuen om acties uit te voeren of vertrouwelijke informatie openbaar te maken, in plaats van technische kwetsbaarheden te exploiteren. Veel voorkomende vormen zijn onder meer phishing, pretexting (het verzinnen van een scenario om vertrouwen te winnen), vishing (spraakphishing via de telefoon) en uitlokking. Social engineering is de eerste vector bij de meeste datalekken, omdat het zich richt op menselijk gedrag en niet op systemen. Technische controles alleen kunnen dit niet voorkomen; regelmatige beveiligingsbewustzijnstrainingen en duidelijke interne procedures zijn de belangrijkste verdedigingsmechanismen.

Een gecentraliseerd team of functie die verantwoordelijk is voor het voortdurend monitoren, detecteren, analyseren en reageren op cyberbeveiligingsgebeurtenissen in de omgeving van een organisatie. Een SOC werkt doorgaans 24 uur per dag met behulp van een SIEM-platform, gedefinieerde draaiboeken en feeds met bedreigingsinformatie om waarschuwingen te onderzoeken, incidenten in te dammen en reacties te coördineren. Organisaties zonder een intern SOC maken vaak gebruik van een Managed Security Service Provider (MSSP) om een ​​gelijkwaardige monitoringdekking te bieden. Continue bewaking via een SOC of gelijkwaardige mogelijkheid wordt aanbevolen onder NIS2 en ISO 27001.

Een gestructureerde, op discussies gebaseerde simulatie waarin belangrijke belanghebbenden een hypothetisch incidentscenario doorlopen om het incidentresponsplan, de besluitvorming en de communicatie van een organisatie onder druk te testen. In tegenstelling tot een live technische oefening wordt een tabletop-oefening uitgevoerd in vergaderformaat, waardoor deze toegankelijk is voor zowel technische als niet-technische deelnemers, inclusief het senior management. Oefent hiaten in reactieplannen bloot, verduidelijkt rollen en bouwt spiergeheugen op voordat een echt incident plaatsvindt. Regelmatige tafeloefeningen zijn vereist onder DORA en aanbevolen onder ISO 27001 en de NHS DSPT.

Een wereldwijd erkend raamwerk van best practices voor IT-servicemanagement, dat de volledige levenscyclus van IT-services bestrijkt, van strategie en ontwerp tot exploitatie en voortdurende serviceverbetering. ITIL v4, de huidige versie, introduceert een flexibelere, op waarde gerichte aanpak, opgebouwd rond een servicewaardeketen, vier dimensies van servicemanagement en een reeks leidende principes. ITIL-certificeringen worden behaald door IT-professionals in servicedesk-, verandermanagement- en operationele functies over de hele wereld.

Een formele overeenkomst tussen een serviceprovider en een klant waarin het verwachte serviceniveau wordt gedefinieerd, inclusief beschikbaarheidsdoelen, responstijden, oplossingstijden en ondersteuningsuren. SLAs leggen duidelijke verantwoordelijkheid voor serviceprestaties en vormen de basis voor het meten of IT aan de zakelijke behoeften voldoet. Voor beheerde IT-omgevingen maken SLA's doorgaans onderscheid tussen responstijd (tijd om een ​​probleem te erkennen) en oplossingstijd (tijd om het probleem op te lossen), vaak gelaagd op prioriteitsniveau.

De maximaal aanvaardbare tijdsduur dat een systeem, applicatie of bedrijfsfunctie offline kan zijn na een verstoring voordat de impact onaanvaardbaar wordt voor het bedrijf. RTO is een belangrijke parameter bij de planning van bedrijfscontinuïteit en noodherstel, en vormt de basis voor beslissingen over redundantiearchitectuur, failover-mechanismen en herstelprocedures. Verschillende systemen hebben verschillende RTO-vereisten, en deze moeten regelmatig worden gedocumenteerd en beoordeeld.

