Noras greičiau atlikti užduotis, rasti kūrybiškų minčių ar tiesiog sutaupyti laiko – motyvai, kurie kasdien daugybę darbuotojų paskatina atsiversti ne įmonės patvirtintą, o bet kokį viešai prieinamą dirbtinio intelekto (DI) modelį. Tačiau šis, atrodo nekaltas įprotis, gali suketi grėsmių visai organizacijai.
Noras greičiau atlikti užduotis, rasti kūrybiškų minčių ar tiesiog sutaupyti laiko – motyvai, kurie kasdien daugybę darbuotojų paskatina atsiversti ne įmonės patvirtintą, o bet kokį viešai prieinamą dirbtinio intelekto (DI) modelį. Tačiau šis, atrodo nekaltas įprotis, gali suketi grėsmių visai organizacijai. Vygintas Domarkas, „Telia“ skaitmeninės transformacijos vadovas sako, kad vadinamasis „šešėlinis DI“ (angl. shadow AI), kai darbuotojai be įmonės žinios naudojasi neautorizuotomis programėlėmis, tampa vis rimtesniu iššūkiu. Deja, įmonėms jo pasekmės gali būti itin skaudžios.
Asociatyvi DI sugeneruota „Pixabay“ nuotr.
Situacijos mastą iliustruoja ir tarptautiniai tyrimai. IBM 2025 m. „Duomenų pažeidimo kainos ataskaitoje“ nustatyta, kad net 20 proc. tirtų organizacijų patyrė saugumo pažeidimų dėl to, jog darbuotojai užduotis atlikdami fone naudojo šešėlinį DI kaip „ChatGPT“, „Gemini“ ir kitus. Saugumo platformos ISMS.online (IO) ataskaita taip pat atskleidžia, jog daugiau nei trečdalis (34 proc.) apklaustų organizacijų nerimauja dėl galimo piktnaudžiavimo generatyvinio DI įrankiais įmonių viduje.
Kai paslaptys išplaukia į debesį
Anot skaitmeninės transformacijos vadovo, prieš porą metų pagarsėjo incidentas, kai bent trys vieno išmaniųjų įrenginių gamintojo inžinieriai panaudojo „ChatGPT“ su jautriais vidiniais kodais. Po to bendrovė uždraudė darbuotojams naudoti generatyvinio DI įrankius, tokius kaip „ChatGPT“. Tas pats gamintojas taip pat uždėjo limitą, kokį duomenų „svorį“ galima pateikti DI užklausose. Tuomet darbuotojai įkelti PDF ar kito formato dokumentų su įmonės informacija iš viso negali.
„Šiuo konkrečiu atveju programuotojai įkėlė unikalų operacinės sistemos kodą, kuris buvo intelektinė nuosavybė. Darbuotojai norėjo jį patobulinti, pataisyti klaidas, optimizuoti. Iš esmės intencija buvo gera, tiesiog žmonės tam pasirinko netinkamą būdą. Kai vadovai apie tai sužinojo ir paprašė DI modelio savininkų kodą ištrinti, šie atsakė, kad to padaryti nebegali. Nebuvo aišku, ar kodas jau buvo panaudotas modeliui apmokyti ir kaip. Taip įmonė atsidūrė aklavietėje – patys kalti, kad įkėlė duomenis, bet nebegali jų atgauti“, – pavyzdžiu dalinasi V. Domarkas.
„Pilkoji zona“ ir „juodosios dėžės“ principas
Didelė dalis įmonių vis dar gyvena nežinioje, nes neturi įrankių, kurie leidžia stebėti, kokia informacija „išeina“ už organizacijos ribų. Pasak V. Domarko, tokia situacija sukuria „pilkąją zoną“, kur faktas apie nutekintus duomenis išliks nepastebėtas ilgą laiko tarpą.
„Dažniausiai problema išaiškėja tada, kai yra užfiksuojamas incidentas. Praktiškai, kol tie duomenys nepasirodė kito žmogaus susirašinėjimo lange, tol duomenų nutekėjimo galima ir nepastebėti. Pavyzdžiui, jeigu bendrovė turi komercinę paslaptį, ji gali būti atskleista neaišku kam, neaišku kada, bet faktas, kad jos teisių įmonė jau nebeturės“, – sako ekspertas.
Viena iš priežasčių, kodėl įmonės griežtai draudžia kelti vidinius duomenis į išorinius DI modelius, yra „juodosios dėžės“ principas. „Dirbtinis intelektas yra tam tikra juodoji dėžė, kur nėra aišku, kurie duomenys bus panaudoti mokymosi tikslais. DI įrankiai savo algoritmų neatskleidžia, nes tai jau jų vidinė konkurencinė paslaptis ir pranašumas, tad prognozuoti, kaip ta informacija bus panaudojama, labai sunku. Vis dėlto, pasak jo, šias rizikas galima suvaldyti.Tai priklauso nuo įmonės vidinės apsaugos ir priemonių. Tie, kas turi tinkamus įrankius, apsisaugoti gali“, – pabrėžia V. Domarkas.
Tai kaip apsisaugoti?
Užuot draudus DI, ekspertas ragina įmones sukurti aiškią sistemą, kuri leistų darbuotojams išvengti šešėlinio DI spąstų. Svarbiausia yra suderinti spartų DI diegimo tempą versle su patikima valdymo sistema, kuri apsaugotų įmonės ir jos klientų duomenis.
„Kibernetinio saugumo specialistas turi laiks nuo laiko pasitikrinti, ar žmonės naudoja įmonės duotus įrankius, ar vis tiktais naudoja ir savus. Reikia atvirai kalbėti su darbuotojais ir kelis kartus pasižiūrėti, ar tuose įrankiuose yra numatyta, kad duomenys bus nuasmeninti ir ar įkeliama informacija nebus naudojama mokymosi tikslais. Įmonėms, kurios neturi tam skirtų vidinių resursų, gali padėti ir išorės partneriai. Pavyzdžiui, „Telia“ ekspertai verslui siūlo Saugumo operacijų centro (angl. SOC) paslaugas, kurios padeda verslui įsivertinti bendrą saugumo lygį, pateikia konkrečių sprendimų. Taip nereikia ieškoti spragų tarsi adatos šieno kupetoje patiems“, – pataria V. Domarkas.
Pasak jo, rinkoje jau yra sprendimų, kurie leidžia panašias rizikas numatyti iš anksto. Suteikdamos darbuotojams oficialius, saugius ir efektyvius DI pagalbininkus, įmonės sumažina poreikį ieškoti nepatvirtintų alternatyvų ir paverčia darbą su DI saugiu.
„Viskas kyla iš natūralaus siekio dirbti efektyviau, tačiau problema dažniausiai atsiranda ne dėl piktos valios, o dėl nežinojimo ar aplaidumo. Todėl sprendimas nėra stabdyti inovacijas, o ugdyti nuolatinio sąmoningumo kultūrą. Apie rizikas su darbuotojais būtina kalbėti nuolat, nes kinta tiek technologijos, tiek komandos. Būtent nuoseklus darbuotojų, ypač naujų ,švietimas padeda išvengti klaidų, kurioms išlindus į paviršių, gali būti labai skaudu“, – apibendrina „Telia“ skaitmeninės transformacijos vadovas.
