Connect with us

Myslitelé

Když zneužití umělé inteligence spustí firemní krizi

mm
Published
Updated

Většina firem postrádá politiky, které by zabránily reputačním katastrofám způsobeným nástroji umělé inteligence

Nedávné průzkumy odhalily, že pouze asi 30 procent firem zavedlo politiky pro umělou inteligenci. Zatímco 77 procent zaměstnanců sdílí firemní tajemství na ChatGPT, podle zprávy Enterprise AI and SaaS Data Security Report od LayerX z roku 2025. Tato kombinace vytváří ideální podmínky pro reputační krize.

Většina existujících politik pro umělou inteligenci se zaměřuje na technická a compliance rizika. Tyto politiky řeší protokoly pro zabezpečení dat, hodnocení dodavatelů a požadavky regulátorů. Často však tyto politiky postrádají veřejnou relations katastrofu, která může nastat během několika hodin kvůli zneužití umělé inteligence. V Red Banyan radíme stále více organizací, jak řešit krize související s umělou inteligencí, a začínáme vidět určitý vzorec. Technické porušení je obvykle rychle izolováno, ale poškození reputace, vztahů se zákazníky a důvěry stakeholderů může přetrvávat měsíce nebo dokonce roky.

Problém stínové umělé inteligence

Největší hrozbu představuje to, co bezpečnostní odborníci nazývají “Stínová AI.” Jedná se o situaci, kdy zaměstnanci používají neschválené, osobní účty AI pro pracovní úkoly, čímž obcházejí firemní bezpečnostní kontroly. Většinou tak činí bez plného uvědomění si rizik.

Podle výzkumu Cyberhaven je 11 procent dat, která zaměstnanci vkládají do ChatGPT, důvěrná. Tato čísla by měla upozornit každého CIO a komunikačního lídra. Mluvíme o zdrojovém kódu, smlouvách se zákazníky, nezveřejněných plánech produktů, finančních projekcích a záznamů zaměstnanců, které proudí do systémů, které organizace nekontroluje.

Jak k expozici dat dochází

Softwaroví inženýři se mohou obrátit na nástroje AI, jako je Claude nebo ChatGPT, aby ladili nebo optimalizovali kód. V roce 2023 softwaroví inženýři Samsungu přesně tohle udělali – nahráli interní zdrojový kód do ChatGPT, zatímco se snažili vyřešit problémy. Únik důvěrného kódu donutil Samsung implementovat komplexní omezení používání AI ve všech inženýrských odděleních.

Marketingoví profesionálové a personální pracovníci často používají AI, aby vylepšili své psaní. Nahrávají návrhové návrhy, interní dokumenty politik a někdy i smlouvy se zákazníky, aby AI zlepšila jasnost nebo opravila gramatické chyby. Tyto dokumenty často obsahují finanční projekce, právní podmínky nebo strategické plány, které by konkurenti považovali za cenné.

Týmy zákaznického servisu, které experimentují s nástroji AI pro efektivitu, někdy vkládají skutečné konverzace se zákazníky a tikety podpory. Chtějí, aby AI souhrn interakcí nebo navrhla lepší odpovědi. Když tyto vstupy obsahují jména zákazníků, kontaktní informace, údaje o účtu nebo historii nákupů, společnost potenciálně porušila předpisy o ochraně soukromí, jako je GDPR nebo CCPA.

Týmy pro vývoj produktů, které brainstormují nové funkce, mohou popsat nezveřejněné schopnosti ChatGPT, doufajíce, že jim AI pomůže vylepšit své nápady nebo identifikovat potenciální problémy. Tyto popisy mohou odhalit konkurenční výhody, technologické inovace nebo marketingové strategie, které společnost původně plánovala udržet v tajnosti až do spuštění.

Všechny tyto informace by mohly být potenciálně uchovány velkými jazykovými modely a informovat budoucí odpovědi AI na dotazy jiných uživatelů.

Například po tom, co tým pro vývoj produktů popíše svůj připravovaný produkt ChatGPT, konkurent nebo novinář může zeptat nástroje AI na připravované produkty této společnosti. ChatGPT by mohl odkázat na důvěrné informace, které byly sdíleny, a prozradit informace o novém produktu nebo technologii, do které společnost investovala značné prostředky.