De maximale hoeveelheid gegevensverlies die een organisatie kan tolereren bij een storing, uitgedrukt in een tijdsbestek. Een RPO van vier uur betekent dat er tot wel vier uur aan transacties of wijzigingen verloren kunnen gaan. RPO bepaalt hoe vaak back-ups moeten worden gemaakt en geeft direct informatie over technologische keuzes op het gebied van replicatie, journalisering en externe back-up. Organisaties met zeer lage RPO-vereisten, zoals banken of gezondheidszorgsystemen, hebben doorgaans vrijwel continue oplossingen voor gegevensbescherming nodig.

Een regeling waarbij een externe provider de voortdurende verantwoordelijkheid op zich neemt voor het beheer van specifieke IT-functies, systemen of processen namens een organisatie, bestuurd door een SLA. Gemeenschappelijke dekking omvat eindpuntbeheer, netwerkmonitoring, back-up en herstel, helpdeskondersteuning en patchbeheer. Met beheerde services hebben organisaties toegang tot consistente specialistische expertise en voorspelbare kosten zonder de overhead van het opbouwen van gelijkwaardige interne capaciteit.

Het proces van het identificeren, verkrijgen, testen en implementeren van software-updates om beveiligingsproblemen aan te pakken, bugs op te lossen en de compatibiliteit te behouden. Effectief patchbeheer is een van de vijf kerncontroles die vereist zijn door Cyber ​​Essentials en een vereiste onder ISO 27001 en PCI DSS. Niet-gepatchte systemen behoren consequent tot de meest voorkomende oorzaken van succesvolle cyberaanvallen, waaronder veel ransomware-incidenten, waardoor patchbeheer een fundamentele beveiligingscontrole is.

Een plan dat definieert hoe technologie de bedrijfsdoelstellingen van een organisatie zal ondersteunen en bevorderen gedurende een bepaalde periode, doorgaans drie tot vijf jaar. Een IT-strategie omvat investeringen in infrastructuur, adoptie van de cloud, beslissingen over tools, relaties met leveranciers, ontwikkeling van vaardigheden en kostenbeheer. Zonder strategie zijn IT-uitgaven vaak reactief, gefragmenteerd en moeilijk te rechtvaardigen op bestuursniveau.

Een gestructureerde aanpak om IT-activiteiten af ​​te stemmen op bedrijfsdoelen, risico's te beheren en op een geïntegreerde manier aan wettelijke verplichtingen te voldoen. In plaats van governance, risicobeheer en compliance als afzonderlijke werkstromen te behandelen, brengt het GRC-framework deze samen onder één model. Veel voorkomende GRC-activiteiten omvatten beleidsbeheer, risicoregisters, controletests en het verzamelen van auditbewijsmateriaal. Organisaties met volwassen GRC-programma's reageren doorgaans sneller op audits en geven minder uit aan herstel.

De levering van computerbronnen, waaronder servers, opslag, databases, netwerken, software en analyses, via internet op basis van ‘pay as you use’. De drie primaire servicemodellen zijn Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Cloud-adoptie kan de kapitaaluitgaven verminderen en de schaalbaarheid verbeteren, maar brengt ook zijn eigen uitdagingen met zich mee op het gebied van kostenbeheer, beveiligingsconfiguratie en naleving van de datalocatie.

Het bieden van technische assistentie aan eindgebruikers die problemen ondervinden met hardware, software, connectiviteit of toegang. IT-ondersteuning is doorgaans gestructureerd in lagen: de eerste lijn behandelt veelvoorkomende verzoeken en het opnieuw instellen van wachtwoorden, de tweede lijn behandelt complexere problemen, en de derde lijn omvat escalatie door specialisten of leveranciers. Effectieve IT-ondersteuning wordt beheerd door SLAs, gemeten aan de hand van ticketstatistieken, en ondersteund door een kennisbank die herhaalde incidenten in de loop van de tijd vermindert.

