De recente datablunders bij AI-bedrijf Anthropic zijn een scherpe herinnering dat de grootste beveiligingsrisico’s vaak van binnenuit komen, niet van externe hackers. Voor ondernemers betekent dit dat het versterken van interne processen en toegangscontroles net zo cruciaal is als het installeren van firewalls, ongeacht de bedrijfsgrootte.

Wat er aan de hand is

AI-specialist Anthropic heeft in één week tijd twee ernstige datalekken veroorzaakt door menselijke fouten, zo meldt Computable op basis van berichten in De Volkskrant en Fortune. Eerst werd per ongeluk de volledige broncode van de programmeertool Claude Code online gezet, bestaande uit ongeveer 1.900 bestanden en ruim 512.000 regels code. De code werd publiek downloadbaar en verspreidde zich snel op GitHub. Kort daarvoor was ook interne documentatie over een nieuw AI-model, genaamd Mythos, openbaar geworden door een verkeerd geconfigureerde databank. Dit geeft concurrenten ongewenst inzicht in de werking en ontwerpkeuzes van het systeem. Het bedrijf zelf erkent dat het om menselijke fouten gaat.

Wat dit betekent

Dit toont aan dat technologische geavanceerdheid geen garantie is voor basale beveiliging. De lekken bij Anthropic – een bedrijf dat zelf geavanceerde AI-systemen bouwt – laten zien dat het menselijke element en interne procedures zwakke schakels blijven. Voor het MKB is de les dubbel: enerzijds is geen enkel bedrijf immuun voor dit soort fouten, anderzijds kan het gebrek aan formele processen in kleinere teams het risico juist vergroten. Het lekken van interne documentatie kan strategisch voordeel aan concurrenten geven, terwijl het openbaar worden van broncode directe intellectuele eigendom kan blootstellen. Het onderstreept dat beveiliging een continu proces is dat verder gaat dan alleen technische maatregelen.

Hoe je dit kunt toepassen

De praktische toepassing hangt sterk af van jouw specifieke situatie en de gevoeligheid van de data waarmee je werkt. De kern van de zaak bij Anthropic was niet een geavanceerde hack, maar een gebrek aan robuuste interne controlemechanismen voor het vrijgeven van data. Je kunt deze principes vertalen naar je eigen bedrijfsvoering door kritisch naar je interne workflows te kijken.

Als je gevoelige documenten of code deelt met partners of teamleden… overweeg dan om een eenvoudig, gestandaardiseerd vrijgaveproces in te voeren. Dit kan zo simpel zijn als een checklist die iemand moet doorlopen voordat een bestand wordt geüpload naar een gedeelde cloudomgeving, met punten als “Is dit de juiste map?” en “Zijn de toegangsrechten gecontroleerd?”. Het doel is niet bureaucratie, maar een moment van bewustwording.

Als je afhankelijk bent van clouddiensten en configuraties… dan is de fout met de verkeerd geconfigureerde databank een belangrijk signaal. Een mogelijkheid is om periodiek (bijvoorbeeld elk kwartaal) een interne audit te doen van de belangrijkste platforminstellingen. Laat iemand anders dan de oorspronkelijke beheerder de privacy- en toegangsinstellingen controleren van je belangrijkste opslagdiensten, zoals Google Drive, SharePoint of een interne database. Een frisse blik vangt vaak fouten op.

Als je een klein team hebt zonder dedicated IT-personeel… kun je de risico’s beperken door duidelijke afspraken over data-eigenaarschap. Wijs voor elk type gevoelige informatie (zoals financiële overzichten, klantdata, productroadmaps) één persoon aan die eindverantwoordelijk is voor het beheer en de verspreiding daarvan. Dit voorkomt dat cruciale data ‘van iedereen’ wordt en daardoor door niemand goed wordt bewaakt. Bespreek deze risico’s ook openlijk in het team, zodat iedereen het belang begrijpt.

Bron: Computable