Niebezpieczeństwo braku zgody na AI

W zeszłym tygodniu dołączyłem do wideokonferencji potencjalnego klienta. Wszyscy specjaliści ds. bezpieczeństwa i sieci, a także zarząd, byli tam obecni. Różni prelegenci omawiali tematy dnia. Wtedy ktoś zaczął wyjaśniać, jak jego zespoły techniczne wykorzystują AI w codziennej pracy.

Prelegent był podekscytowany. Znaleziono sposób, aby skompresować trzy dni ręcznej pracy kopiowania i wklejania do kilku minut za pomocą narzędzi AI. Super, prawda? Rozumiem, co robił i dlaczego to robił. To jest obietnica AI!

Jednak jako osoba odpowiedzialna za bezpieczeństwo w pokoju, myślałem: “O mój Boże”. “Jaki to narzędzie? Kto włada tym narzędziem?” Ponieważ wkłada on informacje o klientach do tych platform – dane dotyczące cen. Może informacje finansowe? Cokolwiek to może być. Wszystko po to, aby przyspieszyć swój proces pracy.

Więc zadałem oczywiste pytanie: “Czy masz politykę AI?” Szukaliśmy. Znaleźliśmy fragment ukryty w zaakceptowanym użyciu. Coś niejasnego dotyczącego narzędzi AI. Czy ktoś to naprawdę czyta? Prawdopodobnie nie. Podpisałeś to podczas procesu wdrożenia i już.

Twoi ludzie już używają AI

To, czego nauczyłem się, rozmawiając z firmami z każdej branży: AI jest już wszędzie, czy to się podoba, czy nie. Ostatnie badania potwierdzają tę rzeczywistość – 75% pracowników używa już AI w pracy, co stanowi niemal podwojenie w ciągu zaledwie sześciu miesięcy.

W zeszłym tygodniu w Houston spotkałem się z kimś, którego firma wiertła naftę. Mają platformę AI, która analizuje skład gleby i wzorce pogodowe, aby zoptymalizować lokalizację wierceń. Wyjaśnił, jak uwzględniają dane o opadach – “Wiedzieliśmy, że padało 18 dni więcej niż w tym obszarze, więc pojemność naftowa jest prawdopodobnie wyższa, co pozwala wiertłom na głębsze wkraczanie”.

Tymczasem ja używam AI, aby stworzyć plan podróży do Niemiec. Rozmawiałem z firmami z branży opieki zdrowotnej, które używają jej do platform telezdrowia. Zespoły finansowe prowadzące modele ryzyka. Spotkałem nawet kogoś, kto prowadzi interes z lemoniadą i wykorzystuje AI w jakiś sposób.

Chodzi o to, że AI jest we wszystkich branżach, we wszystkich procesach pracy. Nie nadchodzi – jest już tu. I większość tych organizacji jest w tej samej sytuacji, co my. Wiedzą, że ich pracownicy ją używają. Oni tylko nie wiedzą, jak ją zarządzać.

Cień IT staje się niebezpieczny

Czy wiesz, co się dzieje, gdy mówisz ludziom, że nie mogą używać AI? To jest dokładnie tak, jak gdybyś powiedział swojemu nastolatkowi, że nigdy nie powinien pić. Gratulacje, teraz oni będą tymi, którzy będą pić w najmniej bezpiecznych sposób, ponieważ stworzyłeś prohibicję.

Liczby potwierdzają tę rzeczywistość: 72% użycia generatywnej AI w przedsiębiorstwach to cień IT, a pracownicy używają osobistych kont, aby uzyskać dostęp do aplikacji AI.

Ludzie biorą drugi laptop. Używają swojego osobistego telefonu, który nie jest chroniony przez bezpieczeństwo firmy. Następnie używają AI tak czy inaczej. Nagle tracisz widoczność i tworzysz dokładnie te luki, których próbowałeś zapobiec.

Widziałem ten wzorzec wcześniej. Zespoły bezpieczeństwa, które mówią “nie” wszystkiemu, kończą się tak, że pchają ludzi pod ziemię i tracą wszelką kontrolę nad tym, co się naprawdę dzieje.

