Dina anställda matar olicensierade AI-modeller med företagets hemligheter

CybersäkerhetDina anställda matar olicensierade AI-modeller med företagets hemligheter

Dina anställda matar olicensierade AI-modeller med företagets hemligheter

Juridiska dokument, HR-data, källkod och annan känslig företagsinformation matas in i olicensierade, allmänt tillgängliga AI modeller i snabb takt, vilket skapar en växande huvudvärk för IT-chefer och ledning på företag. En ny studie visar att anställda i många organisationer använder otillåtna AI-modeller på sina egna privata konton på arbetsplatserna.

Risker med olicensierade AI-modeller

Anställda delar företagets juridiska dokument, källkod och anställdas information med olicensierade AI-verktyg som Chat GPT och Google Gemini, vilket kan orsaka stora problem för IT och företagsledning, enligt forskning från Cyberhaven Labs. Cirka 74 procent av Chat GPT-användningen på jobbet sker via privata konton, vilket potentiellt gör dessa data tillgängliga för AI-träning. Motsvarande siffra för Googles AIGemini och Bard är över 94 procent.

Ökande användning av AI-verktyg

Nästan 83 procent av alla juridiska dokument som delas med AI-verktyg går via privata konton, och ungefär hälften av all källkod, FoU-material samt HR- och medarbetarregister går till obehöriga AI-verktyg. Mängden data som läggs in i AI-verktyg ökade nästan femfaldigt mellan mars 2023 och mars 2024.

Var tar datan vägen?

Många användare är omedvetna om vad som händer med deras företagsdata när de delar dem med olicensierade AI. Chat GPTs användarvillkor anger att användarna äger innehållet de matar in, men AI kan använda innehållet för att förbättra sina tjänster, vilket innebär att den kan träna på dessa data. Användare kan dock välja bort denna AI-träning men långt ifrån alla vet hur man gör. Och vågar man lita på de stora företagen vad som faktiskt händer med datan?

Säkerhets- och integritetsrisker

Det finns få regler för vad AI-utvecklare kan göra med användarnas data, vilket oroar säkerhetsexperter. Den kommande vågen av AI-utvecklare kan vara mindre pålitliga och ha sämre cybersäkerhetsskydd än stora aktörer som OpenAI och Google. Brian Vecci, CTO på Varonis, påpekar att framtida AI-verktyg kan innebära högre risker för datahantering.

Riskfyllt beteende och kontrollbehov

Att dela företags- eller kunddata med olicensierade AI företag skapar risker, oavsett om AI-modellen tränar på dessa data eller delar dem med andra användare. Pranava Adduri, VD för Bedrock Security, rekommenderar att organisationer tecknar licensavtal med AI-leverantörer för att begränsa dataanvändningen och möjliggöra säker användning av datan.

Utbildning och säkerhet

Ett av de grundläggande utmaningarna är att anställda vet faktiskt inte riskerna. Bra utbildning av vad som är känslig data, hur den riskerar att användas och hur de ska förhålla sig till den är ett stort steg i rätt riktning. Den kan vara generell men behöver skräddarsys efter företagens förutsättningar. Skatteverket, Volvo och ett litet AB som säljer på nätet har helt olika förutsättningar för datahantering.

Så hur gör man för att bäst skydda sig?

Att AI certifiera både företagsledning och anställda för att de får bra kunskap i datahantering och verktyg är första steget. Att inventera datahanteringen och implementera åtkomster, samt att köra t.ex open source modeller på lokala servrar är ytterligare ett steg i rätt för att det ska finnas en sund miljö där man kan använda AI på ett säkert sätt.

Kommentera:

Kommentar

Type at least 1 character to search
Contact us:
Find us elsewhere: