Дружелюбный инсайдер: как ИИ становится новым каналом утечек
Искусственный интеллект (ИИ) становится все более популярным каналом утечек данных. Согласно данным исследования Harmonic Security, 8,5% запросов сотрудников компаний к ИИ-сервисам содержат конфиденциальные сведения, а нейросеть при подготовке ответов учитывает не только текущий запрос, но и более ранние, сохраненные в базе данных, в том числе от других пользователей сервиса. Компании встают перед выбором: не использовать этот инструмент и терять конкурентные преимущества или допустить использование ИИ и рисковать конфиденциальными данными? Заместитель генерального директора по инновационной деятельности «СерчИнформ» Алексей Парфентьев напоминает об уже случившихся кейсах использования ИИ конфиденциальных данных и пробует разобраться в этой дилемме.
Персональные помощники
Количество обращений к ИИ-помощникам растет. Их используют для решения рутинных задач. Сотрудники с помощью ChatGPT и прочих генеративных ИИ-инструментов редактируют и создают изображения, пишут тексты, составляют планы, собирают прогнозы и пр. Преимущество ИИ-сервисов в том, что они быстро выдают готовое решение в нужном формате — диплом, пресс-релиз, оптимизированный программный код и т.п.
Чтобы получить максимально точный ответ, сотрудники «сгружают» в сервис корпоративную информацию: аналитику, документы, фрагменты кода, готовые программы, презентации и пр. По данным исследования Harmonic Security, сотрудники чаще всего загружают на обработку данные клиентов, информацию о сотрудниках, юридические и финансовые данные, данные для авторизации и конфиденциальный программный код. Так повышается качество ответа от ИИ, но страдает информационная безопасность компании.
ИИ делится секретами
Компания Samsung, одной из первых встроившая ChatGPT в свои бизнес-процессы, может считаться пионером и по утечкам корпоративных секретов через этот канал.
Одним из первых в 2023 году ноу-хау слил специалист отдела по исследованию полупроводников. Загружая данные в корпоративную базу, он столкнулся с проблемой, связанной с исходным кодом вводимой информации. Менеджер поручил чат-боту исправить капризный код. Так наработки Samsung пополнили базу данных американской Open AI и оказались доступными другим пользователям ChatGPT. Корейская компания проанализировала последствия, ввела ограничения на размер запроса к ChatGPT и попросила сотрудников следить за тем, что они загружают и что спрашивают у ИИ. Но утечки продолжились.
Следующая случилась в отделе разработок. Сотрудник решил проверить через ChatGPT качество кода созданной программы. В итоге код стал доступен не только конкурентам, но и попал в СМИ. Это нанесло удар по репутации и Samsung, и ChatGPT. Но и тогда компания от ИИ-помощника не отказалась. Ему поручили составить протокол корпоративного совещания. И вновь (никогда не было, и вот опять) информация стала частью базы знаний системы ИИ.