Kad įmonės konfidencialūs duomenys atsirastų viešoje erdvėje, kartais nereikia nei kibernetinių atakų, nei programišių įsikišimo. Pakanka, kad darbuotojai naudojasi populiariais internetiniais dirbtinio intelekto įrankiais. Edita Pulkauninkė, IT kompanijos „Squalio Lietuva“ direktorė, sako, kad tai, jog darbuotojai nesąmoningai gali kelti pavojų konfidencialiems verslo duomenims – rimta grėsmė.
Grėsmių duomenų saugumui kelia visi dirbtiniu intelektu paremti internetiniai įrankiai: „ChatGPT“, „Gemini“, „IBM Watson“, ir net tokios, iš pažiūros, nekaltos programėlės, kaip „Google Translate“ ar „DeepL“.
„Vartotojai dažnai į šias platformas įkelia konfidencialią medžiagą, visiškai nesuvokdami galimų pasekmių. Daugelis nesusimąsto, kad savo serveriuose jos kaupia pateiktą informaciją, o įmonės dažniausiai net nežino ir negali pamatuoti, kokia proporcija jautrių duomenų jų darbuotojų rankomis jau buvo nutekinta“, – sako kibernetinio saugumo specialistė E. Pulkauninkė.
Įmonėms, kurios norėtų įsivertinti galimas rizikas, E. Pulkauninkė siūlo atlikti „Shadow AI“ vertinimą. Jis parodo, koks procentas darbuotojų naudojasi dirbtinio intelekto priemonėmis.
Jeigu rezultatai parodo, kad dirbtinio intelekto priemonėmis naudojasi didelis darbuotojų procentas, įmonės vadovams reikėtų labiau susirūpinti ir imtis papildomų saugumo priemonių.
Vadina tiksinčia bomba
Tai, kad įmonės šiuo klausimu nesiima jokių veiksmų – kibernetinio saugumo specialistė vadina tiksinčia bomba.
„Pastebime, kad įmonės kol kas dar neturi aprašytų taisyklių, kuo darbuotojai gali naudotis ir kokius duomenis kelti. Niekas nežino nei kiek, nei kokios informacijos yra įkelta, nei kaip tą informaciją panaudos dirbtinio intelekto įrankiai – ar ji bus panaudota rengiant kibernetines atakas ar ji bus kaupiama duomenų bazėse“, – sako E. Pulkauninkė.
Netyčinio duomenų atskleidimo pasekmės gali būti ilgalaikės ir kompleksiškos. Jos apima tiek pavojų intelektinei nuosavybei, komercinėms paslaptims, tiek privatumo įstatymo pažeidimams, finansams. Be to, dėl nutekėjusių duomenų įmonės dažnai susiduria su reputaciniais iššūkiais. Paviešinti jautrūs duomenys gali nepataisomai pakenkti santykiams su klientais, partneriais ir kitomis suinteresuotosiomis šalimis.
„Visi galvoja, kad jautrūs duomenys yra tik asmeniai duomenys ar banko prisijungimai. Bet juk egzistuoja ir įvairiausios komercinės paslaptys, receptūros, produktų techninės specifikacijos, kuriančios konkurencinį pranašumą. Visi dabar žiūri tik kaip palengvinti sau gyvenimą, bet nepagalvoja, kad reikėtų susidėlioti saugų dirbtinio intelekto įrankių išsibandymo lauką. Pavyzdžiui, saugiai pasibandyti „ChatGPT“ ir pasižaisti su konfidencialia informacija galima ir uždaroje aplinkoje, pasinaudojant offline versija“, – pasakoja specialistė.
Žinoma, iš offline versijos gaunama kur kas mažiau informacijos. Tuomet, pasak E. Pulkauninkės, yra galimybė pritraukti išorinį resursą – internetines paslaugas. O, saugumo klausimą šiuo atveju išspręsti galima programėlės nustatymuose nurodant, kokie konkrečiai duomenys negali būti naudojami.
Privaloma imtis papildomų saugumo priemonių
Sprendžiant duomenų saugumo iššūkius reikalingas daugialypis požiūris, apjungiantis technologinius sprendimus, įmonės politiką ir visapusišką darbuotojų edukavimą.
„Visų pirma, įmonė turėtų raštiškai ir pasirašytinai supažindinti savo darbuotojus su tuo, kokių duomenų ar dokumentų negalima kelti į internetą. Antras – darbuotojams apie virtualias rizikas reikalingi nuolatiniai mokymai ir edukacija. Na ir trečiasis saugiklis – techniniai įrankiai, kurie riboja jautrios informacijos išsikopijavimą. Beje, tai daugeliui įmonių daryti bus privaloma jau nuo šio spalio, kai Europos Sąjungos mastu įsigalios TIS2 direktyva“, – sako E. Pulkauninkė.