Опасность отказа от ИИ

Я подключился к конференц-звонку потенциального клиента на прошлой неделе. Там были все сотрудники безопасности и сетевые специалисты, а также руководство. Разные докладчики освещали темы текущего момента. Затем кто-то начал объяснять, как его технические команды используют ИИ в своей повседневной работе.

Докладчик был взволнован. Он нашел способ сжать три дня ручной работы по копированию и вставке до нескольких минут с помощью инструментов ИИ. Супер круто, правда? Я понимаю, что он делал – и почему он это делал. Это и есть обещание ИИ!

Но как человек, ответственный за безопасность в комнате, я думаю: “О боже”. “Какой инструмент это? Кто владеет этим инструментом?” Потому что он вводит информацию о клиентах в эти платформы – данные о ценах. Может быть, финансовую информацию? Что бы это ни было. Все это, чтобы ускорить свой рабочий процесс.

Итак, я задал очевидный вопрос: “У вас есть политика ИИ?” Мы пошли поискать. Нашли несколько строк, закопанных в разделе о допустимом использовании. Что-то расплывчатое об инструментах ИИ. Кто-нибудь вообще читает это? Наверное, нет. Вы подписываете это во время ознакомления, и все.

Ваши сотрудники уже используют ИИ

Вот что я узнал, общаясь с компаниями из каждой отрасли: ИИ уже повсюду, будь то признано или нет. Недавние исследования подтверждают эту реальность – 75% работников сейчас используют ИИ на работе, почти удвоившись за последние шесть месяцев.

На прошлой неделе в Хьюстоне я встретил парня, чья компания бурит нефть. У них есть платформа ИИ, которая анализирует состав почвы и погодные условия, чтобы оптимизировать места бурения. Он объяснил, как они учитывают данные о количестве осадков – “Мы знали, что здесь было на 18 дней больше дождей, чем в этом районе, поэтому, вероятно, емкость нефти выше, что позволяет бурению глубже”.

Тем временем я использую ИИ, чтобы создать маршрут для Германии. Я общался с компаниями в сфере здравоохранения, которые используют его для платформ телемедицины. Финансовые команды запускают модели риска. Я даже встретил кого-то, кто управляет лимонадным бизнесом и использует ИИ каким-то образом.

Смысл в том, что ИИ есть в каждой отрасли, каждом рабочем процессе. Он не идет – он уже здесь. И большинство этих организаций находятся в той же лодке, что и мы. Они знают, что их сотрудники используют его. Они просто не знают, как им управлять.

Теневая ИТ становится опасной быстро

Вы знаете, что происходит, когда вы говорите людям, что они не могут использовать ИИ? Это точно так же, как когда вы говорите своему подростку никогда не пить. Поздравляю, теперь они будут пить в самых небезопасных способах, потому что вы создали запрет.

Цифры доказывают эту реальность: 72% использования генеративного ИИ в предприятиях – это теневая ИТ, когда сотрудники используют личные учетные записи для доступа к приложениям ИИ.

Люди берут второй ноутбук. Они используют свой личный телефон, который не защищен компьютерной безопасностью. Затем они используют ИИ все равно. Внезапно вы теряете видимость и создаете именно те пробелы, которых вы пытались избежать.

Я видел эту схему раньше. Команды безопасности, которые говорят “нет” всем, в конечном итоге толкают людей подполье – и теряют всякий надзор за тем, что на самом деле происходит.

Безопасность становится врагом

Есть такое восприятие, что команды безопасности – “злые парни в подвале”. Люди думают: “О, команда безопасности, вероятно, скажет нет в любом случае, так что не беспокойте их. Я сделаю это все равно”.

Мы создали это недоразумение. И с ИИ люди предвзято предполагают, что мы закроем их, поэтому они даже не беспокоятся спрашивать. Это убивает коммуникацию, которую вы на самом деле хотите.

У меня был разработчик, который подошел ко мне после конференции. Он использует API каждый день и пытался привлечь внимание своей команды безопасности к тестированию и проверке. Но он решил не спрашивать, потому что предположил, что они просто скажут нет.

Дефицит доверия стоит вам всего

Вот разговор, который вы хотите: кто-то из маркетинга подходит к вам и говорит: “Привет, я хочу использовать этот инструмент ИИ. Какова наша позиция по этому вопросу? Как мне использовать его безопасно?” Это правильный способ партнерства с безопасностью.

Мы будем проверять это. Мы понимаем, что ИИ станет частью бизнеса. Мы не скажем нет ему – мы хотим, чтобы люди использовали его безопасно. Но нам нужен этот разговор сначала.

Когда люди предполагают, что безопасность заблокирует все, они перестают спрашивать. Они регистрируются с личными электронными адресами, начинают вводить корпоративные данные в непроверенные платформы, и вы теряете всякую видимость и контроль. Результат предсказуем: 38% сотрудников делятся конфиденциальной информацией о работе с инструментами ИИ без разрешения работодателя.

Организации будут использовать ИИ, независимо от того, что вы скажете. Вопрос в том, как мы можем обеспечить, чтобы наши сотрудники могли использовать его безопасно, не подвергая опасности корпоративные данные, конфиденциальность или безопасность?

Начните с умных “да”, а не с абсолютных “нет”

Вот что на самом деле работает: проактивная коммуникация. Отправляйте новостные рассылки или проводите 30-минутные вебинары, говоря: “Мы разрешаем ИИ в организации. Вот как использовать его безопасно”. Записывайте сессии для тех, кто пропустил их.

Покажите примеры сотрудников, которые успешно сотрудничали с безопасностью. Сделайте эти партнерства видимыми, вместо того, чтобы быть тенью, которую люди предполагают, что закроет их.

Вам нужно построить доверие с течением времени между безопасностью и сотрудниками. В конце концов, мы все используем ИИ в больших и маленьких способах. Я использовал его, чтобы спланировать поездку в Германию – сказал ему создать трехдневный маршрут и получил отличную поездку из этого.

С точки зрения организации, нам нужно признать, где ИИ находится в бизнесе. Будет ли он увеличивать доход? Вероятно. Бизнес-сделка ясна: ИИ перешел от “эксперимента” к “необходимому”, а корпоративные расходы на него выросли на 130%. Итак, что мы делаем? Как мы можем обеспечить защиту, одновременно увеличивая производительность?

Цель не в идеальном контроле, это невозможно. Цель – в информированном принятии решений об ИИ с ограничениями, которые действительно работают на практике. Новый риск для безопасности заключается в том, чтобы стать изолированным от использования ИИ – использования, которое происходит с вашего разрешения или без него.

Для организаций, которые серьезно настроены сделать все правильно, эксперты рекомендуют разработать ясную политику управления ИИ, которая балансирует бизнес-потребности с требованиями безопасности до того, как использование теневого ИИ полностью выйдет из-под контроля.