Fölerősödtek a mesterséges intelligenciát (AI) alkalmazó eszközökről szóló viták. Mivel segítségükkel növelhető a produktivitás és használatuk időt takaríthat meg, sok munkavállaló beépítette ezen eszközök alkalmazását a mindennapi munkafolyamatokba. Az ESET kiberbiztonsági kutatói szerint azonban mielőtt megpróbáljuk kihasználni az innovatív AI eszközök előnyeit, meg kell tanulnunk biztonságosan, adataink veszélyeztetése nélkül igénybe venni őket. (A nyitó kép forrása: upwork.com.)
A mesterséges intelligenciát alkalmazó eszközök segíthetik az ötletek kidolgozását, szövegek és tartalmak összefoglalását, átfogalmazását, akár egy üzleti stratégia alapjainak megalkotását, de használatukkal hibákat is könnyebben találhatunk meg egy programkódban. Az AI használata közben viszont nem szabad megfeledkeznünk arról, hogy az eszközökbe bevitt adatok felett többé nem lesz hatalmunk, miután megnyomjuk a küldés gombot.
Az ESET kutatói arra hívják fel a figyelmet, hogy a nagy nyelvi modellek (LLM), például a ChatGPT használatakor aggodalomra ad okot, hogy érzékeny adatokat osztunk meg nemzetközi nagyvállalatokkal. Ezek a rendszerek online szövegek felhasználásával hatékonyan képesek értelmezni és megválaszolni a használók kérdéseit. Azonban minden alkalommal, amikor kapcsolatba lépünk egy chatbottal és információt kérünk, fennáll a veszély, hogy érzékeny adatokat osztunk meg magunkról vagy a cégünkről. Éppen ezért lehet, hogy míg az egyik vállalkozás támogatja, a másik (mások) megtiltja (megtiltják) a Chat GPT használatát a munkahelyi eszközökön – az ESET kutatói erről is beszélgettek Hackfelmetszők – Veled is megtörténhet című podcastjukban.
Fontos tudni, hogy amikor egy chatbotot kérdezünk, a beírt adatok nyilvánossá válnak. Ez viszont nem jelenti azt, hogy a rendszerek azonnal felhasználnák a tőlünk megszerzett információt másnak adott válaszokhoz. Az LLM szolgáltató vagy partnerei azonban hozzáférhetnek ezekhez az adatokhoz, és beépíthetik őket a technológia következő verzióiba. Az OpenAI, a ChatGPT mögött álló vállalat bevezette a csevegési előzmények kikapcsolásának lehetőségét, ami megakadályozza, hogy a használói adatokat az OpenAI mesterséges intelligencia modelljeinek tanítására és fejlesztésére használják fel. Így a használók nagyobb kontrollal rendelkeznek az adataik felett. Az első lépés mindig legyen a csevegési előzmények kikapcsolása, amikor alkalmazottként olyan eszközöket használunk, mint a ChatGPT.
De még abban az esetben is, ha a csevegési előzményeket kikapcsoljuk, a chatbot külső szerverei minden adatot tárolnak, ezáltal fennáll a veszélye annak, hogy hackerek jogosulatlanul érik el az információkat. Technikai hibák esetén pedig lehetséges, hogy illetéktelenek hozzáférhetnek a chatbot-használók adataihoz – ahogy ez például 2023 márciusában is történt.
Az ESET szakértői összegyűjtötték a leggyakrabban előforduló problémákat, és elmondják, hogyan kerülhetőek el a kockázatok:
1. Az ügyféladatok felhasználása és megosztása
Az első gyakori hiba, amit a munkavállalók elkövetnek az LLM-ek használata során, hogy akaratlanul érzékeny információkat osztanak meg a vállalati ügyfelekről. Hogyan történik mindez? Képzeljük el például, hogy egy orvos beírja a betege nevét, orvosi feljegyzéseit a chatbot rendszerébe, és megkéri az eszközt, hogy állítson össze egy levelet a páciens biztosítótársaságának. Vagy a marketingesek feltöltik a CRM-rendszerükből az ügyféladatokat, hogy az eszköz célzott hírleveleket állítson össze.
