„ChatGPT“ kūrėja „OpenAI“ patvirtino, kad iš įmonės modelio nutekėjo duomenys. Šis incidentas labiausiai palietė verslo klientus, kurie savo sistemose naudoja „OpenAI“ integracijas.
Nors pačios užklausos (angl. prompts) ir sugeneruotas turinys nebuvo atskleistas, tarp nutekintos informacijos atsidūrė vartotojų vardai, el. pašto adresai, organizacijų ir vartotojų identifikaciniai numeriai (ID), apytikslė buvimo vieta bei IP adresai.
„Telia“ kibernetinio saugumo vadovas Darius Povilaitis pabrėžia, kad tai svarbi žinutė verslui. Jei jūsų įmonė naudoja automatizuotus dirbtinio intelekto (DI) sprendimus, tikėtina, kad šios sistemos veikia per API. API (angl. Application Programming Interface) funkcionuoja kaip tiltas, kuris leidžia įmonių vidinėms sistemoms, pavyzdžiui, klientų aptarnavimo platformoms ar HR įrankiams, automatiškai keistis duomenimis su „OpenAI“ modeliais.
Duomenų pėdsakas: kur slypi rizika?
Anot D. Povilaičio, visos integracijos kelia vienokią ar kitokią grėsmę. Nors patys DI modeliai yra saugūs, sąsajos su jais palieka duomenų pėdsaką, dėl kurio atsiranda spragų, patrauklių sukčiams.
„Reikia, kad integracija iš įmonės pusės aiškiai ribotų, ką galima pasiekti, ir nustatytų tikslius veikimo principus. Duomenų turi būti tiek, kiek būtina konkrečiam poreikiui, o trečiose šalyse jie neturi būti saugomi – tik naudojami ir iškart ištrinami. Įmonė turi nuolat stebėti, kokius duomenis perduoda trečiajai šaliai, kur jie keliauja ir ar jais nepiktnaudžiaujama. Visa tai turi vykti realiu laiku“, – sako D. Povilaitis.
Kad sumažėtų rizika, įmonėms rekomenduojama suskirstyti savo informaciją pagal jautrumą. DI sistemoms galima teikti tik anonimišką turinį – pavyzdžiui, tekstą be konkrečių detalių ar techninį kodą. Tinka ir nuasmeninti duomenys, tačiau jokiu būdu nereikėtų dalintis jautrausia informacija: asmens duomenimis, slaptažodžiais ar konfidencialiais dokumentais.
Šešėlinis DI: kasdienė praktika, apie kurią niekas nepraneša
Incidentas taip pat atkreipė dėmesį į „šešėlinio DI“ problemą, kai darbuotojai savarankiškai naudoja DI įrankius. Pasaulinės technologijų bendrovės „Cisco“ 2025 m. kibernetinio saugumo ataskaitoje nurodoma, kad net 60 proc. IT skyrių bendrovėse nežino apie šią praktiką.
„Jeigu įmonė nesuteikia saugių, patogių DI įrankių, darbuotojai juos susiranda patys – ir ne iš blogos valios. Žmonės tiesiog nori dirbti greičiau, geriau, sutaupyti laiko. Tačiau būtent čia ir prasideda bėdos, nes geras noras gali netyčia atverti duris saugumo rizikoms“, – paaiškina kibernetinio saugumo vadovas.
Siekiant apsaugoti duomenis ateityje, ekspertas rekomenduoja imtis kompleksinių priemonių. Visų pirma, būtina griežtai atskirti asmenines ir darbo paskyras – įmonės privalo užtikrinti darbuotojams prieigą prie centralizuotų, saugumo standartus atitinkančių DI įrankių, o organizacijos vidaus politika turėtų aiškiai apibrėžti jų naudojimo taisykles.
Vartotojams patariama „ChatGPT“ nustatymuose išjungti funkciją, kuri pokalbių informaciją leidžia naudoti modelių apmokymui, bei visose paskyrose aktyvuoti dviejų faktorių autentifikaciją (MFA).
Privatiems asmenims papildomo saugumo suteikia ir techninės priemonės, pavyzdžiui, „Telia Safe“. Ši programėlė saugo, kad jūsų duomenys nepatektų į netinkamas rankas, o nutekėjimo atveju iškart jus įspėja.
