Kako se približavamo kraju 2025. godine, postoje dvije neugodne istine o umjetnoj inteligenciji koje svaki CISO (Chief Information Security Officer) mora prihvatiti. Prva je da svaki zaposlenik, ako može, već koristi generativne AI alate za svoj posao – čak i kada tvrtka to ne odobrava ili brani internim pravilima. Druga je da će svaki od tih zaposlenika, ako već nije, unijeti interne i povjerljive podatke tvrtke u te alate.

Iako se može prigovoriti upotrebi riječi "svaki", podaci se kreću upravo u tom smjeru. Prema istraživanju Microsofta, već u 2024. godini tri četvrtine uredskih radnika na globalnoj razini koristilo je generativnu umjetnu inteligenciju na poslu, a čak 78% njih donijelo je vlastite AI alate na radno mjesto. Istovremeno, gotovo trećina svih korisnika AI-ja priznaje da je unosila osjetljive materijale u javne chatbotove.

Najveća prijetnja koju AI donosi povezana je s proširenjem takozvanog "sigurnosnog jaza u pristupu". U kontekstu umjetne inteligencije, to se odnosi na razliku između odobrenih poslovnih aplikacija kojima vjerujemo i rastućeg broja nepouzdanih i neupravljanih aplikacija koje imaju pristup podacima tvrtke bez znanja IT ili sigurnosnih timova. U suštini, zaposlenici koriste nemotrene uređaje s nepoznatim AI aplikacijama, a svaka od njih može predstavljati ogroman rizik za osjetljive korporativne podatke.

Uzmimo za primjer dvije fiktivne tvrtke: tvrtku A i tvrtku B. U obje tvrtke, prodajni predstavnici rade snimke zaslona iz Salesforcea i ubacuju ih u AI kako bi sastavili savršen email za potencijalnog klijenta. Direktori koriste AI za ubrzavanje dubinske analize tvrtki koje planiraju akvizirati. Produktni timovi učitavaju Excel tablice s podacima o korištenju proizvoda u nadi da će pronaći ključni uvid koji su svi drugi propustili.

Za tvrtku A, ovaj scenarij predstavlja sjajan izvještaj upravnom odboru o napretku internih AI inicijativa. Za tvrtku B, to je šokantan popis ozbiljnih kršenja pravila, od kojih neka nose ozbiljne pravne i regulatorne posljedice.

Razlika? Tvrtka A je već razvila i implementirala svoj plan za omogućavanje i upravljanje umjetnom inteligencijom. Tvrtka B još uvijek raspravlja o tome što bi trebala poduzeti.

Jednostavno rečeno, organizacije si više ne mogu priuštiti čekanje. Prema izvještaju "Cost of a Data Breach Report" koji je objavio IBM, čak 97% organizacija koje su pretrpjele povredu podataka povezanu s AI-jem nije imalo uspostavljene kontrole pristupa za AI.

Posao je, dakle, jasan: izraditi plan koji potiče produktivnu upotrebu AI-ja, a istovremeno obuzdava rizična ponašanja. Za početak, važno je postaviti ovih šest ključnih pitanja:

1. Koji poslovni slučajevi zaslužuju AI? Razmislite o specifičnim primjenama, poput "sastavi izvještaj o novootkrivenoj sigurnosnoj prijetnji" ili "sažmi zapisnik sa sastanka". Fokusirajte se na konkretne rezultate, a ne na korištenje AI-ja radi njega samog.
2. Koje provjerene alate ćemo ponuditi? Potražite provjerene AI alate s osnovnim sigurnosnim kontrolama, kao što su poslovne (Enterprise) verzije koje ne koriste podatke tvrtke za treniranje svojih modela.
3. Kakav je stav o osobnim AI računima? Formalizirajte pravila za korištenje osobnih AI računa na poslovnim prijenosnicima, osobnim uređajima i uređajima vanjskih suradnika.
4. Kako zaštititi podatke klijenata? Mapirajte koje vrste podataka se unose u AI modele i uskladite to s ugovornim obvezama o povjerljivosti i regionalnim propisima poput GDPR-a.
5. Kako ćemo uočiti "divlje" AI aplikacije? Pratite korištenje "shadow AI-ja" pomoću sigurnosnih agenata na uređajima, analizom mrežnog prometa i aktivnosti aplikacija te alata koji pružaju detaljan popis ekstenzija i dodataka u preglednicima i programskim okruženjima.
6. Kako ćemo educirati zaposlenike o pravilima? Jednom kada uspostavite pravila, proaktivno obučite zaposlenike. Sigurnosne ograde su besmislene ako ih nitko ne vidi prije nego što bude prekasno.

Odgovori će ovisiti o 'apetitu za rizikom', ali usklađenost između pravnog, proizvodnog, HR i sigurnosnog tima ne smije biti predmet pregovora. Smanjivanje 'sigurnosnog jaza u pristupu' zahtijeva da timovi omoguće korištenje pouzdanih AI aplikacija kako zaposlenici ne bi bili primorani okrenuti se nepouzdanim i nemotrenim alternativama.