Scurgeri de informații confidențiale cauzate de AI generativ
Inteligența artificială generativă a devenit un instrument revoluționar în mediul de business. Totuși, utilizarea neatentă a acestor instrumente poate duce la scurgeri de date confidențiale cu efecte dezastruoase.
Fără AI Awareness (conștientizarea riscurilor AI) și AI Readiness (pregătirea organizațională pentru AI), angajații pot divulga involuntar secrete de business către terți. Studiile arată că o companie obișnuită își „scapă" date sensibile în ChatGPT de sute de ori pe săptămână, aceste informații fiind preluate în baza de cunoștințe publice a modelului.
AR
by Ana Raluca Radut
Cazul Samsung: Codul sursă expus
Primul incident
Un angajat a introdus în chat cod sursă confidențial al unui program intern, solicitând identificarea erorilor.
Al doilea incident
Un alt inginer a copiat cod proprietar și a cerut chatbot-ului optimizarea codului.
Al treilea incident
Un angajat a urcat în ChatGPT înregistrarea audio a unei ședințe private pentru a obține un rezumat scris.
Consecințele scurgerilor Samsung
Expunere permanentă
Odată expuse în ChatGPT, aceste date nu mai puteau fi retrase – dimpotrivă, puteau apărea agregate în răspunsurile oferite altor utilizatori.
Experții au subliniat că astfel de scurgeri pot încălca inclusiv GDPR, deoarece datele confidențiale pot fi reutilizate de model fără consimțământ.
Impact reputațional
Cazul a devenit rapid public și stânjenitor pentru Samsung, fiind un exemplu negativ discutat pe plan internațional (un „cautionary tale", cum a remarcat presa).
Reputația organizației a avut de suferit, numele Samsung apărând în titlurile care avertizau despre riscurile folosirii nechibzuite a AI.
Măsurile imediate luate de Samsung
Limitarea textului
Angajații nu mai puteau introduce în ChatGPT mai mult de 1024 bytes de text
Anchetă internă
Investigarea persoanelor implicate în scurgeri
Chatbot intern
Dezvoltarea unui chatbot AI propriu, care să nu trimită datele în exterior
Decizia drastică a Samsung
Interzicerea totală
Samsung a luat o decizie drastică: interzicerea totală a utilizării oricărui instrument de AI generativ (ChatGPT, Google Bard, Bing Chat etc.) pe dispozitivele și rețeaua internă ale companiei.
Motivația oficială
Un memo intern a explicat că datele introduse pe platforme publice sunt stocate pe servere externe, greu de șters ulterior și pot ajunge vizibile altor utilizatori.
Consecințe pentru angajați
S-a avertizat explicit că încălcarea noii politici va fi considerată abatere gravă – angajații prinși că mai introduc informații sensibile în astfel de servicii riscau concedierea.
Cazul Amazon: Avertismentul intern
Descoperirea alarmantă
La începutul lui 2023, Amazon a observat că anumite răspunsuri generate de ChatGPT semănau izbitor cu informații interne Amazon.
Reacția juridică
Un avocat din echipa juridică Amazon a emis rapid un avertisment intern prin care interzicea angajaților să mai furnizeze informații sensibile către ChatGPT.
Evaluarea pagubelor
O analiză de securitate independentă a estimat la peste 1 milion de dolari potențiala pierdere sau valoare a datelor expuse.
Consecințele și reacțiile Amazon
Acțiune preventivă
Amazon a reușit să ia măsuri înainte ca informațiile să iasă complet din sfera sa de control.
Avertizare timpurie
Lecția a fost una de avertizare: angajații ar fi putut divulga planuri de produs, cod sursă proprietar sau strategii de business.
Poziționare proactivă
Reputațional, compania s-a poziționat proactiv, subliniind că tratează cu maximă seriozitate confidențialitatea datelor.
Măsurile luate de Amazon
Restricționarea chatbot-urilor
Amazon a restricționat folosirea chatbot-urilor publice pentru angajați
Protejarea codului
Angajaților li s-a cerut să nu mai introducă cod sursă sau date despre clienți în ChatGPT
Dezvoltarea Cedric
Amazon a accelerat dezvoltarea propriei soluții AI: chatbot-ul intern "Amazon Cedric"
Securizarea datelor
Cedric a fost promovat ca fiind "mai sigur decât ChatGPT" deoarece datele rămân în perimetrul Amazon
Reacții în lanț: sectorul bancar
JPMorgan Chase
În februarie 2023, JPMorgan Chase a restricționat la nivel global folosirea ChatGPT de către angajați, invocând politici de conformitate și protecția informațiilor sensibile.
Citigroup
La scurt timp, și Citigroup a luat măsuri similare, interzicând accesul la instrumente AI generative pe rețelele interne.
