Dirbtinio intelekto (DI) era daugelį darbuotojų pavertė savotiškais „kontrabandininkais“. Vietoje rūkalų ir alkoholio jie per įmonių „sienas“ šiandien gabena „ChatGPT“, „DeepSeek“, „Claude“ ir kitus IT skyriaus nepatvirtintus DI įrankius.
Vokietijos programinės įrangos kūrimo kompanijos „Software AG“ tyrimai rodo, jog tuo piktnaudžiauja jau pusė visų dirbančiųjų. Kaip pabrėžia „Telia“ ekspertai, šis „šešėliniu DI“ vadinamas reiškinys įmonėms grasina konfidencialių duomenų nutekėjimu ir netgi potencialiomis milijoninėmis baudomis.
„Darbuotojai organizacijos nepatvirtintus DI įrankius renkasi ne iš blogos valios. Nauji ir dar įmonės nepatikrinti sprendimai jiems dažnai leidžia dirbti greičiau bei kokybiškiau, o apie jų grėsmes žmonės elementariai neturi pakankamai žinių. Todėl šios problemos sprendimas slypi ne kategoriškuose draudimuose, o kompromisuose.
Įmonės turėtų dažniau peržiūrėti patvirtintų DI paslaugų sąrašą, aiškiai išdėstyti neautorizuotų DI įrankių apribojimus ir įdiegti reikalingus saugos mechanizmus, o svarbiausia, organizacija turi proaktyviai ieškoti patikimų pažangių DI sprendimų, juos patikrinti, diegti ir siūlyti naudoti darbuotojams, tačiau būtina labai aiškiai susitarti ir dėl naudojimo taisyklių, paaiškinti kylančias rizikas ir kaip jas valdyti“, – teigia „Telia“vyriausias juriskonsultas prof. dr. Paulius Pakutinskas.
Kodėl darbuotojai renkasi technologinę kontrabandą?
Pagrindinis faktorius, kuris dirbančiuosius stumia į DI šešėlį, yra darbo efektyvumo didinimas. „Kunavv AI“ duomenimis, net 82 proc. darbuotojų renkasi nepatvirtintus įrankius vien todėl, kad su jais gali greičiau nudirbti savo darbą. Populiarūs generatyviniai DI modeliai leidžia akimirksniu generuoti tekstus, analizuoti duomenis ar rašyti programinį kodą. Turėdami tokią galimybę ranka pasiekiamoje vietoje, darbuotojai nenori atsisakyti jų konkurencinio pranašumo, ypač kai darbo rinkoje nuolat didėja krūviai ir konkurencija.
Antra populiari priežastis – organizacijų nesugebėjimas žengti koja kojon su sparčiai besivystančiomis technologijomis. Anot apklausos, 64 proc. darbuotojų mano, kad jų įmonės patvirtinti įrankiai yra „šlamštas“. Šis nusivylimas pastūmėja ieškoti alternatyvų, net jei tai reiškia įmonės IT politikos pažeidimą. Oficialiems programinės įrangos pirkimams užtrunkant ištisus mėnesius, darbuotojai mato, kad darbovietės įsigyti įrankiai nuolat atsilieka nuo rinkoje pasirodančių naujų paslaugų.
„DI rinka šiandien yra įkaitus tiek, kad kiekvieną savaitę matome debiutuojančias reikšmingas inovacijas ir galingesnius įrankius, o įmonės savo naudojamas IT paslaugas dažnai peržiūri vos kartą per metus. Kolektyvo nariai nenori eikvoti jėgų įtikinėdami darbovietės vadovybę pereiti prie pažangesnių įrankių, nes supranta, kad net pavykus tai padaryti, šios paslaugos jiems taps prieinamos tik po ilgo laiko. Darbuotojai geriau renkasi rizikuoti – būti atleistiems iš darbo dėl neleistinų DI įrankių naudojimo dažnai tai yra lengviau, nei gauti oficialų leidimą, o ir darbdavys vien pagal DI įrankio pavadinimą negali nuspręsti ar jis patikimas ir saugus naudoti įmonėje, todėl turi įdėti pastangų tikrindamas “ – paaiškina P. Pakutinskas.
Dar viena „šešėlinio DI“ populiarumo priežastis – elementari žinių stoka. DI šiandien naudojamas įvairiuose programų papildiniuose ir naršyklės įskiepiuose, todėl beveik pusė apklaustųjų teigia nežinoję, jog to neturėtų daryti ar tam pirmiausia gauti įmonės kompetentingo skyriaus sutikimą. Tarp populiarių to pavyzdžių yra vidiniai „Slack“ DI įrankiai, „Gemini“ DI įskiepiai į įvairias naudojamas programas, „Grammarly AI“ gramatikos taisymo papildinys ar „Otter AI“ tekstinių susirinkimų santraukų kūrimo paslauga.
Nevaldomos rizikos gali kainuoti milijonus
Šešėlinis DI kelia didelių saugumo iššūkių, nes darbuotojai perduoda konfidencialius ir asmens duomenis išorinėms sistemoms, už kurių saugumą jų kūrėjai dažnai neatsako. Verslui skirtą DI saugumo įrankį vystančios „Harmonic Security“ įmonės tyrimai rodo, kad apie 30 proc. visų DI programų naudoja vartotojų įvestą informaciją savo modelių treniravimui. Tai reiškia, kad įmonės verslo planai, sistemų programiniai kodai ar nevieši finansiniai duomenys, įvesti į dažnai net nemokamus ir lengvai pasiekiamus, pavyzdžiui „ChatGPT“ ar kitus panašius įrankius, gali būti išsaugoti ir panaudoti tolimesniam DI modelių tobulinimui.