Jak se to stává krizí PR

Když tyto incidenty vyšly najevo, zřídka zůstávají omezeny na IT problémy. Zde je to, co obvykle nastane:

Porucha je objevena, často náhodou nebo prostřednictvím třetí strany. IT začíná vyšetřovat a snažit se posoudit rozsah. Mezitím, pokud incident zahrnuje data zákazníků nebo regulovaná informace, právní povinnosti vyžadují zveřejnění. Jakmile je zveřejněno, začíná mediální pokrytí. Sociální média zesilují příběh. Zákazníci začínají volat se znepokojení. Zaměstnanci se obávají o bezpečnost práce a svou vlastní odpovědnost.

V rámci 24 až 48 hodin se to, co začalo jako technický incident, stalo plnohodnotnou krizí reputace. Společnost musí vysvětlit různým skupinám, jak se to stalo, proč selhaly kontroly a co se dělá pro prevenci opakování. Pokud společnost nebyla na tento scénář připravena, odpověď je často pomalá, nekonzistentní nebo defenzivní. Každý krok prodlužuje krizi a prohlubuje poškození.

Vytvoření rámce pro reakci na krizi pro incidenty AI

CIO musí spolupracovat s komunikačními a právními týmy, aby vytvořili protokoly pro reakci na krizi specificky pro incidenty AI. Technické kontroly a politiky jsou důležité, ale nejsou dostatečné bez plánu pro řízení mediálního pokrytí, když něco goes wrong.

Zde jsou šest konkrétních kroků, aby se tento proces zahájil:

  1. Stanovit jasnou eskalační cestu. Když je objeven incident expozice dat související s AI, kdo je okamžitě informován? IT, právní, komunikační a nejvyšší vedení by měly být všechny rychle informovány. Vytvořte rozhodovací strom, který určí, kdy aktivovat protokoly pro krizi na základě typu a citlivosti expozice dat.
  2. Vyvinout šablony pro odpovědi. Předem připravit prohlášení a dokumenty Q&A pro běžné scénáře problémů s AI. Tyto by měly řešit zneužití zaměstnanců, problémy s bezpečností dodavatelů a náhodnou expozici dat. Mít připravené šablony umožňuje rychlejší a konzistentnější odpovědi, když je čas kritický.
  3. Školení mluvčích. Výkonní a komunikační personál potřebují mediální školení speciálně zaměřené na to, jak diskutovat o incidentech AI. Technologie je komplexní a plná odborných výrazů, což může být obtížné pro navigaci, když odpovídají na otázky stakeholderů.
  4. Monitorovat pro časná varovná znamení. Monitorování sociálních médií by mělo zahrnovat klíčová slova související s vaší organizací a nástroji AI. Někdy první náznak problému pochází od zaměstnance, který zveřejní na LinkedIn nebo zákazníka, který si stěžuje na Twitteru na odpověď generovanou AI.
  5. Provádět simulace krizí. Stolní cvičení, která procházejí scénář expozice dat AI, pomáhají týmům pochopit jejich role a identifikovat mezery v plánu reakce. Tato cvičení by měla zahrnovat IT, právní, komunikační, personální a výkonné vedení.
  6. Vybudovat vztahy, než je budete potřebovat. Navázat spojení s firmami na krizovou komunikaci, bezpečnostními experty, kteří mohou poskytnout třetí stranu ověření, a právními poradci s zkušenostmi s problémy souvisejícími s AI. Když krize udeří, chcete důvěryhodné poradce, kteří mohou okamžitě zasáhnout.

Cesta vpřed

Mezera mezi adopcí AI a řízením AI pokračuje v růstu. Zaměstnanci mají snadný přístup k silným nástrojům, které mohou vytvořit významná rizika pro reputaci. CIO se tradičně soustředili na technologickou stránku řízení rizik AI. Nicméně, reputační rozměr incidentů AI vyžaduje stejnou pozornost a přípravu.

Otázka není, zda vaše organizace bude čelit krizi související s AI. Vzhledem k současným rychlostem adopce a prevalenci Stínové AI je otázkou, kdy. Společnosti, které se připraví nyní, s politikami, které řeší technická i reputační rizika, budou tyto incidenty zvládat mnohem lépe než ty, které jsou zaskočeny.

Related Topics:
mm

Vlad Drazdovich je viceprezident pro zlepšování výkonu a analýzy ve společnosti Red Banyan, strategické komunikační a krizové manažerské agentury. Jako součást své role, Vlad poradí o firemní AI strategii a dohlíží na implementaci AI-založených technologií ve firmě.