Według Gartnera około 55% organizacji wdrożyło lub testuje generatywną sztuczną inteligencję (Generative AI). Oprócz oczywistych korzyści, nieprzemyślane działania w tym zakresie niosą spore ryzyko. Spróbujemy je nazwać, a następnie wskażemy najbezpieczniejsze sposoby implementacji GenAI.
Jakość danych
Zasada „śmieci na wejściu, śmieci na wyjściu” przez cały czas jest aktualna, a teraz sztuczna inteligencja nadaje jej nowy wymiar. W każdej organizacji istnieją terabajty nieaktualnych i nieistotnych danych, które potencjalnie mogą skłonić narzędzia AI do sugerowania nieistotnych lub wprowadzających w błąd treści. Dawno zapomniane notatki z burzy mózgów lub porzucone decyzje mogą wypaczyć rozumienie organizacji przez GenAI, a brakujące informacje mogą martwe punkty, utrudniając dostarczanie kompleksowych rozwiązań. Dlatego organizacje muszą zachować szczególną ostrożność, udostępniając SI takie informacje, aby mieć pewność, iż analizuje tylko te dane, które mają znaczenie.
Uprawnienia
Kolejnym kluczowym problemem są uprawnienia. GenAI ma zdolność do potęgowania istniejących problemów. Uprawnienia są kluczowym obszarem. Według raportu Microsoft State of Cloud Permissions Risks Report (PDF) z 2023 roku ponad połowa tożsamości to „superadministratorzy”, a ponad połowa uprawnień jest uznawana za „wysokiego ryzyka”.
Jeszcze bardziej wymowny jest fakt, iż tylko 1% przyznanych uprawnień jest faktycznie wykorzystywanych. Biorąc pod uwagę, iż te same uprawnienia, które już istnieją, np. w usługach Microsoft, zostaną po prostu przeniesione do Copilota, otwiera to możliwość wystąpienia poważnych incydentów bezpieczeństwa. Przykład: mając zbyt szeroki dostęp, pracownik może być w stanie uzyskać informacje o wynagrodzeniach kadry kierowniczej wyższego szczebla. Nieprzypadkowo jednym z najczęściej zadawanych pytań w Copilocie jest to z tytułu naszego posta, czyli „Ile wynosi wynagrodzenie prezesa?”.
Co więcej, gdyby atakujący przejął te konta lub jeżeli pojawiłby się złośliwy użytkownik wewnętrzny, odkrycie danych byłoby znacznie ułatwione dzięki wykorzystaniu potencjału sztucznej inteligencji. Gartner odkrył, iż „wśród organizacji, które doświadczyły incydentu związanego z bezpieczeństwem lub prywatnością sztucznej inteligencji, 60% zgłosiło naruszenie bezpieczeństwa danych przez podmiot wewnętrzny”.
Klasyfikacja informacji
Etykietowanie danych to kolejny problem. Kontynuując przykład Microsoftu – Copilot wykorzystuje istniejące praktyki etykietowania danych z innych produktów korporacyjnych, co ponownie wprowadza potencjalne błędy dziedziczone. Obejmuje to niespójne etykietowanie i kategoryzację poufnych materiałów, które mogły zostać obniżone, aby ułatwić korzystanie z nich w organizacji. Potęga sztucznej inteligencji ułatwia wyszukiwanie i niewłaściwe wykorzystywanie tych danych.
Jak bezpiecznie wdrożyć AI w organizacji?
Na zakończenie wskażmy sześć podstawowych elementów decydujących o gotowości organizacji do wdrożenia GenAI:
- Ogranicz zakres wdrożenia. Zacznij od małych rzeczy – wybierz zaledwie trzy do sześciu przypadków użycia, które chcesz wdrożyć, i zaangażuj niewielką grupę użytkowników.
- Ugruntuj politykę dotyczącą sztucznej inteligencji – współpracuj z wewnętrznymi interesariuszami, aby opracować politykę wykorzystania sztucznej inteligencji, która będzie uwzględniać przypadki użycia. Pamiętaj, iż jest wiele narzędzi GenAI, z których korzystają Twoi pracownicy.
- Zapewnij bezpieczeństwo i spójność danych – określ, gdzie znajdują się główne zbiory danych i trenuj GenAI tylko na tych, które zawierają jakościowe informacje.
- Przejrzyj istniejące mechanizmy kontroli – zwróć uwagę na klasyfikacje danych, zasady udostępniania i zarządzanie dostępem.
- Zapewnij ciągłe szkolenie użytkowników – pozwól im wykorzystać pełen potencjał, jednocześnie będąc na bieżąco z informacjami na temat bezpiecznego korzystania z funkcji. Zadbaj o to, aby szkolenie było dostosowane do konkretnych scenariuszy i przypadków użycia.
- Raportuj i porównuj – buduj zaufanie i śledź wydajność GenAI w odniesieniu do zdefiniowanych przypadków użycia.