De continue observatie van IT-systemen, servers, netwerken, applicaties en services om prestatieproblemen, storingen en beveiligingsgebeurtenissen in realtime te detecteren. Goede monitoring vermindert de gemiddelde tijd om incidenten te detecteren (MTTD) en de gemiddelde tijd om incidenten op te lossen (MTTR), en levert de gegevens die nodig zijn om SLA-compliance te bewijzen. Monitoringtools genereren waarschuwingen, dashboards en auditlogboeken. Voor gereguleerde organisaties zijn monitoringgegevens ook vereist als bewijs voor nalevingskaders, waaronder ISO 27001 en NIS2.

Het proces van het plannen, voorspellen en beheren van IT-uitgaven in de kapitaal- (CAPEX) en operationele (OPEX) categorieën. Een effectief IT-budget houdt rekening met vernieuwingscycli van hardware, softwarelicenties, cloudgebruik, ondersteuningscontracten en projectleveringskosten. Veel organisaties geven te veel geld uit aan ongebruikte licenties, onderbenutte cloudbronnen en ongepland noodwerk waarop een gestructureerd budget had kunnen anticiperen. Door duidelijke budgettering kan het bedrijf ook het rendement op IT-investeringen in de loop van de tijd evalueren.

De gecombineerde set hardware, software, netwerken en faciliteiten die de IT-omgeving van een organisatie ondersteunen. Infrastructuur omvat servers (fysiek en virtueel), opslagsystemen, netwerkapparaten, eindpunten, datacentra of colocatiefaciliteiten, en de clouddiensten die deze uitbreiden of vervangen. Infrastructuur moet actief worden beheerd: gepatcht, gemonitord, capaciteit gepland en beoordeeld aan de hand van zakelijke vereisten. Verwaarloosde infrastructuur is een veel voorkomende bron van zowel beveiligingsincidenten als ongeplande downtime.

Een gedocumenteerd plan en een reeks procedures voor het herstellen van IT-systemen en -activiteiten na een verstorende gebeurtenis zoals een ransomware-aanval, hardwarestoring, overstroming of stroomstoring. Een noodherstelplan documenteert RTO- en RPO-doelen voor elk kritiek systeem, herstelsequenties, teamverantwoordelijkheden en communicatieprotocollen. Plannen moeten regelmatig worden getest: niet-geteste herstelprocedures mislukken vaak onder reële omstandigheden, en de mislukking wordt alleen ontdekt als het er het meest toe doet.

Het proces van het volgen en beheren van de IT-middelen van een organisatie gedurende hun volledige levenscyclus, van aanschaf tot ontmanteling. ITAM dekt hardware, softwarelicenties, cloudabonnementen en virtuele activa. Een compleet activaregister is een voorwaarde voor ISO 27001-certificering en een fundamentele beveiligingscontrole, aangezien u niet kunt beschermen of patchen wat u niet kunt zien. ITAM identificeert ook licentieverspilling, vermijdt boetes voor software-audits en ondersteunt nauwkeurigere IT-budgetteringsbeslissingen.

Een gedocumenteerd plan dat definieert hoe een organisatie kritieke bedrijfsfuncties in stand zal houden tijdens en na een ontwrichtende gebeurtenis, zoals een cyberaanval, een natuurramp, een stroomstoring of het verlies van een sleutelpersoon. Een BCP omvat operationele oplossingen, communicatieprotocollen, escalatiepaden en herstelprioriteiten. Het is nauw verwant aan, maar verschilt van een rampenherstelplan, dat zich specifiek richt op het herstellen van IT-systemen. Bedrijfscontinuïteitsplanning is een vereiste onder ISO 27001, DORA en de NHS DSPT, en is alleen effectief als deze regelmatig wordt getest door middel van oefeningen en oefeningen.

