Az elmúlt hónapok során felerősödtek a mesterséges intellienciát (AI) alkalmazó eszközökről szóló viták. Mivel segítségükkel növelhető a produktivitás és használatuk időt takaríthat meg, sok munkavállaló beépítette ezen eszközök alkalmazását a mindennapi munkafolyamatokba. Kiberbiztonsági kutatóink szerint azonban mielőtt megpróbáljuk kihasználni az innovatív AI eszközök előnyeit, meg kell tanulnunk biztonságosan, adataink veszélyeztetése nélkül igénybe venni azokat.
A mesterséges intelligenciát alkalmazó eszközök elősegíthetik az ötletek kidolgozását, szövegek és tartalmak összefoglalását, átfogalmazását, vagy akár egy üzleti stratégia alapjainak megalkotását, de használatukkal például hibákat is könnyebben találhatunk meg egy programkódban. Az AI használata során viszont nem szabad megfeledkeznünk arról, hogy az eszközökbe bevitt adatok felett többé nem lesz hatalmunk, miután megnyomjuk a küldés gombot.
Kutatóink arra hívják fel a figyelmet, hogy a nagy nyelvi modellek (LLM), például a ChatGPT használatakor aggodalomra ad okot, hogy érzékeny adatokat osztunk meg nemzetközi nagyvállalatokkal. Ezek a rendszerek online szövegek felhasználásával hatékonyan képesek értelmezni és megválaszolni a felhasználók kérdéseit. Azonban minden alkalommal, amikor kapcsolatba lépünk egy chatbottal és információt kérünk, fennáll a veszély, hogy érzékeny adatokat osztunk meg magunkról vagy a vállalatunkról. Éppen ezért lehet, hogy míg az egyik cég kifejezetten támogatja, mások megtiltják a Chat GPT használatát a munkahelyi eszközökön - erről is beszélgettek szakértőink a Hackfelmetszők – Veled is megtörténhet c. podcastjukban.
2023 elején a Samsung egyik mérnöke felfedezte, hogy kiszivárgott egy érzékeny belső forráskód, amelyet a ChatGPT-re töltött fel. Ez oda vezetett, hogy a Samsung betiltotta a "generatív AI" eszközök használatát a vállalatnál. Az Amazon is hasonló problémával szembesült. A vállalat jelentések szerint olyan ChatGPT-válaszokra bukkant, amelyek az Amazon belső adatait tartalmazták. Ebben az esetben azonban az Amazon nem tiltotta be az AI-eszközöket, hanem figyelmeztette alkalmazottait, hogy felelősségteljesen használják azokat.
Fontos tudni, hogy amikor egy chatbotnak kérdést teszünk fel, a beírt adatok nyilvánossá válnak. Ez viszont nem jelenti azt, hogy a rendszerek azonnal felhasználnák a tőlünk megszerzett információt másnak adott válaszokhoz. Az LLM szolgáltató vagy partnerei azonban hozzáférhetnek ezekhez az adatokhoz, és beépíthetik azokat a technológia következő verzióiba. Az OpenAI, a ChatGPT mögött álló vállalat bevezette a csevegési előzmények kikapcsolásának lehetőségét, ami megakadályozza, hogy a felhasználói adatokat az OpenAI mesterséges intelligencia modelljeinek tanítására és fejlesztésére használják fel. Így a felhasználók nagyobb kontrollal rendelkeznek az adataik felett. Az első lépés mindig legyen a csevegési előzmények kikapcsolása, amikor alkalmazottként olyan eszközöket használunk, mint a ChatGPT.
De még abban az esetben is, ha a csevegési előzményeket kikapcsoljuk, a chatbot külső szerverei minden prompt adatot tárolnak, ezáltal fennáll a veszélye annak, hogy hackerek jogosulatlanul érik el az információkat. Technikai hibák esetén pedig lehetséges, hogy illetéktelenek hozzáférhetnek a chatbot felhasználók adataihoz – ahogy ez például 2023 márciusában is történt.
Hogyan használhatjuk munkavállalóként biztonságosan az olyan platformokat, mint a ChatGPT?
Szakértőink összegyűjtötték a leggyakrabban előforduló problémákat, és elmondják, hogyan kerülhetőek el a kockázatok.
1. Az ügyféladatok felhasználása és megosztása
Az első gyakori hiba, amit a munkavállalók elkövetnek az LLM-ek használata során, hogy akaratlanul érzékeny információkat osztanak meg a vállalati ügyfelekről. Hogyan történik mindez? Képzeljük el például, hogy egy orvos beírja a betege nevét, orvosi feljegyzéseit a chatbot rendszerébe, és megkéri az eszközt, hogy állítson össze egy levelet a páciens biztosítótársaságának. Vagy a marketingesek feltöltik a CRM-rendszerükből az ügyféladatokat, hogy az eszköz célzott hírleveleket állítson össze.
