De waarnemend directeur van de Amerikaanse cybersecuritydienst CISA heeft afgelopen zomer gevoelige overheidsdocumenten ingevoerd in een publieke versie van ChatGPT. Dat leidde tot meerdere interne beveiligingswaarschuwingen. En tot een schadeonderzoek binnen het Department of Homeland Security (DHS).
Dat meldt Politico op basis van bronnen binnen DHS. Het ging om contractdocumenten van CISA die waren aangeduid als uitsluitend bestemd voor officieel gebruik. Hoewel de bestanden niet geclassificeerd waren, mogen ze volgens de geldende regels niet openbaar worden gedeeld. Securitysystemen binnen CISA detecteerden de uploads in augustus. Ze sloegen herhaaldelijk alarm om mogelijke datalekken of onbedoelde verspreiding van gevoelige informatie te voorkomen.
Opvallend is dat de waarnemend directeur vooraf expliciet toestemming kreeg om ChatGPT te gebruiken. Die toestemming gold als uitzondering, omdat de AI-dienst voor andere medewerkers van DHS standaard geblokkeerd was. Juist daardoor ligt het incident gevoelig. Dit, omdat van de top van een cybersecurityorganisatie wordt verwacht dat zij zorgvuldig omgaat met interne richtlijnen.
AI belangrijk voor modernisering overheid
Na de detectie startte DHS een intern onderzoek om te beoordelen of de uploads gevolgen hadden voor de beveiliging van federale systemen. Over de uitkomsten daarvan is niets openbaar gemaakt. CISA liet in een reactie weten dat het gebruik van ChatGPT beperkt en tijdelijk was en plaatsvond binnen vastgestelde voorwaarden. Daarbij benadrukte het agentschap het belang van AI voor de modernisering van de overheid, in lijn met beleid van de regering-Trump om de inzet van AI binnen federale organisaties te versnellen.
Ars Technica meldt dat de timing van de publicatie samenvalt met toenemende politieke en bestuurlijke druk op het leiderschap van CISA. De waarnemend directeur werd recent door het Amerikaanse Congres ondervraagd over eerdere personeelsreducties. En over interne de algemene paraatheid van de organisatie. In die context krijgt het ChatGPT-incident extra betekenis, omdat het past in een breder beeld van zorgen over governance en risicobeheersing.
Volgens Ars Technica is het interne onderzoek naar de uploads afgelopen zomer gestart. Het CISA wilde niet bevestigen of dit inmiddels is afgerond. Die onduidelijkheid draagt bij aan vragen over transparantie en kan mede verklaren waarom het incident pas maanden later publiekelijk bekend werd via mediaberichtgeving.