Connect with us

Tankeledere

Når Misbrug af AI Udløser en Virksomhedskrise

mm
Published
Updated

De fleste virksomheder mangler politikker til at forhindre reputationskader fra kunstig intelligensværktøjer

Seneste undersøgelser afslører, at kun omkring 30 procent af virksomhederne har etableret AI-politikker. Imens deler 77 procent af medarbejderne virksomhedshemmeligheder på ChatGPT, ifølge Enterprise AI og SaaS Data Security Report fra LayerX. Denne kombination skaber perfekte betingelser for reputationskriser.

De fleste AI-politikker, der findes, fokuserer på tekniske og compliance-risici. De omhandler datasikkerhedsprotokoller, leverandørbedømmelser og lovmæssige krav. Det, disse politikker ofte mangler, er en krise i forhold til offentligheden, der kan udvikle sig inden for få timer på grund af misbrug af AI. Hos Red Banyan rådgiver vi en stigende antal organisationer gennem AI-relaterede kriser, og vi begynder at se et mønster. Den tekniske krænkelse er som regel hurtigt under kontrol, men skaden på virksomhedens rygte, kunderelationer og interesseholders tillid kan bestå i måneder eller endda år.

Det Skjulte AI-problem

Den største trussel kommer fra, hvad sikkerhedsprofessionelle kalder “Shadow AI.” Dette er, hvor medarbejderne bruger ikke-godkendte, personlige AI-konti til arbejdsopgaver, og omgår virksomhedens sikkerheds kontroller. Det meste af tiden gør de det uden at være fuldt ud klar over risikoen.

Ifølge Cyberhavens forskning, er 11 procent af de data, medarbejderne indsætter i ChatGPT, fortrolige. Den cifre burde alarmere hver CIO og kommunikationsleder. Vi taler om kildekode, kundeaftaler, ikke-offentliggjorte produktveje, finansielle prognoser og medarbejderoptegnelser, der flyder ind i systemer, som virksomhederne ikke kontrollerer.

Hvordan Dataeksponering Sker

Softwareingeniører kan vende sig til AI-værktøjer som Claude eller ChatGPT for at fejlfinde eller optimere kodestykker. I 2023 gjorde Samsungs softwareingeniører netop det – de uploaded interne kildekoder til ChatGPT, mens de forsøgte at fejlfinde problemer. Lækket af fortrolig kode tvang Samsung til at implementere omfattende begrænsninger på AI-brug på tværs af alle ingeniørafdelinger.

Markedsføringsprofessionelle og HR-personale bruger ofte AI til at polere deres skrivning. De uploader udraftede forslag, interne politikdokumenter og undertiden endda kundeaftaler, og beder AI om at forbedre klarehed eller korrigere grammatiske fejl. Disse dokumenter indeholder ofte finansielle prognoser, lovmæssige vilkår eller strategiske planer, som konkurrenter ville finde værdifulde.

Kundeserviceteam, der eksperimenterer med AI-effektivitetsværktøjer, indsætter undertiden faktiske kundesamtaler og supportsøgninger. De ønsker, at AI skal sammenfatte interaktioner eller foreslå bedre svar. Når disse indtastninger indeholder kundenavne, kontaktoplysninger, kontooplysninger eller købshistorik, har virksomheden potentielt krænket privatlivsbestemmelser som GDPR eller CCPA.

Produktudviklingsteams, der brainstormer nye funktioner, kan beskrive ikke-offentliggjorte funktioner til ChatGPT, i håb om, at AI kan hjælpe med at finpudse deres idéer eller identificere potentielle problemer. Disse beskrivelser kan afsløre konkurrencemæssige fordele, teknologiske innovationer eller markedstrategier, som virksomheden havde til hensigt at holde fortrolige, indtil lanceringen.
Al denne information kunne potentielt blive opbevaret af store sprogmodeller og informere AI-svar til andre brugere i fremtiden.

For eksempel, efter at produktudviklingsteamet har beskrevet deres kommende produkt til ChatGPT, kunne en konkurrent eller journalist spørge AI-værktøjet om den pågældende virksomheds kommende udgivelser. ChatGPT kunne henvise til den fortrolige information, der var delt, og afsløre en ny produkt eller teknologi, som virksomheden havde brugt betydelige ressourcer på at udvikle.

Hvordan Dette Bliver en PR-krise

Når disse episoder kommer for en dag, bliver de sjældent begrænset til IT-problemer. Her er, hvad der typisk sker:

Krænkelsen opdages, ofte ved en tilfældighed eller gennem en tredjeparts-advarsel. IT begynder at undersøge, mens de forsøger at vurdere omfanget. Imens, hvis episoden involverer kundedata eller reguleret information, kræver lovmæssige forpligtelser offentliggørelse. Når det offentliggøres, begynder mediedækningen. Sociale medier forstærker historien. Kunder begynder at ringe med bekymringer. Medarbejderne bekymrer sig om jobsikkerhed og deres egen ansvarlighed.

Inden for 24 til 48 timer er det, der startede som et teknisk problem, blevet til en fuldstændig reputationskrise. Virksomheden skal forklare til multiple målgrupper, hvordan dette skete, hvorfor kontrollerne svigtede, og hvad der gøres for at forhindre gentagelse. Hvis virksomheden ikke har forberedt sig på denne situation, er svaret ofte langsomt, inkonsistent eller defensivt. Hver fejltrin forlænger krisen og forværrer skaden.

Opbygning af en Kriseresponse-ramme for AI-episoder

CIO’er skal samarbejde med kommunikations- og juridiske hold for at opbygge kriseresponse-protokoller specifikt for AI-episoder. Tekniske kontroller og politikker er vigtige, men de er utilstrækkelige uden en plan for at håndtere mediedækningen, når noget går galt.

Related Topics:
mm

Vlad Drazdovich er vicepræsident for forbedring af ydeevne og analyser hos Red Banyan, en strategisk kommunikations- og krisehåndteringsagentur. Som en del af hans rolle, rådgiver Vlad om virksomhedens AI-strategi og overvåger AI-baserede teknologiimplementeringer i virksomheden.