A munkavállalóknak érdemes minden alkalommal a lehető legnagyobb mértékben anonimizálni a lekérdezéseket, mielőtt beírják azokat a chatbotokba. Az ügyféladatok védelme érdekében ellenőrizni és törölni kell minden érzékeny információt, például nevet, címet, számlaszámot a bevitt szövegekből. A lehető legjobb, ha eleve elkerüljük a személyes adatok használatát, és inkább általános kérdéseket teszünk fel.
2. Bizalmas dokumentumok feltöltése chatbotokba
A chatbotok hasznos megoldást jelenthetnek nagy mennyiségű adat gyors összegzésére, vázlatok, prezentációk vagy jelentések létrehozására. Ugyanakkor a dokumentumok feltöltése az olyan rendszerekbe, mint a ChatGPT, veszélyeztetheti a bennük tárolt vállalati vagy ügyféladatokat. Bár csábító lehet egyszerűen átmásolni dokumentumokat, és megkérni az eszközt, hogy készítsen összefoglalókat vagy ajánlásokat a prezentációs diákhoz, adatbiztonság szempontjából ez egy kockázatos módszer.
Mindez vonatkozik a fontos anyagokra, például a fejlesztési stratégiákra, de a kevésbé lényeges dokumentumok - például egy megbeszélés feljegyzései - is elvezethetnek ahhoz, hogy az alkalmazottak felfedik a vállalatuk féltve őrzött tudásanyagát.
A kockázat mérséklése érdekében a vállalatoknak érdemes szigorú szabályokat hoznia a bizalmas dokumentumok kezelésére, és korlátozni a hozzáférést az ilyen iratokhoz. Az alkalmazottaknak előbb manuálisan át kell nézniük a dokumentumokat, mielőtt összefoglalót vagy segítséget kérnek a chatbotoktól. Ezzel biztosíthatjuk, hogy az érzékeny információkat, például neveket, kapcsolattartási adatokat, árbevételi adatokat töröljük vagy megfelelő módon anonimmá tegyük a felhasznált iratokban.
3. A vállalat adatainak felfedése a kérések során
Képzeljük el, hogy a hatékonyság érdekében egy vállalat megpróbálja fejleszteni a cég egyes gyakorlatait és munkafolyamatait. Ezért segítséget kér a ChatGPT-től az időmenedzsment vagy a feladatok strukturálása terén, amely során értékes know-how-t és egyéb adatokat ír be a promptba, hogy segítse a chatbotot a megoldás kidolgozásában.
Ahogy az érzékeny dokumentumok vagy ügyféladatok chatbotokba történő bevitele, úgy az érzékeny vállalati adatoknak a promptba történő beírása is gyakori, de potenciálisan kártékony gyakorlat, amely jogosulatlan hozzáféréshez vagy bizalmas információk kiszivárgásához vezethet.
E probléma megoldása érdekében alapvető gyakorlatnak kell lennie a prompt anonimizálásnak. Ez azt jelenti, hogy soha nem adhatók meg nevek, címek, pénzügyi adatok vagy más személyes adatok a chatbot kérésekben. Ha pedig egy vállalat szeretné elősegíteni, hogy az alkalmazottak biztonságosan használják az olyan eszközöket, mint a ChatGPT, érdemes sablonként szabványosított kéréseket megfogalmazni, amely szükség esetén minden munkavállalónak rendelkezésére áll, például: “Képzelje el, hogy xy pozíciót tölti be az xy vállalatnál. Készítsen egy jobb heti munkafolyamatot [egy bizonyos pozíció] számára, amely főként a [feladatra] összpontosít”.
A mesterséges intelligenciát alkalmazó eszközök nem csupán a jövő munkavégzésének eszközei, már most is a mindennapok részei. Mivel a mesterséges intelligencia és különösen a gépi tanulás területén a fejlődés folyamatos, a vállalatoknak óhatatlanul követniük kell a trendeket, és alkalmazkodniuk kell hozzájuk. Ezért szakértőink szerint az adatbiztonsági szakértőtől az informatikai generalista pozícióig érdemes meggyőződni arról, hogy minden kolléga tudja, hogyan kell biztonságosan használni ezeket a technológiákat anélkül, hogy az adatok kiszivárgását kockáztatnák.