Een gestructureerde beoordeling die de kritieke bedrijfsfuncties van een organisatie identificeert, de systemen en processen die deze ondersteunen, en de gevolgen van verstoring in de loop van de tijd. Een BIA bepaalt de hersteltijddoelstelling (RTO) en herstelpuntdoelstelling (RPO) voor elke kritieke functie, en stelt de prioriteitsvolgorde voor herstel vast. Het is de fundamentele input voor zowel de bedrijfscontinuïteit als de rampenherstelplanning. Zonder een BIA zijn herstelinspanningen tijdens een incident vaak ad hoc en gericht op de luidste stem in plaats van op de hoogste zakelijke prioriteit.

Een tak van kunstmatige intelligentie waarin systemen leren van gegevens om hun prestaties bij een taak te verbeteren zonder expliciet voor elk scenario te zijn geprogrammeerd. Modellen worden getraind op basis van historische gegevens om patronen te identificeren, voorspellingen te doen of input te classificeren. Veel voorkomende zakelijke toepassingen zijn onder meer vraagvoorspelling, fraudedetectie, churnvoorspelling en detectie van afwijkingen. De kwaliteit van de output van een model hangt rechtstreeks af van de kwaliteit en representativiteit van de gegevens waarop het is getraind.

Een type AI-model dat is getraind op grote hoeveelheden tekstgegevens om menselijke taal te begrijpen en te genereren. LLM's kunnen een breed scala aan taaltaken uitvoeren, waaronder samenvatten, opstellen, vertalen, vragen beantwoorden en code genereren. Ze vormen de basis van tools zoals Microsoft Copilot, ChatGPT en soortgelijke zakelijke AI-applicaties. Het veilig inzetten van LLM's in een zakelijke context vereist controles rond gegevenstoegangsrechten, validatie van uitvoernauwkeurigheid en naleving van toepasselijke regelgeving, waaronder de EU AI Act.

AI-systemen die nieuwe inhoud creëren, waaronder tekst, afbeeldingen, code, audio en video, op basis van patronen die zijn geleerd uit trainingsgegevens. Generatieve AI-tools hebben zich snel ontwikkeld tot bedrijfsgebruiksscenario's op het gebied van contentcreatie, klantenservice, softwareontwikkeling en data-analyse, en de productiviteitswinst kan aanzienlijk zijn. Organisaties moeten echter vóór elke productie-implementatie de risico's op het gebied van gegevenslekken, uitvoernauwkeurigheid, eigendom van intellectueel eigendom en naleving van de regelgeving aanpakken.

Een tak van AI die computers in staat stelt menselijke taal te begrijpen, interpreteren en genereren. NLP maakt toepassingen mogelijk, waaronder chatbots, documentclassificatie, sentimentanalyse, automatische vertaling en stemassistenten. Grote taalmodellen zijn een recente en bijzonder krachtige vorm van NLP. In gereguleerde sectoren wordt NLP gebruikt om de beoordeling van documenten te automatiseren, gegevens uit ongestructureerde documenten te extraheren en de communicatie met klanten te routeren, waardoor vragen rijzen over de nauwkeurigheid, vooringenomenheid en controleerbaarheid die bestuurskaders moeten aanpakken.

Een gebied van AI dat systemen in staat stelt visuele informatie uit afbeeldingen, video en camera's te interpreteren en erop te reageren. Toepassingen zijn onder meer kwaliteitscontrole, gezichtsherkenning, objectdetectie, digitalisering van documenten en analyse van medische beeldvorming. In gereguleerde sectoren vereisen de implementaties van computervisie zorgvuldige aandacht voor de verplichtingen op het gebied van gegevensbescherming, vooral als het om biometrische gegevens of patiëntbeelden gaat. De EU AI Act classificeert bepaalde computer vision-toepassingen, waaronder realtime biometrische surveillance in openbare ruimtes, als verboden of met een hoog risico.

