Connect with us

Liderzy opinii

Gdy nadużycie AI wyzwala kryzys korporacyjny

mm
Published
Updated

Największość firm nie posiada polityk, które mogłyby zapobiec katastrofom reputacyjnym spowodowanym przez narzędzia sztucznej inteligencji

Ostatnie ankiety ujawniają, że tylko około 30 procent firm ustanowiło polityki AI. Tymczasem 77 procent pracowników udostępnia tajemnice firmy w ChatGPT, zgodnie z Raportem o bezpieczeństwie danych AI i SaaS dla przedsiębiorstw firmy LayerX. Ta kombinacja tworzy idealne warunki do kryzysów reputacyjnych.

Największość istniejących polityk AI koncentruje się na technicznych i compliance’owych ryzykach. Dotyczą one protokołów bezpieczeństwa danych, oceny dostawców i wymogów regulacyjnych. Często pomijają one katastrofę wizerunkową, która może rozwinąć się w ciągu kilku godzin z powodu nadużycia AI. W Red Banyan doradzamy coraz większej liczbie organizacji w zakresie kryzysów związanych z AI i zaczynamy dostrzegać pewne podobieństwa. Techniczne naruszenie jest zwykle szybko zawężone, ale szkoda wizerunku, relacji z klientami i zaufania stakeholderów może utrzymywać się przez miesiące lub nawet lata.

Problem Cienia AI

Największe zagrożenie pochodzi z tego, co profesjonaliści z dziedziny bezpieczeństwa nazywają “Cieniem AI.” Chodzi o to, że pracownicy używają niezatwierdzonych, osobistych kont AI do zadań służbowych, omijając kontrolę bezpieczeństwa korporacyjnego. Zwykle robią to bez pełnego zrozumienia ryzyka.

Zgodnie z badaniem Cyberhaven, 11 procent danych, które pracownicy wprowadzają do ChatGPT, jest poufnych. Ta liczba powinna zaalarmować każdego CIO i lidera ds. komunikacji. Mówimy o kodzie źródłowym, umowach z klientami, nieopublikowanych planach rozwoju produktu, prognozach finansowych i danych pracowników, które wpływają do systemów, którymi organizacje nie kontrolują.

Jak dochodzi do narażenia danych

Inżynierowie oprogramowania mogą korzystać z narzędzi AI, takich jak Claude lub ChatGPT, w celu debugowania lub optymalizacji fragmentów kodu. W 2023 roku inżynierowie oprogramowania Samsunga zrobili właśnie to – przesłali wewnętrzny kod źródłowy do ChatGPT, próbując rozwiązać problemy. Ujawnienie poufnego kodu zmusiło Samsunga do wdrożenia kompleksowych ograniczeń w korzystaniu z AI we wszystkich działach inżynieryjnych.

Specjaliści od marketingu i pracownicy HR często używają AI, aby poprawić swoje pisanie. Przesyłają projekty propozycji, dokumenty wewnętrznej polityki i czasem nawet umowy z klientami, prosząc AI o poprawienie klarowności lub skorygowanie błędów gramatycznych. Te dokumenty często zawierają prognozy finansowe, warunki prawne lub plany strategiczne, które konkurenci uznałyby za cenne.

Zespoły obsługi klienta, które eksperymentują z narzędziami AI, aby zwiększyć wydajność, czasem wprowadzają rzeczywiste rozmowy z klientami i bilety wsparcia. Chcą, aby AI podsumowało interakcje lub sugerowało lepsze odpowiedzi. Gdy te dane wejściowe zawierają nazwy klientów, informacje kontaktowe, dane konta lub historię zakupów, firma potencjalnie narusza przepisy o ochronie prywatności, takie jak GDPR lub CCPA.

Zespoły rozwoju produktu, które brainstorują nowe funkcje, mogą opisać nieogłoszone możliwości ChatGPT, licząc na to, że AI pomoże udoskonalić ich pomysły lub zidentyfikować potencjalne problemy. Te opisy mogą ujawniać przewagi konkurencyjne, innowacje technologiczne lub strategie rynkowe, które firma zamierzała utrzymać w tajemnicy do momentu premiery.

Wszystkie te informacje mogą być potencjalnie przechowywane przez duże modele językowe i wpływać na odpowiedzi AI dla innych użytkowników w przyszłości.

Na przykład, po tym, jak zespół rozwoju produktu opisuje swój nadchodzący produkt ChatGPT, konkurent lub dziennikarz może zapytać AI o nadchodzące wydania tej firmy. ChatGPT może odnieść się do poufnych informacji, które zostały udostępnione, i ujawnić nowy produkt lub technologię, nad którymi firma zainwestowała znaczne środki.

