Alarm za kompanije: Radnici otkrivaju poslovne tajne ChatGPT-u

Prema izvještaju LayerX Securityja, zaposlenici redovno lijepe osjetljive korporativne podatke u AI chatbotove, često putem ličnih i neupravljanih računa koji zaobilaze interne sigurnosne kontrole poduzeća.

Čak 77 posto internetskog pristupa velikim jezičnim modelima odnosi se upravo na ChatGPT, dok otprilike 18 posto zaposlenika u poduzećima unosi podatke u generativne AI alate. Više od polovice tih unosa sadrži povjerljive poslovne informacije, prenosi ICT Business.

A to može dovesti do curenja korporativnih podataka. A to putem AI alata može izazvati ozbiljne geopolitičke posljedice, regulatorne i usklađivačke probleme, te dovesti do toga da se korporativni podaci neovlašteno koriste za treniranje umjetne inteligencije ako su izloženi kroz osobne račune zaposlenika.

Nalazi iz izvještaja upućuju na sve izraženiju krizu upravljanja identitetima i podacima unutar korporativnih okruženja. LayerX je podatke prikupio analizom telemetrije iz preglednika zaposlenika u globalnim organizacijama, pri čemu je utvrđeno da 45 posto korisnika u poduzećima aktivno koristi generativne AI platforme, a čak 43 posto njih koristi isključivo ChatGPT.

Istraživanje također pokazuje da su generativni AI alati postali glavni kanal za prijenos korporativnih podataka u osobne okvire, odgovorni za 32 posto svih neautoriziranih prijenosa informacija.

Gotovo 40 posto datoteka koje zaposlenici učitavaju sadrži osobne identifikacijske podatke ili podatke o platnim karticama, dok 22 posto tekstualnih unosa uključuje osjetljive regulatorne informacije. Za kompanije koje posluju u skladu s propisima poput GDPR-a, HIPAA-e ili SOX-a, takva izloženost predstavlja ozbiljan rizik od kršenja propisa i gubitka povjerenja.

Istraživači LayerX-a otkrili su da se većina rizičnih interakcija s AI alatima događa putem neupravljanih preglednika i osobnih računa koji su potpuno izvan nadzora sustava za upravljanje identitetima. Čak 71,6 posto pristupa generativnim AI alatima odvija se putem nekorporativnih računa, a sličan obrazac uočen je i kod drugih velikih SaaS platformi poput Salesforcea, Microsoft Onlinea i Zooma.

Ono što cijeli problem čini posebno opasnim jest činjenica da se većina prijenosa povjerljivih podataka događa kroz jednostavno i svakodnevno ponašanje korisnika – kopiranje i lijepljenje sadržaja. Korisnici koji redovno lijepe tekst u generativne AI alate to u prosjeku čine 6,8 puta dnevno, a više od polovice tih radnji uključuje povjerljive podatke kompanije.

Takav ručni, ali nevidljivi proces potpuno zaobilazi tradicionalne sisteme zaštite poput sistema za sprječavanje gubitka podataka, vatrozida i kontrola pristupa. Zlonamjerni akteri i agregatori podataka mogu iskoristiti ove propuste na više načina – od treniranja vlastitih AI modela na temelju izloženih podataka, do ciljanih napada na specifične industrije kroz kompromitirane kodove, vjerodajnice ili vlasničke poslovne procese.

U svijetu u kojem su informacije postale najvrjednija imovina, ovakvi propusti mogu imati dugoročne posljedice po poslovnu reputaciju i sigurnost čitavih sektora.

Kako bi se organizacije zaštitile od curenja podataka i napada povezanih s umjetnom inteligencijom, stručnjaci savjetuju uvođenje višeslojnog pristupa sigurnosti koji uključuje zaštitu korisničkih interakcija, ali i jačanje same infrastrukture. To podrazumijeva uspostavu centraliziranih kontrola pristupa koje se temelje na principu najmanjih privilegija, kao i obaveznu autentifikaciju putem jedinstvene prijave.

Organizacije bi trebale kontinuirano nadzirati preglednike i krajnje tačke kako bi pratile tokove podataka i spriječile neautorizirano korištenje AI alata ili curenje informacija. Potrebno je dodatno ojačati AI sisteme i aplikacijska sučelja kroz segmentaciju, validaciju i filtriranje upita, čime se sprječavaju zlonamjerne manipulacije unosima.

Važno je i stalno pratiti radno okruženje te prepoznati anomalije, neovlaštene aktivnosti i pokušaje zadržavanja pristupa sistemima. Uspostava čvrstog sistema upravljanja umjetnom inteligencijom i nadzora sigurnosnog položaja omogućava organizacijama da prate svoje AI resurse, procjenjuju rizike i provode sigurnosne politike u skladu s propisima.

Osim tehničkih mjera, ključnu ulogu u zaštiti podataka ima edukacija zaposlenika o sigurnoj upotrebi AI alata. Zaposlenike treba jasno upozoriti na rizike dijeljenja podataka i manipulacije promptovima, jer ljudska pogreška i dalje ostaje najslabija karika svakog sigurnosnog sustava.

Sigurnosni timovi trebali bi redovno provoditi forenzičku analizu zapisa preglednika i mrežnog prometa kako bi na vrijeme otkrili moguće incidente povezane s umjetnom inteligencijom te osigurali da planovi za odgovor na takve incidente budu ažurni i učinkoviti.

U izvještaju LayerX Securityja prikazana je zabrinjavajuća slika današnje digitalne stvarnosti, u kojoj primjena umjetne inteligencije u poduzećima napreduje brže od uspostave jasnih sigurnosnih okvira.

(Vijesti.ba)