Goldman Sachs
Goldman Sachs a urmat exemplul, blocând accesul angajaților la platformele AI generative pentru a preveni scurgerile de date financiare confidențiale.
Reacții în sectorul tehnologic
Verizon
Verizon a blocat angajaților accesul la ChatGPT, motivând public decizia prin riscul de a "pierde controlul asupra informațiilor clienților, codului sursă și al altor date" dacă acestea ar fi introduse într-un chatbot extern.
Compania de telecomunicații gestionează volume uriașe de date ale clienților și a considerat că riscul este prea mare pentru a permite utilizarea necontrolată a AI-ului generativ.
Apple
Apple, cunoscută pentru cultura sa a secretului, a restricționat la rândul său utilizarea ChatGPT și a altor instrumente AI de către echipele sale, temându-se că s-ar putea divulga planuri de produse neanunțate sau cod sursă din proiecte sensibile.
Faptul că Apple a adoptat o asemenea poziție a trimis un mesaj puternic întregii industrii: oricine poate fi vulnerabil la scurgeri dacă nu există politici și awareness.
Reacții guvernamentale
Italia
În Italia, autoritatea de protecție a datelor a blocat temporar ChatGPT în 2023 din cauza preocupărilor legate de confidențialitate și conformitatea cu GDPR.
Uniunea Europeană
Autoritățile europene au început să analizeze implicațiile modelelor AI generative asupra protecției datelor personale și a secretelor comerciale.
Reglementări emergente
Incidentele de scurgeri de date au accelerat discuțiile despre necesitatea unor reglementări specifice pentru utilizarea AI generativ în mediul corporativ.
Cazuri individuale de încălcări
Înregistrări neautorizate
Un fost angajat din SUA a fost dat în judecată pentru dezvăluirea de secrete comerciale, după ce s-a descoperit că folosea aplicația AI Otter.ai pentru a înregistra și transcrie ședințe confidențiale fără permisiune.
Încălcări medicale
Unii medici au început să folosească ChatGPT pentru a-și formula notițe sau scrisori către asiguratori – introducând detalii despre pacienți (diagnostice, nume, tratamente) în prompt-urile către AI.
Scurgeri de date corporative
Un studiu Cyberhaven a relevat că ~4,7% dintre angajați au recunoscut că au copiat cel puțin o dată informații confidențiale în ChatGPT, iar circa 11% din conținutul introdus este de natură confidențială.
Consecințele scurgerilor de date
Prejudicii de imagine
Daune iremediabile pentru organizație și cariera individului
Încălcări de reglementări
Probleme legale legate de date personale sau secrete comerciale
Pierderea avantajului competitiv
Expunerea codului sau a planurilor strategice către competitori
Imposibilitatea recuperării
Datele ajunse pe serverele unui terț devin imposibil de recuperat
Frecvența scurgerilor de date
4.7%
Angajați expunători
Procentul angajaților care au recunoscut că au copiat cel puțin o dată informații confidențiale în ChatGPT
11%
Conținut confidențial
Procentul din conținutul introdus de utilizatorii enterprise în chatbot care este de natură confidențială
100+
Incidente săptămânale
Numărul mediu de scurgeri de date într-o corporație mare în fiecare săptămână
Introducerea programelor de AI Awareness
Înțelegerea riscurilor
Organizațiile au nevoie să investească în training pentru angajați, explicându-le clar cum funcționează modelele generative și care sunt riscurile asociate utilizării lor.
Regula de aur
O regulă fundamentală ce trebuie împărtășită este: „Nu introduce în AI public nimic din ce nu ai publica pe internet". Angajații trebuie să înțeleagă că orice text sau cod trimis unui model poate ajunge în spațiul public.
Conștientizare continuă
Programele de AI Awareness trebuie să fie continue și actualizate, pentru a ține pasul cu evoluția rapidă a tehnologiilor AI generative și a riscurilor asociate.
Politici și proceduri clare
Companiile ar trebui să actualizeze politicile de securitate a informației pentru a include explicit folosirea uneltelor de tip ChatGPT. Pot fi definite categorii de date interzise la introducerea în AI (de la date cu caracter personal, la proprietate intelectuală sau date financiare sensibile).
Abordarea restrictivă temporară
Multe organizații au optat temporar pentru blocarea completă a accesului la servicii AI generative până la dezvoltarea unui cadru de utilizare sigură. Această abordare draconică (urmată de Samsung, Apple, JPMorgan ș.a.) previne incidentele pe termen scurt, însă pe termen lung angajații vor găsi modalități de a folosi AI, deci educația și ghidarea rămân esențiale.