Jak to staje się kryzysem PR

Gdy takie incydenty się zdarzają, rzadko pozostają one zawężone do kwestii IT. Oto, co zwykle się dzieje:

Naruszenie zostaje odkryte, często przez przypadek lub za pomocą alertu zewnętrznego. IT rozpoczyna dochodzenie, próbując ocenić zakres. Tymczasem, jeśli incydent dotyczy danych klienta lub regulowanych informacji, obowiązki prawne wymagają ujawnienia. Gdy incydent zostaje ujawniony, rozpoczyna się pokrycie medialne. Media społecznościowe amplifikują historię. Klienci zaczynają dzwonić z obawami. Pracownicy martwią się o bezpieczeństwo pracy i własną odpowiedzialność.

W ciągu 24 do 48 godzin, to, co rozpoczęło się jako incydent techniczny, staje się pełnowymiarowym kryzysem reputacyjnym. Firma musi wyjaśnić wielu odbiorcom, jak to się stało, dlaczego kontrole zawiodły i co robione jest, aby zapobiec powtórzeniu. Jeśli firma nie przygotowała się do tego scenariusza, odpowiedź jest często spowolniona, niekonsekwentna lub defensywna. Każdy błąd wydłuża kryzys i pogłębia szkodę.

Budowanie ram odpowiedzi kryzysowej dla incydentów AI

CIO muszą współpracować z zespołami komunikacji i prawnymi, aby stworzyć protokoły odpowiedzi kryzysowej specjalnie dla incydentów AI. Kontrole techniczne i polityki są ważne, ale są niewystarczające bez planu zarządzania skutkami medialnymi, gdy coś pójdzie nie tak.

Oto sześć kroków, aby rozpocząć ten proces:

  1. Ustanów wyraźne ścieżki eskalacji. Gdy odkryty zostaje incydent związany z narażeniem danych AI, kto zostaje powiadomiony natychmiast? IT, Prawo, Komunikacja i zarząd powinny zostać szybko poinformowane. Utwórz drzewo decyzyjne, które określa, kiedy aktywować protokoły kryzysowe w zależności od rodzaju i wrażliwości narażonych danych.
  2. Opracuj szablony odpowiedzi. Przygotuj wcześniej oświadczenia i dokumenty Q&A dla typowych scenariuszy związanych z AI. Powinny one dotyczyć nadużycia przez pracowników, problemów zabezpieczenia dostawców i przypadkowego narażenia danych. Posiadanie gotowych szablonów pozwala na szybsze i bardziej spójne odpowiedzi, gdy czas jest kluczowy.
  3. Przeszkol społeczność. Wyżsi menedżerowie i personel komunikacji potrzebują szkolenia medialnego, skupionego specjalnie na tym, jak omawiać incydenty AI. Technologia jest złożona i pełna żargonu, co może być trudne do nawigowania podczas odpowiedzi na pytania ze strony stakeholderów.
  4. Monitoruj wczesne sygnały ostrzegawcze. Monitorowanie mediów społecznościowych powinno obejmować słowa kluczowe związane z Twoją organizacją i narzędziami AI. Czasem pierwszym sygnałem problemu jest post pracownika na LinkedIn lub skargi klienta na Twitterze dotyczące odpowiedzi wygenerowanej przez AI.
  5. Przeprowadź symulacje kryzysowe. Ćwiczenia, które przechodzą przez scenariusz narażenia danych AI, pomagają zespołom zrozumieć ich role i zidentyfikować luki w planie odpowiedzi. Te symulacje powinny obejmować IT, Prawo, Komunikację, HR i kierownictwo wyższego szczebla.
  6. Buduj relacje, zanim będziesz ich potrzebować. Ustanów połączenia z firmami zajmującymi się komunikacją kryzysową, ekspertami ds. cyberbezpieczeństwa, którzy mogą zapewnić niezależną weryfikację, oraz prawnikami doświadczonymi w kwestiach związanych z AI. Gdy kryzys nastąpi, chcesz mieć zaufanych doradców, którzy mogą szybko działać.

Ścieżka do przodu

Przepaść między adopcją AI a zarządzaniem AI nadal rośnie. Pracownicy mają łatwy dostęp do potężnych narzędzi, które mogą stwarzać znaczne ryzyko reputacyjne. CIO tradycyjnie koncentrowali się na technicznej stronie zarządzania ryzykiem AI. Jednak wymiar reputacyjny incydentów AI wymaga równego uwagi i przygotowania.

Pytanie nie brzmi, czy Twoja organizacja zostanie dotknięta kryzysem związanym z AI. Biorąc pod uwagę obecne tempo adopcji i rozpowszechnienie Cienia AI, pytanie brzmi, kiedy. Firmy, które przygotują się teraz, z politykami, które adresują zarówno techniczne, jak i reputacyjne ryzyka, znacznie lepiej przetrwają te incydenty niż te, które zostaną zaskoczone.

Related Topics:
mm

Vlad Drazdovich jest wiceprezesem ds. poprawy wydajności i analiz w firmie Red Banyan, agencji strategicznych komunikacji i zarządzania kryzysowego. W ramach swojej roli Vlad doradza w zakresie strategii sztucznej inteligencji dla korporacji oraz nadzoruje wdrożenia technologii opartych na sztucznej inteligencji w firmie.