Tyrimų bendrovė „Gartner“ prognozuoja, kad jau 2025 metais šešėlinis DI bus atsakingas už trečdalį duomenų saugumo pažeidimų organizacijose. Pagrindinės intelektinės nuosavybės apsaugos problemos kyla tada, kai darbuotojai įkelia programų kodo fragmentus, prašydami DI juos tobulinti ar analizuoti. Vienas iš Jungtinėje Karalystėje vykdytų organizacijų vyriausiųjų informacijos saugumo pareigūnų (CISO) apklausos tyrimų parodė, kad jau dabar viena iš penkių įmonių Jungtinėje Karalystėje patyrė duomenų nutekėjimą dėl darbuotojų naudojamo generatyvinio DI.
„Dar viena didelė rizika – teisinė atsakomybė. Europos Sąjungoje galiojantis Bendrasis duomenų apsaugos reglamentas (BDAR) numato baudas iki 20 milijonų eurų arba 4 proc. metinės pasaulinės apyvartos už duomenų apsaugos pažeidimus. Jei darbuotojai neteisėtai dalinasi klientų duomenimis su DI įrankiais, įmonė gali susidurti ne tik su rimtomis finansinėmis sankcijomis, bet ir su reputacijos praradimu. Maža to, kadangi daugelis DI modelių išsaugo įvestus duomenis savo tolesniam mokymui, net nustačius duomenų nutekėjimą, juos pašalinti būna beveik neįmanoma. Taip pat, reikia nepamiršti atsakomybės kylančios pagal naująjį Dirbtinio intelekto aktą, kuriame numatytos baudos už DI sprendimų panaudojimą draudžiamoms veikloms ir gali siekti iki 35 000 000 EUR, arba, jei pažeidėjas yra įmonė, iki 7 %pasaulinės praėjusių finansinių metų metinės apyvartos“, – įspėja „Telia“ atstovas.
Įdomu tai, jog apsisaugoti nuo šių grėsmių kartais gali nepavykti net nuasmeninus DI pateikiamą informaciją. IBM specialistai pastebėjo, kad įmonėms pašalinus asmens duomenis iš savo failų, DI įrankiai dažnai vis tiek gali atpažinti, kam tie duomenys priklauso. Paprasčiau tariant, net ištrynus vardą ir pavardę iš dokumento, DI sugeba pagal kitus požymius „sudėlioti dėlionę“ ir nustatyti, kad tai jūsų informacija. Tai ypač pavojinga bankams, telekomunikacijų ir sveikatos įstaigoms, kurios pagal įstatymus privalo užtikrinti, kad klientų ir pacientų duomenys liktų maksimaliai slapti.
Balansas tarp inovacijų ir saugumo
Kad ir kaip organizacijoms norėtųsi uždrausti šešėlines DI programas įtraukiant į didelį juodąjį sąrašą, mažai tikėtina, kad tai duos apčiuopiamos naudos. Praktika rodo, kad griežti draudimai neveikia – darbuotojai vis tiek ras būdų juos apeiti. Pavyzdžiui, „ChatGPT“ bandys pasiekti per tokius įrankius, kaip „Kagi“. Kur kas geresnis sprendimas įmonėms yra sukurti savotiškas informacijos kategorijas: viešiems duomenims leisti naudoti patikimus išorinius DI įrankius, o konfidencialiems duomenims – tik vidinėse sistemose patvirtintus sprendimus.
Tarp kitų galimų būdų taip pat yra saugių šešėlinio DI alternatyvų kūrimas. Mokslinių tyrimų organizacija „Trimble“ savo darbuotojams sukūrė vidinį DI asistentą „Trimble Assistant“, kuris remiasi tais pačiais modeliais kaip ir „ChatGPT“, bet veikia įmonės valdomuose serveriuose ir yra pritaikytas konkretiems verslo poreikiams. Tuo metu programuotojams įmonė siūlo „GitHub Copilot“ – patvirtintą įrankį, kuris leidžia kurti kodą greičiau ir efektyviau, išlaikant duomenų konfidencialumą.
„IBM teigimu, duomenų klasifikavimas ir ženklinimas yra vienas efektyviausių būdų užkirsti kelią nesankcionuotam duomenų dalinimusi su DI įrankiais. Todėl įmonėms verta įgyvendinti strategiją, kuri apimtų ne tik saugių DI techninių sprendimų diegimą, bet ir atitinkamų saugos mechanizmų kūrimą. Reguliarus įmonės tinklo jautrių duomenų srautų stebėjimas leidžia anksti identifikuoti potencialias grėsmes, susijusias su šešėliniu DI, ir į jas reaguoti dar prieš įvykstant pažeidimui“, – pabrėžia „Telia“ atstovas P. Pakutinskas.
Darbuotojų švietimas taip pat turėtų būti esminė saugumo strategijos dalis. Reguliarūs seminarai, kuriuose darbuotojai mokomi atpažinti konfidencialius duomenis ir suprasti galimas jų dalinimosi su DI įrankiais pasekmes, paprastai sumažina nesankcionuoto naudojimo atvejų skaičių. Be to, kai įmonės politika aktyviai skatina darbuotojus pranešti apie naujus DI įrankius, kuriuos jie norėtų naudoti, IT skyrius gali greičiau reaguoti ir įvertinti šių įrankių saugumą. Įmonės turi turėti labai aiškias tvarkas ir procedūras, etikos kodeksus, leidžiančius darbuotojams gauti atsakymus į jiems rūpimus klausimus dėl DI įrankių naudojimo, keliamų rizikų, jų valdymo.