Instrumente AI securizate
Versiuni enterprise
Soluții precum ChatGPT Enterprise, care promit să nu folosească datele clientului pentru antrenament
Modele on-premises
AI instalat local, în infrastructura companiei, fără conexiune la servere externe
Cloud privat
Soluții AI găzduite în cloud-ul privat al organizației, cu control total asupra datelor
Soluții personalizate
Dezvoltarea de chatboți interni, precum Amazon Cedric, adaptați nevoilor specifice
Măsuri tehnice de protecție
Criptarea datelor
Implementarea criptării end-to-end pentru toate datele procesate de sistemele AI, asigurând că informațiile rămân protejate chiar și în cazul unei breșe.
Logare și monitorizare
Înregistrarea și analizarea tuturor interacțiunilor cu sistemele AI pentru a detecta rapid potențiale scurgeri de date sau utilizări necorespunzătoare.
Filtrare de conținut
Implementarea de sisteme automate care să detecteze și să blocheze încercările de a introduce date sensibile în platformele AI.
Cultura confidențialității
Conștientizare
Înțelegerea valorii datelor confidențiale și a riscurilor asociate expunerii lor
Responsabilitate
Asumarea responsabilității individuale pentru protejarea informațiilor sensibile
Vigilență
Atenție constantă la potențialele riscuri în utilizarea tehnologiilor noi
Comunicare
Dialog deschis despre incidente și lecții învățate pentru îmbunătățirea continuă
Întrebarea esențială înainte de utilizarea AI
Auto-evaluare
Indiferent de politici și tehnologii, cel mai important este ca fiecare angajat să conștientizeze propria responsabilitate în protejarea datelor confidențiale.
Întrebarea cheie
Firmele pot încuraja o cultură în care înainte de a da Enter la un prompt către un AI, angajatul să se întrebe: „Este aceasta o informație pe care am voie să o distribui în afara companiei?"
Regula precauției
Dacă există dubii cu privire la confidențialitatea informațiilor, mai bine să se abțină sau să consulte un superior înainte de a utiliza AI-ul generativ.
Proverbul erei digitale
Confidențialitatea datelor tale e la fel de puternică ca nivelul de pregătire al celui mai neinstruit utilizator de AI din echipa ta.
Acest proverb actualizat în era digitală subliniază importanța pregătirii tuturor membrilor echipei în ceea ce privește utilizarea responsabilă a tehnologiilor AI. Un singur angajat neinformat poate compromite securitatea datelor întregii organizații.
Cazurile prezentate arată că factorul uman este decisiv în prevenirea scurgerilor de informații confidențiale. Chiar și cele mai avansate sisteme de securitate pot fi compromise de o simplă eroare umană sau de lipsa de conștientizare a riscurilor.
Echilibrul între inovație și precauție
Beneficiile AI generativ
AI generativ oferă oportunități extraordinare de creștere a productivității și eficienței în mediul de business. Poate automatiza sarcini repetitive, genera conținut creativ și oferi insights valoroase din date complexe.
Organizațiile care adoptă aceste tehnologii pot obține un avantaj competitiv semnificativ, accelerând inovația și îmbunătățind experiența clienților.
Abordarea echilibrată
Fiecare incident de scurgere – de la Samsung la mici firme – subliniază necesitatea unui echilibru între inovație și precauție. Companiile trebuie să găsească modalități de a valorifica potențialul AI fără a-și compromite secretele.
Prin instruire, politici inteligente și un ecosistem tehnologic sigur, organizațiile pot beneficia de avantajele AI generativ minimizând riscurile asociate.
Lecții pentru viitor
Învățare din greșeli
2023-2024 a fost perioada în care companiile au învățat pe calea grea despre riscurile AI, punând bazele pentru o utilizare mai matură și responsabilă.
Adaptare continuă
Pe măsură ce tehnologiile AI evoluează, organizațiile trebuie să-și actualizeze constant politicile și măsurile de protecție.
Echilibru strategic
Găsirea echilibrului optim între adoptarea inovațiilor AI și protejarea informațiilor confidențiale va fi o prioritate strategică.
Concluzie: Vigilența în era AI
AI generativ oferă oportunități extraordinare de creștere a productivității, însă vine la pachet cu riscuri noi, pe care organizațiile nu își mai permit să le ignore. Fiecare incident de scurgere – de la Samsung la mici firme – subliniază necesitatea unui echilibru între inovație și precauție.
Prin instruire, politici inteligente și un ecosistem tehnologic sigur, companiile își pot valorifica potențialul AI fără a-și compromite secretele. Celebritatea acestor cazuri servește drept avertisment: în era ChatGPT, vigilența și responsabilitatea trebuie să crească proporțional cu puterea noilor instrumente.
Protecția datelor confidențiale nu a fost nicicând mai provocatoare, dar nici mai crucială pentru reputația și succesul pe termen lung al organizațiilor.