A munkavállalóknak érdemes minden alkalommal a lehető legnagyobb mértékben névteleníteni a lekérdezéseket, mielőtt beírják őket a chatbotokba. Az ügyféladatok védelmére ellenőrizni és törölni kell minden érzékeny információt, például nevet, címet, számlaszámot a bevitt szövegekből. A lehető legjobb, ha eleve elkerüljük a személyes adatok használatát, és inkább általános kérdéseket teszünk fel.
2. Bizalmas dokumentumok feltöltése chatbotokba
A chatbotok hasznos megoldások lehetnek nagy mennyiségű adat gyors összegzésére, vázlatok, prezentációk vagy jelentések létrehozására. Ugyanakkor a dokumentumok feltöltése az olyan rendszerekbe, mint a ChatGPT, veszélyeztetheti a bennük tárolt vállalati vagy ügyfél-adatokat. Bár csábító lehet egyszerűen átmásolni dokumentumokat, és megkérni az eszközt, hogy készítsen összefoglalókat vagy ajánlásokat a prezentációs diákhoz, adatbiztonság szempontjából ez egy kockázatos módszer.
Mindez vonatkozik a fontos anyagokra, például a fejlesztési stratégiákra, de a kevésbé lényeges dokumentumok – például egy megbeszélés feljegyzései – is elvezethetnek ahhoz, hogy az alkalmazottak felfedik a vállalatuk féltve őrzött tudásanyagát.
A kockázat mérséklése érdekében a vállalatoknak érdemes szigorú szabályokat hoznia a bizalmas dokumentumok kezelésére, és korlátozni a hozzáférést az ilyen iratokhoz. Az alkalmazottaknak előbb személyesen és alaposan át kell nézniük a dokumentumokat, mielőtt összefoglalót vagy segítséget kérnek a chatbotoktól. Ezzel biztosítható, hogy az érzékeny információkat, például neveket, kapcsolattartási adatokat, árbevételi adatokat töröljük vagy megfelelő módon névtelenné tegyük a felhasznált iratokban.
3. A vállalat adatainak felfedése a kérések közben
Képzeljük el, hogy a hatékonyság végett egy vállalat megpróbálja fejleszteni a cég egyes gyakorlatait és munkafolyamatait. Ezért segítséget kér a ChatGPT-től az időmenedzsment vagy a feladatok strukturálása közben, amikor is értékes know-how-t és egyéb adatokat ír be a promptba, hogy segítse a chatbotot a megoldás kidolgozásában.
Miként az érzékeny dokumentumok vagy ügyféladatok chatbotokba történő bevitele, akként az érzékeny vállalati adatoknak a promptba történő beírása is gyakori, de potenciálisan kártékony gyakorlat, amely jogosulatlan hozzáféréshez vagy bizalmas információk kiszivárgásához vezethet.
E probléma megoldására alapvető gyakorlatnak kell lennie a prompt anonimizálásnak. Ez azt jelenti, hogy soha nem adhatók meg nevek, címek, pénzügyi adatok vagy más személyes adatok a chatbot-kérésekben. Ha pedig egy vállalat szeretné segíteni, hogy az alkalmazottak biztonságosan használják az olyan eszközöket, mint a ChatGPT, érdemes sablonként szabványosított kéréseket megfogalmazni, amik szükség esetén minden munkavállalónak rendelkezésére állnak. Például: „Képzelje el, hogy xy pozíciót tölti be az xy vállalatnál. Készítsen egy jobb heti munkafolyamatot [egy bizonyos pozíció] számára, amely főként a [feladatra] összpontosít”.
A mesterséges intelligenciát alkalmazó eszközök nem csupán a jövő munkavégzésének eszközei, már most is a mindennapok részei. Mivel a mesterséges intelligencia és különösen a gépi tanulás területén a fejlődés folyamatos, a vállalatoknak óhatatlanul követniük kell a trendeket, és alkalmazkodniuk kell hozzájuk.
Ezért az ESET szakértői szerint az adatbiztonsági szakértőtől az informatikai generalista pozícióig érdemes meggyőződni arról, hogy minden kolléga tudja, hogyan kell biztonságosan használni ezeket a technológiákat anélkül, hogy az adatok kiszivárgását kockáztatnák.