Augantis dirbtinio intelekto naudojimas darbo vietoje skatina sparčiai didėjantį duomenų suvartojimą, o tai kelia iššūkį įmonių gebėjimui apsaugoti neskelbtinus duomenis.
Gegužės mėnesį duomenų apsaugos įmonės „Cyberhaven“ paskelbta ataskaita „The Cubicle Culprits“ atskleidžia AI pritaikymo tendencijas ir jų ryšį su padidėjusia rizika. „Cyberhaven“ analizė rėmėsi trijų milijonų darbuotojų naudojimo modelių duomenų rinkiniu, kad būtų galima įvertinti AI pritaikymą ir jo poveikį įmonės aplinkai.
Spartus AI augimas imituoja ankstesnius pokyčius, tokius kaip internetas ir debesų kompiuterija. „Cyberhaven“ generalinio direktoriaus Howardo Tingo teigimu, kaip ankstyvieji debesų naudotojai susidūrė su naujais iššūkiais, šiandienos įmonės turi susidoroti su sudėtingumu, kurį sukelia plačiai paplitęs AI pritaikymas.
„Mūsų dirbtinio intelekto naudojimo ir rizikos tyrimai ne tik pabrėžia šių technologijų poveikį, bet ir pabrėžia kylančią riziką, kuri galėtų būti lygiagreti su praeityje kilusiomis didelėmis technologinėmis perversmėmis“, – sakė jis „TechNewsWorld“.
Išvados rodo pavojaus signalą dėl galimo piktnaudžiavimo AI
„Cubicle Culprits“ ataskaitoje atskleidžiama, kad dirbtinio intelekto įsisavinimas darbo vietoje ir galutinių vartotojų naudojimas sparčiai spartėja, o tai lenkia įmonių IT. Ši tendencija savo ruožtu skatina rizikingas „šešėlinio AI“ paskyras, įskaitant daugiau jautrių įmonių duomenų.
DI dominuoja trijų AI technologijų gigantų – OpenAI, Google ir Microsoft – produktai. Jų produktai sudaro 96% AI naudojimo darbe.
Remiantis tyrimu, darbuotojai visame pasaulyje į AI įrankius įvedė neskelbtinus įmonių duomenis, o nuo 2023 m. kovo iki 2024 m. kovo mėnesio jų skaičius padidėjo 485 %. Mes vis dar esame pradžioje. Tik 4,7% darbuotojų finansų įmonėse, 2,8% farmacijos ir gyvybės mokslų ir 0,6% gamybos įmonėse naudoja dirbtinio intelekto įrankius.
Didelė dalis 73,8 % „ChatGPT“ naudojimo darbe vyksta per ne įmonės paskyras. Skirtingai nei įmonės versijos, šios paskyros įtraukia bendrinamus duomenis į viešus modelius, o tai kelia didelę riziką jautrių duomenų saugumui“, – perspėjo Tingas.
„Didelė dalis jautrių įmonių duomenų siunčiama į ne įmonių sąskaitas. Tai apima maždaug pusę šaltinio kodo [50.8%]tyrimų ir plėtros medžiagos [55.3%]ir personalo bei darbuotojų įrašai [49.0%],” jis pasakė.
Duomenys, bendrinami per šias ne įmonių paskyras, įtraukiami į viešuosius modelius. Dar didesnis Dvynių (94,4 proc.) ir Bardo (95,9 proc.) paskyros naudojimo ne įmonių sąskaitoje procentas.
AI duomenų nekontroliuojamas kraujavimas
Ši tendencija rodo kritinį pažeidžiamumą. Tingas teigė, kad ne įmonių paskyrose trūksta patikimų saugumo priemonių tokiems duomenims apsaugoti.
Dirbtinio intelekto pritaikymo rodikliai sparčiai pasiekia naujus skyrius ir naudojimo atvejus, susijusius su neskelbtinais duomenimis. Maždaug 27 % duomenų, kuriuos darbuotojai įdeda į AI įrankius, yra jautrūs, o prieš metus – 10,7 %.