Bezpieczeństwo staje się wrogiem

Istnieje taka percepcja, że zespoły bezpieczeństwa to “nieprzyjemni faceci w piwnicy”. Ludzie myślą: “Och, zespół bezpieczeństwa pewnie i tak powie nie, więc nie ma sensu ich pytać”.

Stworzyliśmy to nieporozumienie. A z AI ludzie są nastawieni na to, że my je zamkniemy, więc nie mają ochoty pytać. To zabija komunikację, której tak naprawdę chcecie.

Miałem developera, który przyszedł do mnie po konferencji. Używa API każdego dnia i próbował zwrócić uwagę swojego zespołu bezpieczeństwa na testowanie i walidację. Ale zdecydował się nie pytać, bo uznał, że oni i tak powiedzą nie.

Deficyt zaufania kosztuje wszystko

To jest rozmowa, której pragniesz: ktoś z marketingu przychodzi do ciebie i mówi: “Hej, chcę użyć tego narzędzia AI. Jaka jest nasza postawa wobec tego? Jak mogę je użyć bezpiecznie?” To jest właściwy sposób współpracy z bezpieczeństwem.

Będziemy to weryfikować. Rozumiemy, że AI będzie częścią biznesu. Nie powiemy nie – chcemy, aby ludzie używali go bezpiecznie. Ale potrzebujemy tej rozmowy najpierw.

Gdy ludzie zakładają, że bezpieczeństwo zablokuje wszystko, przestają pytać. Zapisują się na osobiste adresy e-mail, zaczynają wprowadzać dane firmy do niezweryfikowanych platform, a ty tracisz wszelką widoczność i kontrolę. Rezultat jest przewidywalny: 38% pracowników udostępnia wrażliwe informacje o pracy narzędziom AI bez pozwolenia pracodawcy.

Organizacje będą używać AI niezależnie od wszystkiego. Pytanie brzmi: jak możemy upewnić się, że nasi pracownicy mogą ją wykorzystać bezpiecznie, nie narażając danych firmy, prywatności ani bezpieczeństwa?

Zacznij od mądrych “tak”, a nie od powszechnych “nie”

To jest to, co naprawdę działa: proaktywna komunikacja. Wysyłaj biuletyny lub prowadź 30-minutowe webinaria, mówiąc: “Pozwalamy na AI w organizacji. Oto jak to zrobić bezpiecznie”. Nagrywaj sesje dla osób, które je przegapią.

Pokaż przykłady pracowników, którzy współpracowali z bezpieczeństwem z powodzeniem. Uczynij te partnerstwa widocznymi, zamiast być tajemniczą jednostką, której ludzie zakładają, że ją zamknie.

Musisz budować zaufanie w czasie między bezpieczeństwem a pracownikami. Na końcu dnia wszyscy używamy AI na dużą i małą skalę. Użyłem jej, aby zaplanować moją podróż do Niemiec – powiedziałem, aby stworzyła trzydniowy plan podróży i dostałem świetną podróż z tego.

Z punktu widzenia organizacji musimy uznać, gdzie AI się znajduje w biznesie. Czy zwiększy przychody? Prawdopodobnie. Przypadek biznesowy jest jasny: AI przeszedł od “eksperymentu” do “niezbędnego”, a wydatki na przedsiębiorstwa skoczyły o 130%. Więc co robimy? Jak zapewniamy ochronę, umożliwiając jednocześnie produktywność?

Celem nie jest idealna kontrola, to jest niemożliwe. Celem jest poinformowane przyjęcie AI z barierami, które naprawdę działają w praktyce. Nowe ryzyko dla bezpieczeństwa polega na odizolowaniu się od użycia AI – użycia, które zachodzi z Twoim udziałem lub bez niego.

Dla organizacji, które poważnie myślą o tym, jak to zrobić, eksperci zalecają opracowanie wyraźnych polityk zarządzania AI, które balansują potrzeby biznesowe z wymogami bezpieczeństwa przed użyciem cienia AI, które całkowicie wymyka się spod kontroli.