Jak podaje najnowszy raport Cyberhaven Labs, ilość danych wprowadzonych przez pracowników do narzędzi generatywnej sztucznej inteligencji dynamicznie rośnie – w okresie od marca 2023 r. do marca 2024 r. wzrost ten wynosił aż 485%. Kwestia jest o tyle alarmująca, że często pracownicy robią to z kont prywatnych, co oznacza, iż dane te „karmią” AI bez wiedzy i woli pracodawców. Bezpieczeństwo i przyszłe sposoby wykorzystania takich danych stoją zaś pod znakiem zapytania.
Jakie dane są wprowadzane?
Cyberhaven Labs przeanalizował wzorce korzystania z narzędzi AI przez 3 miliony pracowników. Najczęstszym ich użytkownikami są przedstawiciele branży technologicznej, choć w raporcie wskazane są także branże mediów i rozrywki, finansów oraz przedsiębiorstwa farmaceutyczne. Wyszczególnione zostały także rodzaje danych wprowadzanych do narzędzi AI przez pracowników. 27,4% danych stanowią dane wrażliwe, z czego 16,3% to informacje związane z obsługą klienta zawierające poufne treści od klientów. Wśród innych typów danych znajdują się kod źródłowy (12,7 %), materiały badawczo-rozwojowe (10,8 %), dokumentacja pracownicza (3,9%) oraz dane finansowe (2,3 proc.).
Co ważne, aż 82,8% dokumentów prawnych wprowadzanych przez pracowników do narzędzi AI następuje z kont prywatnych. Co więcej, badanie pokazuje, iż więcej danych korporacyjnych jest obecnie umieszczanych w AI w czasie weekendu niż jeszcze rok temu w trakcie tygodnia pracy. To wiązać się może także z tym, iż pracownicy mogą przechowywać firmowe dane wrażliwe na prywatnych (niezabezpieczonych) urządzeniach, czy nawet wynosić takie dane na weekendy poza zakład pracy.
Co to oznacza?
Każde przekazanie danych poza organizację, w szczególności danych wrażliwych, danych osobowych czy stanowiących „know-how” lub tajemnicę przedsiębiorstwa powinno być dokonywane z należytą dozą ostrożności i przy zachowaniu wewnętrznych procedur. W szczególności rozważyć należy bezpieczeństwo tych danych oraz cel ich wykorzystania. I tutaj właśnie leży jeden z problemów związanych z AI. Dane, którymi pracownicy „karmią” narzędzia generatywnej sztucznej inteligencji stają się częścią ich bazy danych, a zatem sposoby i cele ich przeszłego wykorzystania, jak również ich bezpieczeństwo budzą poważne wątpliwości, szczególnie w przypadku, gdy nie mówimy otwartych, bezpłatnych kontach prywatnych pracowników.
Problemy powstają zatem m.in. na gruncie RODO, które wymaga, aby administrator poinformował podmioty danych o celach przetwarzania i odbiorcach, którym te dane przekaże, ale także nakładają na niego obowiązek zapewniania ich bezpieczeństwa. W świetle przeprowadzonego przez Cyberhaven Labs badania, w wielu przypadkach wymogi te nie będą spełnione. Każdorazowo także istnieje możliwość naruszenia obowiązków poufności nałożonych na pracodawcę czy to ustawowo czy umownie. Nie sposób pominąć także kwestii praw autorskich czy praw własności intelektualnych. Choć wytwór sztucznej inteligencji w większości krajów nie podlega ochronie gwarantowanej przez prawa autorskie, niemiej sztuczna inteligencja nie uczy się sama. W procesie tworzenia nowego dzieła przez AI istnieje ryzyko naruszania praw do utworów już istniejących. Wykorzystując nieświadomie takie utwory pracodawca również naraża się na odpowiedzialność.
Co zatem powinien zrobić pracodawca?
Przeprowadzone przez Cyberhaven Labs pokazuje, że popularyzacja narzędzi AI nie może być przez pracodawców ignorowana, szczególnie iż technologia wyprzedza działania legislacyjne. Na chwilę obecną odpowiedzią pracodawcy może być wprowadzenie wewnętrznych regulacji korzystania z narzędzi AI w ramach jego organizacji, jak również dbałość o świadomość pracowników w tym zakresie. Dobrym rozwiązaniem będzie przeszkolenie pracowników z zagrożeń, jakie wiązać mogą się z korzystaniem z takich narzędzi, wymogów bezpieczeństwa oraz przyjętych zasadach w ramach danej organizacji. W końcu AI jest sztuczną inteligencją i bez wkładu człowieka sama tych danych nie pozyska.