Pavyzdžiui, 82,8 % teisinių dokumentų, kuriuos darbuotojai įdėjo į dirbtinio intelekto įrankius, pateko į ne įmonių paskyras, todėl informacija gali būti atskleista viešai.
Tingas perspėjo, kad patentuotos medžiagos įtraukimas į AI įrankių sukurtą turinį kelia didesnę riziką. Pradinio kodo įterpimai, kuriuos AI sugeneravo ne naudojant kodavimo įrankius, gali sukelti pažeidžiamumų riziką.
Kai kurios įmonės nesupranta, kaip sustabdyti neteisėtų ir neskelbtinų duomenų, eksportuojamų į dirbtinio intelekto įrankius, kurių IT nepasiekia, srautą. Jie remiasi esamais duomenų saugos įrankiais, kurie tik nuskaito duomenų turinį, kad nustatytų jo tipą.
„Trūko konteksto, iš kur gauti duomenys, kas su jais bendravo ir kur jie buvo saugomi. Apsvarstykite pavyzdį, kai darbuotojas įklijuoja kodą į asmeninę AI paskyrą, kad padėtų ją derinti“, – pasiūlė Tingas. „Ar tai šaltinio kodas iš saugyklos? Ar tai klientų duomenys iš SaaS programos?
Galimas duomenų srauto valdymas
Tingas patikino, kad darbuotojų švietimas apie duomenų nutekėjimo problemą yra perspektyvi sprendimo dalis, jei tai daroma teisingai. Daugelis kompanijų reguliariai rengia saugumo supratimo mokymus.
„Tačiau vaizdo įrašai, kuriuos darbuotojai turi žiūrėti du kartus per metus, greitai pamirštami. Geriausiai veikiantis švietimas yra nedelsiant ištaisyti blogą elgesį“, – pasiūlė jis.
„Cyberhaven“ nustatė, kad kai darbuotojai gauna iššokantįjį pranešimą, kuriame jie mokomi atlikti rizikingą veiklą, pvz., įklijuoti šaltinio kodą į asmeninę „ChatGPT“ paskyrą, nuolatinis blogas elgesys sumažėja 90 proc.“, – sakė Tingas.
Jo įmonės technologija Duomenų aptikimas ir atsakas (DDR) supranta, kaip duomenys juda, ir naudoja šį kontekstą jautriems duomenims apsaugoti. Ši technologija taip pat supranta skirtumą tarp įmonės ir asmeninės „ChatGPT“ paskyros.
Ši galimybė leidžia įmonėms įgyvendinti politiką, kuri neleidžia darbuotojams įklijuoti neskelbtinų duomenų į asmenines paskyras, tuo pačiu leidžiant tiems duomenims patekti į įmonės paskyras.
Nenuostabu, kas kaltas
„Cyberhaven“ išanalizavo viešai neatskleistos rizikos paplitimą, remdamasis darbo vietos susitarimais, įskaitant nuotolinį, vietoje ir hibridinį. Tyrėjai išsiaiškino, kad įvykus saugumo incidentui darbuotojo vieta turi įtakos duomenų skleidimui.
„Mūsų tyrimas atskleidė stebėtiną pasakojimo posūkį. Biure dirbantys darbuotojai, tradiciškai laikomi saugiausiu statymu, dabar vadovauja įmonių duomenų išfiltravimui“, – atskleidė jis.
Priešingai, biure dirbantys darbuotojai 77 % labiau nei nuotoliniai kolegos išfiltruoja neskelbtinus duomenis. Tačiau, kai biure dirbantys darbuotojai prisijungia iš išorės, jie yra 510 % labiau linkę išfiltruoti duomenis nei būdami vietoje, todėl tai yra rizikingiausias įmonės duomenų metas, teigia Tingas.