Imamo osjećaj da smo svi to barem jednom uradili. Trebalo je brzo složiti izvještaj, napisati mail klijentu, osmisliti prezentaciju ili prevesti nešto što nam se nije dalo ručno tipkati i naravno – ChatGPT je bio otvoren u drugom prozoru. Prva pomisao u našoj glavi: brže je i lakše. Ali u toj brzini često zaboravimo jedno: šta smo tačno unijeli u prompt? I da li to možda sadrži povjerljive podatke o klijentima, poslovnim planovima ili internim strategijama?
O tome smo već razmišljali, a sada i pročitali članak na ovu temu koji donosi Fast Company.
Mnogi direktori žele da njihovi zaposlenici koriste AI više nego ikada ranije. I to s dobrim razlogom – umjetna inteligencija može unaprijediti gotovo svaki aspekt poslovanja i višestruko povećati efikasnost. Ali kako ova praksa postaje sve češća, otvara se pitanje: kako izbjeći velike sigurnosne propuste i curenje osjetljivih podataka?
Prema podacima kompanije Sift, 31% korisnika priznaje da je unijelo lične ili osjetljive informacije u generativne AI alate poput ChatGPT-a. Još alarmantnije, 14% njih navelo je da su unijeli konkretne poslovne tajne. Pored tajni, dijelili su i finansijske informacije, podatke koji nisu javni, email adrese, brojeve telefona i detalje o svojim poslodavcima. Ukratko: ljudi sve više vjeruju AI-ju, često bez svijesti o mogućim posljedicama.
Taj osjećaj povjerenja ne završava samo na dijeljenju podataka. Ista opuštenost povećava ranjivost korisnika na deepfake sadržaje i AI-generisane prevare u privatnom životu. Podaci kompanije Sift pokazuju paradoks: iako je zabrinutost zbog AI prevara pala za 18% u odnosu na prethodnu godinu, broj ljudi koji priznaje da su postali žrtve takvih prevara porastao je za čak 62% od 2024. godine.
Zamka prevelikog samopouzdanja
Zaposlenici često koriste AI iz praktičnih razloga: žele da im email zvuči profesionalnije, da dobiju primjer ponude, da dotjeraju marketinški tekst ili riješe komplikovan korisnički upit uz pomoć chata. Nije riječ o nemaru, već o pokušaju da budu brži i korisniji timu. Ali tu leži problem: upravo oni koji misle da „razumiju AI“ najčešće nenamjerno dijele povjerljive podatke – a nerijetko ne prepoznaju sofisticirani AI sadržaj koji im prijeti izvana.
Svaki put kada zaposlenik unese interne materijale u GenAI alat, on prenosi poslovno osjetljive informacije u sistem koji može te podatke pohraniti, zapisati, pa čak i koristiti za buduće treniranje modela. Ako bi došlo do sigurnosnog propusta ili hakerskog napada, takve informacije mogle bi završiti u pogrešnim rukama – uključujući klijentske podatke, strategije i proizvode u razvoju.
Gdje je rješenje?
Problem s ovakvim curenjima podataka jeste što ih je gotovo nemoguće otkriti klasičnim sigurnosnim alatima. Generativni AI se često koristi izvan korporativne mreže, preko privatnih računa, i pritom nema ograničenja šta zaposlenik može unijeti.
Neugodna istina je da direktori vjerovatno nikada neće znati šta su zaposlenici podijelili s AI-jem. Za razliku od phishing napada, koji se mogu pratiti, unosi u AI alate često se dešavaju “u sjeni”. Ali to ne znači da treba zabraniti AI u cijeloj kompaniji.
Prvi korak je okvir za razumijevanje. Potrebno je anonimnim anketama procijeniti razmjere korištenja AI alata u timu: koje alate koriste, u kojim situacijama pomažu, šta bi voljeli da mogu? Iako možda neće priznati da su dijelili povjerljive podatke, poslodavci će dobiti uvid u obrasce i potencijalne rizike.
Prevencija umjesto zabrana
„Umjesto zabrane, fokusirajte se na prevenciju. Potpuna zabrana AI-ja nije realna i može vas staviti u loš položaj. Umjesto toga, napravite jasne smjernice šta se smije, a šta ne smije unositi u javne AI alate. Postavite crvenu liniju za podatke koji su strogo zabranjeni – osobni podaci klijenata, finansijski dokumenti, pravni materijali, interni sadržaji. Budite praktični, ne paranoični“, navodi se u članku.
Rješenje je omogućiti zaposlenicima sigurne alate – interne AI platforme ili enterprise račune koji ne pohranjuju podatke niti ih koriste za treniranje modela. IT timovi moraju provjeriti alate s aspekta zaštite podataka jer i unutar istog alata (npr. ChatGPT) razina privatnosti zavisi od vrste računa.
Ako se dogodi unos osjetljivih podataka u AI alat, važno je brzo reagovati. Treba dokumentovati šta je uneseno, kada i kojim alatom. Zatim procijeniti rizik: koliko su podaci osjetljivi i postoji li prijetnja poslovnoj poziciji ili regulatornim pitanjima. U težim slučajevima, potrebno je obavijestiti pogođene strane. Takvi incidenti trebaju poslužiti kao lekcija za jačanje internih procedura i sigurnosnih praksi.
Pouka iz slučaja Samsunga
Vrijedi podsjetiti na situaciju koja je pogodila Samsung kada su zaposlenici slučajno unijeli izvorni kod, bilješke sa sastanaka i podatke o testiranju u ChatGPT – čime su izložili vrijedne informacije. Samsung je reagovao brzo: ograničio je korištenje ChatGPT-ja, pokrenuo istragu i počeo razvijati vlastiti AI alat.
Većina kompanija nema resurse da razvije vlastite chatbotove, ali može koristiti poslovne račune s eksplicitnim garancijama o zaštiti podataka i strožim sigurnosnim postavkama.
poslovnenovine.ba
