Connect with us

Tankeledere

Når Misbrug af AI Udløser en Virksomhedskrise

mm
Published
Updated

De fleste virksomheder mangler politikker til at forhindre reputationskader fra kunstig intelligensværktøjer

Seneste undersøgelser afslører, at kun omkring 30 procent af virksomhederne har etableret AI-politikker. Imens deler 77 procent af medarbejderne virksomhedshemmeligheder på ChatGPT, ifølge Enterprise AI og SaaS Data Security Report fra LayerX. Denne kombination skaber perfekte betingelser for reputationskriser.

De fleste AI-politikker, der findes, fokuserer på tekniske og compliance-risici. De omhandler datasikkerhedsprotokoller, leverandørbedømmelser og lovmæssige krav. Det, disse politikker ofte mangler, er en krise i forhold til offentligheden, der kan udvikle sig inden for få timer på grund af misbrug af AI. Hos Red Banyan rådgiver vi en stigende antal organisationer gennem AI-relaterede kriser, og vi begynder at se et mønster. Den tekniske krænkelse er som regel hurtigt under kontrol, men skaden på virksomhedens rygte, kunderelationer og interesseholders tillid kan bestå i måneder eller endda år.

Det Skjulte AI-problem

Den største trussel kommer fra, hvad sikkerhedsprofessionelle kalder “Shadow AI.” Dette er, hvor medarbejderne bruger ikke-godkendte, personlige AI-konti til arbejdsopgaver, og omgår virksomhedens sikkerheds kontroller. Det meste af tiden gør de det uden fuldt at være klar over risikoen.

Ifølge Cyberhavens forskning, er 11 procent af de data, medarbejderne indsætter i ChatGPT, fortrolige. Denne cifre burde alarmere hver CIO og kommunikationsleder. Vi taler om kildekode, kundeaftaler, ikke-offentliggjorte produktveje, finansielle prognoser og medarbejderoptegnelser, der flyder ind i systemer, som virksomhederne ikke kontrollerer.

Hvordan Dataeksponering Sker

Softwareingeniører kan vende sig til AI-værktøjer som Claude eller ChatGPT for at fejlfinde eller optimere kodestykker. I 2023 gjorde Samsungs softwareingeniører netop det – de uploaded interne kildekoder til ChatGPT, mens de forsøgte at fejlfinde problemer. Lækagen af fortrolig kode tvang Samsung til at implementere omfattende begrænsninger på AI-brug på tværs af alle ingeniørafdelinger.

Markedsføringsprofessionelle og HR-personale bruger ofte AI til at polere deres skrivning. De uploader udraftede forslag, interne politikdokumenter og undertiden endda kundeaftaler og beder AI om at forbedre klarehed eller korrigere grammatiske fejl. Disse dokumenter indeholder ofte finansielle prognoser, lovmæssige vilkår eller strategiske planer, som konkurrenter ville finde værdifulde.

Kundeserviceteam, der eksperimenterer med AI-effektivitetsværktøjer, indsætter undertiden faktiske kundesamtaler og supportsøgning. De ønsker, at AI skal sammenfatte interaktioner eller foreslå bedre svar. Når disse indtastninger inkluderer kundenavne, kontaktinformation, kontooplysninger eller købshistorik, har virksomheden potentielt krænket privatlivsregler som GDPR eller CCPA.

Produktudviklingsteams, der brainstormer nye funktioner, kan beskrive ikke-offentliggjorte funktioner til ChatGPT, i håb om, at AI kan hjælpe med at finpudse deres ideer eller identificere potentielle problemer. Disse beskrivelser kan afsløre konkurrencemæssige fordele, teknologiske innovationer eller markedsstrategier, som virksomheden havde til hensigt at holde fortrolige, indtil lanceringen.

Alt denne information kunne potentielt blive opbevaret af store sprogmodeller og informere AI-svar til andre brugere i fremtiden.

For eksempel, efter at produktudviklingsteamet har beskrevet deres kommende produkt til ChatGPT, kunne en konkurrent eller journalist spørge AI-værktøjet om virksomhedens kommende udgivelser. ChatGPT kunne henvise til den fortrolige information, der blev delt, og afsløre en ny produkt eller teknologi, som virksomheden havde brugt betydelige ressourcer på at udvikle.

