Umělá inteligence
a ochrana dat.
Jak předejít úniku firemních údajů (nejen) skrze ChatGPT?
25. července 2023
2 minuty
Ještě před několika měsíci se o umělé inteligenci mluvilo váhavě. Nyní jazykové modely v čele s ChatGPT běžně používají profesionálové napříč obory. AI využívají k rešerším, brainstormingu či tvorbě textů. Občas si však neuvědomují kyberbezpečnostní rizika, která nové populární platformy přinášejí. Co mít na paměti, aby vaši zaměstnanci či kolegové nepustili do světa citlivá firemní data?
ChatGPT, BingAI, CopyAI nebo NotionAI. Všichni tito digitální asistenti pracují na principu umělé inteligence. Jejich popularita v roce 2023 stále roste a zároveň sílí představa, že by jednou mohli trumfnout i nejpopulárnější internetový vyhledávač Google. U hledání informací však jejich funkce nekončí, lidé se na jazykové modely obracejí s osobními dotazy a učí se je využívat jako kreativní nástroj. AI pomaličku transformuje způsob, jakým dnes podniky fungují – od zefektivnění zákaznického servisu až po tvorbu byznysových plánů. S technologickým vývojem, který umí zjednodušit každodenní práci, nicméně přichází i potřeba pečlivě chránit data a zajistit kyberbezpečnost. Kdy může spolupráce člověka a AI selhávat?
Únik korporátních informací i osobních údajů
Na co si dát při práci s umělou inteligencí pozor, nejlépe ilustrují konkrétní příklady z praxe. Technologický gigant Samsung musel letos řešit únik celé řady interních a citlivých informací. Zapříčinili ho zaměstnanci společnosti – pomocí ChatGPT měli zvýšit svou produktivitu. Zároveň se však dost neobeznámili s pravidly AI a s platformou sdíleli tajné údaje i know-how, které by jinak firmu nesměly opustit. Co přesně se stalo?
Jeden ze zaměstnanců umístil do ChatGPT interní kód určený k identifikaci chyb ve výrobě. Jiný člověk obdobně naložil s kódem z interní databáze a přidal instrukci, aby v něm jazykový model našel nejasnosti a vyřešil tak jeho nefunkčnost. Ve třetím případě pak pracovník do systému vložil přepisy z meetingů a požádal AI o vytvoření zkráceného zápisu. Všechny citlivé údaje se po umístění do takzvaného prompt okna odesílají na externí servery, odkud je již není možné získat zpátky nebo smazat. Mohou se tak dostat do nepovolaných rukou a způsobit společnosti značnou škodu. Samsung již zakázal využívání ChatGPT uvnitř firmy, přesto se však nedá zcela vyloučit, že prostřednictvím umělé inteligence nemohou unikat další tajná data. Podobné situace se po případu Samsungu označují pojmem „AI leak“.
Koncem března 2023 zase unikla historie vyhledávání promptů, kontaktních informací a platebních údajů uživatelů ChatGPT. Kvůli selhání placené verze Plus musela být celá platforma pozastavena. V rámci devítihodinového výpadku se dostaly do ohrožení citlivé údaje přibližně 1,2 % uživatelů. Konkrétně šlo o ohrožení kontaktních údajů, platebních dat či historie vyhledávání. Problém způsobila chyba v open-source knihovnách Redis.
Pravidelná školení a jasně daná pravidla
Skrze AI modely můžou informace unikat zejména v případech, kdy lidé nástroje používají zbrkle. Ani ChatGPT zatím nedokáže rozlišit, jaké informace lze považovat za citlivé. Zaměstnanci by tudíž do chatbotu nikdy neměli zadávat důležité firemní údaje, mezi které patří hesla, konkrétní informace a jména subjektů, čísla účtů a objednávek či jiná data o klientech.
Jak únikům dat předcházet? Pořádejte pravidelná školení i workshopy a veďte svůj pracovní kolektiv k tomu, aby rozeznal kybernetické hrozby, jako např. phishing. Útočníci se někdy mohou vydávat za AI asistenta a požadovat po dotyčném citlivé informace. Abyste firmu ochránili před riziky týkajícími se nejen umělé inteligence, ale digitálního prostředí obecně, připomeňte si naše bezpečnostní desatero a minimalizujte tak možnost zneužití dat.
Nástroj pro kyberzločince?
Ačkoliv umělá inteligence sama o sobě nedokáže cíleně ukrást osobní údaje, kyberzločinci ji dokážou zneužít. Potvrdil to i lednový výzkum mezi odborníky na IT a kyberbezpečnost z USA, Velké Británie a Austrálie. Více než polovina respondentů předpokládá, že hackeři budou ChatGPT využívat k tvorbě více uvěřitelných a legitimně působících podvodných e-mailů. Téměř polovina dotazovaných pak věří, že díky jazykovým modelům kyberzločinci prohloubí své technické znalosti a budou je využívat jako nástroj k šíření dezinformací. Umělá inteligence může zároveň asistovat při tvorbě škodlivého malwaru.
Ačkoliv systémy jako ChatGPT dokážou práci zásadně usnadnit, uživatelé by měli dbát na etická a legislativní pravidla stejně jako při běžné práci s digitálními informacemi. Aby se vaše firma vyhnula potenciálním kybernetickým útokům, nastavte jasné zásady pro užívání AI nástrojů, zaveďte školení zaměstnanců a zakažte šíření soukromých údajů. Nezapomeňte vysvětlit, proč k takovým opatřením přistupujete – třeba skrze výše uvedené příklady. AI vám pak může přinést výhody, aniž by ohrožovala bezpečnost firemních dat.