Imamo osjećaj da smo svi to već barem jednom napravili. Trebalo je brzo složiti izvještaj, napisati mail klijentu, smisliti prezentaciju ili prevesti nešto što nam se nije dalo ručno tipkati i naravno, ChatGPT je bio otvoren u drugom prozoru. Prva pomisao u našoj glavi: brže je i lakše. No u toj brzini često zaboravljamo jednu sitnicu: što smo točno unijeli u prompt? I sadrži li to možda povjerljive podatke o klijentima, poslovnim planovima ili internim strategijama?
O tome smo već nekoliko puta razmišljali, a sada i pročitali jedan članak na tu temu koji donosi Fast Company.
Mnogi CEO-i žele da njihovi zaposlenici koriste AI više nego ikad prije. I to s dobrim razlogom jer umjetna inteligencija može poboljšati gotovo svaki aspekt poslovanja i višestruko povećati učinkovitost zaposlenika. No, kako ova praksa postaje sve češća, otvara se pitanje: kako izbjeći velike sigurnosne propuste i curenje osjetljivih podataka?
Prema najnovijim podacima tvrtke Sift, 31 % korisnika priznaje da je unijelo osobne ili osjetljive informacije u generativne AI alate poput ChatGPT-a. Još više zabrinjava podatak da je 14 % njih navelo kako su unijeli konkretne poslovne tajne. Osim tajni, korisnici priznaju da su dijelili financijske informacije, podatke koji nisu javni, email adrese, brojeve telefona i detalje o svojim poslodavcima. Ukratko: ljudi sve više vjeruju AI-ju, i to često bez svijesti o posljedicama.
Taj osjećaj sigurnosti i povjerenja u AI ne staje samo na dijeljenju podataka. Ista ta opuštenost povećava ranjivost korisnika na deepfakeove i AI-generirane prijevare u privatnom životu. Siftovi podaci pokazuju zanimljiv paradoks: iako je zabrinutost zbog AI prijevara pala za 18 % u odnosu na prethodnu godinu, broj ljudi koji priznaje da su postali žrtve takvih prijevara porastao je za čak 62 % od 2024. godine. Dakle, bilo da se radi o dijeljenju poslovnih tajni ili klikanju na sumnjivi SMS, uzorak ponašanja je isti.
Zamka prevelikog samopouzdanja
Zaposlenici često koriste AI iz sasvim praktičnih razloga: žele da im email zvuči profesionalnije i bolje, dobiti primjere za ponudu koju slažu, dotjerati marketinški tekst ili riješiti kompliciran korisnički upit uz pomoć chata. Nije riječ o nemaru, već o pokušaju da budu efikasniji, brži, korisniji timu. Ali upravo tu leži problem: ljudi koji misle da “kuže AI” su oni koji su najskloniji nenamjernom dijeljenju povjerljivih podataka. I upravo ti isti ljudi često ne znaju prepoznati sofisticirani AI-sadržaj koji im prijeti izvana.
Svaki put kad zaposlenik unese interni content, koji nije javno dostupan, u GenAI alat, svjesno ili nesvjesno prenosi poslovno osjetljive informacije u sustav koji može te podatke pohraniti, zapisati, pa čak i koristiti za treniranje budućih odgovora. Ako bi došlo do sigurnosnog propusta ili hakerskog napada, te bi informacije mogle završiti u pogrešnim rukama, uključujući klijentske podatke, strategije, proizvode u razvoju…
Gdje je rješenje?
Problem s ovakvim curenjima podataka jest što ih je gotovo nemoguće uočiti klasičnim sigurnosnim alatima. Generativni AI alati često se koriste izvan korporativne mreže, kroz privatne račune, i pritom nije ograničeno što zaposlenik može unijeti.
Neugodna istina: direktori i poslodavci vjerojatno nikada neće točno znati što su zaposlenici podijelili s AI-jem. Za razliku od klasičnih phishing napada, koji se mogu pratiti unatrag, unosi u AI alate često se događaju “u sjeni”, putem osobnih korisničkih računa. No to ne znači da treba zabraniti AI u cijeloj tvrtki.
Prvi korak je stvoriti okvir za razumijevanje. Pokušajte procijeniti razmjere korištenja AI alata u vašem timu putem anonimnih anketa. Pitajte: koje AI alate koristite? U kojim situacijama vam pomažu? Što biste voljeli da mogu? Iako zaposlenici možda neće priznati da su dijelili osjetljive podatke, dobit ćete uvid u obrasce korištenja i moguće točke rizika.
Poslovne tajne: Prevencija umjesto zabrana
“Umjesto zabrane, fokusirajte se na prevenciju. Potpuna zabrana korištenja AI-ja ne samo da je nerealna, nego vas stavlja u konkurentski nepovoljan položaj. Umjesto toga, izradite jasne smjernice koje definiraju što se smije, a što ne smije unositi u javne GenAI alate. Postavite crvenu liniju za podatke koji su strogo zabranjeni: osobni podaci korisnika, financijski dokumenti, pravne formulacije, interni materijali. Budite praktični, ne paranoični”, ističu u članku.
“Omogućite zaposlenicima alate koji su sigurni. Ako želite odgovorno korištenje AI-ja, dajte ljudima opcije. Osigurajte interne AI alate ili platfome koje ne pohranjuju podatke i koje ne koriste inpute za treniranje modela. IT timovi trebaju provjeriti sve AI alate s aspekta upravljanja podacima jer čak i unutar jednog alata (npr. ChatGPT) razina privatnosti ovisi o vrsti računa.”
U slučaju da dođe do unosa osjetljivih podataka u AI alat, važno je reagirati brzo i sabrano. Prvi korak je dokumentirati što je točno uneseno, kada se to dogodilo i koji je alat korišten. Slijedi procjena rizika: koliko su podaci bili osjetljivi, postoji li mogućnost kompromitacije poslovne pozicije ili problema s regulatornim tijelima. Ovisno o težini situacije, moguće je da će biti potrebno obavijestiti sve pogođene strane. Takvi incidenti mogu poslužiti kao važna lekcija i poticaj za dodatno osnaživanje internih procedura i sigurnosnih praksi.
Što možemo naučiti iz slučaja tvrtke Samsung?
Iako se AI scena brzo mijenja, vrijedi se prisjetiti situacije koja je pogodila Samsung prije nekoliko godina. Tada su zaposlenici iz odjela za poluvodiče slučajno unijeli izvorni kod, bilješke sa sastanaka i podatke o testiranju u ChatGPT – čime su izložili vrijedne poslovne informacije OpenAI-ju. Samsung je brzo reagirao: ograničili su korištenje ChatGPT-ja, pokrenuli internu istragu i započeli razvoj vlastitog AI alata unutar kompanije.
Većina kompanija nema resurse za izgradnju vlastitih chatbotova, ali može koristiti poslovne (enterprise) račune koji eksplicitno isključuju unos podataka iz AI treniranja i imaju strože sigurnosne postavke.
FOTOGRAFIJE: Unsplash
