Chatboty obnażyły ludzką naturę. Z łatwością łamiemy prawo

• Szef jednej z amerykańskich agencji odpowiedzialnych za bezpieczeństwo korzystał z publicznej wersji ChataGPT do celów służbowych. Udostępniał m.in. poufne dokumenty kontraktowe.
• Produkt OpenAI odpowiada za ponad 71 proc. wszystkich przypadków ujawnienia danych firmowych.
• Pracownicy, chcąc ułatwić sobie wykonywanie obowiązków, sięgają po narzędzia AI, ukrywając ten fakt i narażając organizację na poważne konsekwencje.

Poza dobrze znanymi chatbotami, jak ChatGPT i Gemini, wystarczy wspomnieć o np. rozwiązaniach przeznaczonych do transkrypcji, generowania obrazów i wideo czy automatycznego robienia notatek.

Nic w tym zaskakującego, że pracownicy po nie sięgają, a skala zjawiska rośnie. Jeśli łatwo dostępne jest tak duże ułatwienie, grzechem byłoby z niego nie skorzystać, prawda? Każdy bowiem szuka sposobów, aby ułatwić sobie życie. Problem jednak w tym, że – oczywiście „wszystko jest dla ludzi” – ale należy to robić odpowiedzialnie. W innym wypadku mogą się pojawić poważne zagrożenia, o których niewielu zdaje sobie sprawę. 

Poufne dokumenty lądowały w ChatGPT. Wpadka amerykańskiego urzędnika

Jak się okazuje, z produktu OpenAI korzystał Madhu Gottumukkala, p.o. dyrektora amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Opisujący sprawę Onet wskazuje, że „przesłał poufne dokumenty kontraktowe do publicznie dostępnej wersji ChatGPT”. 

W efekcie, udostępnione pliki trafiały do OpenAI i mogą zostać użyte do generowania odpowiedzi dla użytkowników tego popularnego chatbota. 

Skoro wysoki rangą amerykański urzędnik z dostępem do informacji niejawnych w sposób nieodpowiedzialny korzysta(ł?) z ChataGPT podczas pracy, to ile osób w służbach, urzędach, korporacjach oraz mniejszych firmach musi działać podobnie. 

AI w rękach pracowników. Czerwona lampka się pali

W trakcie Kongresu Ochrony Danych Osobowych i Nowych Technologii temat związany z rozwojem i wykorzystaniem sztucznej inteligencji w kontekście bezpieczeństwa danych był szeroko omawiany. 

Przedstawiciele Urzędu Ochrony Danych Osobowych podkreślili, że odnotowywane są przypadki naruszeń, które są efektem bezrefleksyjnego używania narzędzi AI. 

Są organizacje, które idąc z duchem czasu, wdrażają innowacyjne rozwiązania u siebie, czemu towarzyszy (a przynajmniej powinno) stworzenie oraz wprowadzenie przejrzystej, zrozumiałej dla każdego polityki wykorzystania AI na wewnętrzne potrzeby. Nie brakuje jednak przypadków, gdzie pracownicy sami, bez zgody i wiedzy pracodawcy, używają np. chatbotów do wypełniania obowiązków służbowych. 

Problem robi się naprawdę poważny, gdy udostępniają wrażliwe informacje, w tym dane osobowe. To właśnie modelowy przykład „nowoczesnego” naruszenia ochrony danych, których jest ich coraz więcej. Trend odnotował Prezes UODO i przestrzega przed zagrożeniem.

Chatboty karmione tajemnicami firm

Dziennik Parkiet przedstawił badania firmy Harmonic Security, z których wynika, że ChatGPT stworzony przez OpenAI odpowiada za ponad 71 proc. wszystkich przypadków ujawnienia danych firmowych.

 „Wśród przeanalizowanych blisko 22,5 miliona zapytań, aż 579 tysięcy – czyli około 2,6 proc. całości – zawierało informacje, które zaklasyfikowano jako poufne dla przedsiębiorstwa” – czytamy. 

Wycieki obejmują np. kod źródłowy, dokumentację prawną, informacje biznesowe, a nawet dane osobowe pracowników i klientów. 

W przypadku innych narzędzi ich udział w incydentach jest następujący:

• Copilot: 3416 przypadków narażenia danych; 
• Gemini: 5935;
• Claude: 2412;
• Perplexity: 1245.

Czy jesteś jednym z tych pracowników?

Narzędzia AI są cenne i niezwykle przydatne. Potrafią usprawnić wiele często żmudnych procesów, podnieść efektywność i oszczędzić czas – to są fakty. Jednak należy korzystać z nich z głową i odpowiedzialnie. 

Innowacje rodzą nowe zagrożenia i ryzyka dla ochrony naszych danych. W galopującym świecie technologii, łatwo wpaść w pułapkę i popełnić błąd, który może pociągnąć za sobą poważne konsekwencje. 

Zastanówcie się, czy opisane wyżej przypadki nie są tożsame z waszymi praktykami. Jeśli tak, to sygnał, aby coś zmienić i zadbać nie tylko o swoje o dane.