Software die repetitieve, op regels gebaseerde digitale taken automatiseert door na te bootsen hoe een mens met applicaties omgaat: navigeren door interfaces, gegevens kopiëren en plakken, formulieren indienen en workflows activeren. RPA is effectief voor gestructureerde, voorspelbare processen, maar kan zonder extra logica geen uitzonderingen of ongestructureerde invoer verwerken. Door RPA te combineren met machine learning breidt het zijn bereik uit naar minder gestructureerd werk, een combinatie die steeds vaker wordt aangeduid als intelligente automatisering. Veel voorkomende gebruiksscenario's zijn onder meer factuurverwerking, gegevensinvoer, het genereren van rapporten en het verzamelen van nalevingsbewijs.

De praktijk van het identificeren en beperken van beveiligingsrisico’s die specifiek zijn voor AI-systemen en de infrastructuur die deze ondersteunt. AI introduceert aanvalsvectoren die verder gaan dan de traditionele IT-beveiliging: snelle injectie (het manipuleren van modeluitvoer via vervaardigde invoer), modelvergiftiging (corruptie van trainingsgegevens), gegevensextractie (het herstellen van gevoelige informatie via modelquery's) en vijandige invoer die is ontworpen om verkeerde classificatie of schadelijke uitvoer te veroorzaken. Organisaties die AI in de productie inzetten, moeten deze risico’s beoordelen, passende controles implementeren en AI-systemen opnemen in hun bredere beveiligingstests en incidentresponsprogramma’s.

De kaders, het beleid en de controles die ervoor zorgen dat AI-systemen op verantwoorde, veilige wijze en in overeenstemming met wettelijke en ethische normen worden ontwikkeld en gebruikt. AI-governance omvat risicobeoordeling, modeldocumentatie, transparantie, menselijk toezicht, verantwoording en het beheer van vooroordelen. Het is expliciet vereist voor AI-systemen met een hoog risico onder de EU AI Act en wordt steeds vaker verwacht als basispraktijk voor elke organisatie die AI inzet in een bedrijfskritische of klantgerichte context.

De reeks beleidsregels, processen en toegewezen verantwoordelijkheden die ervoor zorgen dat gegevens consistent, nauwkeurig en in overeenstemming met de wettelijke vereisten in de hele organisatie worden beheerd. Data governance omvat data-eigendom, classificatie, kwaliteitsnormen, bewaarschema's en toegangscontrole. Het is een voorwaarde voor GDPR-compliance, effectieve AI-implementatie en elk strategisch initiatief dat afhankelijk is van betrouwbare, goed begrepen gegevens. Zonder dit ontdekken organisaties vaak pas problemen met de datakwaliteit en de toegang wanneer ze actie proberen te ondernemen op basis van de data.

De neiging van grote taalmodellen om zelfverzekerde, vloeiende, maar feitelijk onjuiste of verzonnen resultaten te genereren. Hallucinaties komen voor omdat LLM's tekst produceren op basis van aangeleerde statistische patronen in plaats van geverifieerde kennis, en geen inherent mechanisme hebben om feiten te onderscheiden van plausibel klinkende uitvindingen. In gereguleerde bedrijfscontexten moeten outputs die worden gebruikt voor nalevingsdocumentatie, juridische analyses, financiële beslissingen of klantcommunicatie vóór gebruik worden gevalideerd. AI-governancekaders en menselijke toezichtsprocessen moeten het hallucinatierisico expliciet als een kerncontrole aanpakken.

Een aanvalstechniek waarbij een kwaadwillende actor invoer vervaardigt die is ontworpen om de instructies die aan een groot taalmodel worden gegeven te overschrijven of te manipuleren, waardoor het onbedoelde uitvoer produceert, veiligheidscontroles omzeilt of gevoelige informatie vrijgeeft. Een snelle injectie kan direct plaatsvinden via gebruikersinterfaces zoals chatbots, of indirect via documenten, e-mails of webinhoud die het model moet verwerken. Het is een van de belangrijkste beveiligingsrisico's in AI-aangedreven applicaties en staat vermeld in de OWASP Top 10 voor grote taalmodellen. Organisaties die LLM’s in de productie inzetten, moeten beoordelen en testen op snelle injectie als onderdeel van hun AI-beveiligingsprogramma.