Hvordan Dette Bliver en PR-krise

Når disse episoder kommer for en dag, bliver de sjældent begrænsede til IT-problemer. Her er, hvad der typisk sker:

Krænkelsen opdages, ofte ved en tilfældighed eller gennem en tredjeparts-advarsel. IT begynder at undersøge, mens de forsøger at vurdere omfanget. Imens, hvis episoden involverer kundedata eller reguleret information, kræver lovmæssige forpligtelser offentliggørelse. Når det offentliggøres, begynder mediedækningen. Sociale medier forstærker historien. Kunder begynder at ringe med bekymringer. Medarbejderne bekymrer sig om jobsikkerhed og deres egen ansvarlighed.

Inden for 24 til 48 timer er, hvad der startede som et teknisk problem, blevet til en fuld reputationskrise. Virksomheden skal forklare til multiple målgrupper, hvordan dette skete, hvorfor kontrollerne svigtede, og hvad der gøres for at forhindre gentagelse. Hvis virksomheden ikke har forberedt sig på dette scenarie, er svaret ofte langsomt, inkonsistent eller defensivt. Hver fejltrin forlænger krisen og forværrer skaden.

Opbygning af en Kriseresponse-ramme for AI-episoder

CIO’er skal samarbejde med kommunikations- og juridiske hold for at opbygge kriseresponse-protokoller specifikt for AI-episoder. Tekniske kontroller og politikker er vigtige, men de er utilstrækkelige uden en plan for at håndtere mediedækningen, når noget går galt.

Her er seks konkrete skridt til at starte denne proces:

  1. Etabler tydelige eskalationsveje. Når en AI-relateret dataeksponering opdages, hvem bliver straks underrettet? IT, Jura, Kommunikation og C-suite skal alle være informeret hurtigt. Opret en beslutningstræ, der bestemmer, hvornår kriseprotokoller skal aktiveres på basis af typen og følsomheden af den eksponerede data.
  2. Udvikl svartemplater. Forudforbered holdninger og Q&A-dokumenter for almindelige AI-fejlscenarier. Disse skal omhandle medarbejdermisbrug, leverandør-sikkerhedsproblemer og utilsigtet dataeksponering. At have templater klar tillader hurtigere og mere konsekvente svar, når tiden er kritisk.
  3. Træn talspersoner. Direktører og kommunikationspersonale har brug for medietræning specifikt fokuseret på, hvordan man diskuterer AI-episoder. Teknologien er kompleks og fuld af fagudtryk, som kan være svært at navigere, når man besvarer spørgsmål fra interessenter.
  4. Overvåg efter tidlige advarselstegn. Sociale medieovervågning skal inkludere nøgleord relateret til jeres organisation og AI-værktøjer. Nogle gange er den første indikation af et problem en medarbejder, der poster på LinkedIn eller en kunde, der klager på Twitter om et AI-genereret svar.
  5. Udfør krisestimulationer. Bordssimulationer, der gennemgår en AI-dataeksponeringsscenario, hjælper holdene med at forstå deres roller og identificere huller i responsplanen. Disse simulationer skal involvere IT, Jura, Kommunikation, HR og ledelse.
  6. Opbyg relationer, før du har brug for dem. Etabler forbindelser med krisekommunikationsfirmaer, cybersikkerhedseksperter, der kan give tredjepartsvalidering, og juridisk rådgivning med erfaring i AI-relaterede spørgsmål. Når en krise rammer, ønsker du betroede rådgivere, der kan mobilisere straks.

Vejen Fremad

Gapet mellem AI-adopterings og AI-styring fortsætter med at vokse. Medarbejderne har let adgang til kraftfulde værktøjer, der kan skabe betydelige reputationsrisici. CIO’er har traditionelt fokuseret på den tekniske side af AI-risikostyring. Imidlertid kræver den reputationsmæssige dimension af AI-episoder lige så megen opmærksomhed og forberedelse.

Spørgsmålet er ikke, om jeres organisation vil opleve en AI-relateret krise. Givet nuværende adoptionshastighed og forekomsten af Skygge-AI, er spørgsmålet, hvornår. Virksomheder, der forbereder sig nu, med politikker, der dækker både tekniske og reputationsrisici, vil klare disse episoder langt bedre end dem, der bliver overrasket.

Related Topics:
mm

Vlad Drazdovich er vicepræsident for forbedring af ydeevne og analyser hos Red Banyan, en strategisk kommunikations- og krisehåndteringsagentur. Som en del af hans rolle, rådgiver Vlad om virksomhedens AI-strategi og overvåger AI-baserede teknologiimplementeringer i virksomheden.