Небезпека відмови штучному інтелекту

Я подзвонив на конференцію потенційного клієнта минулого тижня. Там були всі спеціалісти з безпеки та мереж, а також керівництво. Різні доповідачі висвітлювали теми дня. Потім хтось почав пояснювати, як його технічні команди використовують штучний інтелект у своїй роботі.

Доповідач був у захваті. Він знайшов спосіб стиснути три дні ручної копіювання-вставлення до декількох хвилин за допомогою інструментів штучного інтелекту. Надзвичайно круто, правда? Я розумію, що він робив і чому він це робив. Це обіцянка штучного інтелекту!

Але як людина, відповідальна за безпеку в кімнаті, я думаю: “О боже мій”. “Який інструмент це? Хто володіє цим інструментом?” Адже він вводить інформацію клієнтів до цих платформ – дані про ціни. Можливо, фінансову інформацію? Все, щоб прискорити свою роботу.

Тому я поставив очевидне питання: “У вас є політика штучного інтелекту?” Ми почали шукати. Знашли невеликий абзац, захований у прийнятному використанні. Щось невиразне про інструменти штучного інтелекту. Чи хтось справді читає це? Навіщо. Ви підписуєте це під час оновлення, і все готово.

Ваші люди вже використовують штучний інтелект

Ось що я дізнався, спілкуючись з компаніями з кожної галузі: штучний інтелект вже скрізь, незалежно від того, чи визнаєте ви це чи ні. Останні дослідження підтверджують цю реальність – 75% працівників зараз використовують штучний інтелект на роботі, майже подвоївшись за останні шість місяців.

Минулого тижня в Х’юстоні я зустрів чоловіка, чиї компанії займаються буріння нафти. У них є платформа штучного інтелекту, яка аналізує склад ґрунту та погодні умови для оптимізації місць буріння. Він пояснив, як вони враховують дані про дощі – “Ми знали, що там було 18 днів дощу більше, ніж у цьому районі, тому, ймовірно, місткість нафти вища, що дозволяє буровим установкам дістатися глибше”.

Тим часом я використовую штучний інтелект, щоб створити маршрут для Німеччини. Я спілкувався з компаніями зі сфери охорони здоров’я, які використовують його для платформ телемедицини. Фінансові команди запускають моделі ризику. Я навіть зустрів людину, яка керує бізнесом з лимонаду, який якимось чином використовує штучний інтелект.

Суть у тому, що штучний інтелект присутній у кожній галузі, кожному робочому процесі. Він не прийде – він вже тут. І більшість цих організацій знаходяться в тому самому човні, що і ми. Вони знають, що їхні люди використовують його. Вони просто не знають, як його керувати.

Тіньова ІТ-інфраструктура стає небезпечною швидко

Ви знаєте, що відбувається, коли ви кажете людям, що вони не можуть використовувати штучний інтелект? Це саме так, як коли ви кажете своєму підлітку ніколи не пити. Поздоровляю, тепер вони будуть тими, хто п’є у найнебезпечніших спосіб, оскільки ви створили заборону.

Цифри доводять цю реальність: 72% використання генеративного штучного інтелекту в підприємствах – це тіньова ІТ-інфраструктура, коли працівники використовують особисті облікові записи для доступу до застосунків штучного інтелекту.

Люди беруть другий ноутбук. Вони використовують свій особистий телефон, який не захищений корпоративною безпекою. Потім вони використовують штучний інтелект все одно. Раптом ви втрачаєте видимість і створюєте саме прогалини, яких ви намагалися запобігти.

Я бачив цю схему раніше. Команди безпеки, які кажуть “ні” всьому, в результаті заганяють людей під землю – і втрачають будь-який нагляд за тим, що насправді відбувається.

Безпека стає ворогом

Є таке сприйняття, що команди безпеки – це “злі хлопці у підвалі”. Люди думають: “О, команда безпеки, ймовірно, скаже ні в будь-якому випадку, тому навіщо їм звертатися”.

Ми створили це непорозуміння. І зі штучним інтелектом люди схильні припускати, що ми закриємо їх, тому вони не турбуються про запит. Це вбиває комунікацію, яку ви насправді хочете.

У мене був розробник, який підійшов до мене після конференції. Він використовує API кожен день і намагався привернути увагу своєї команди безпеки щодо тестування та валідації. Але він вирішив не питати, оскільки подумав, що вони просто скажуть ні.

Дефіцит довіри коштує вам всього

Ось розмова, яку ви хочете: хтось із маркетингу підходить до вас і каже: “Привіт, я хочу використовувати цей інструмент штучного інтелекту. Яка наша позиція щодо цього? Як мені його безпечно використовувати?” Це правильний спосіб партнерства з командою безпеки.

Ми будемо перевіряти це. Ми розуміємо, що штучний інтелект буде частиною бізнесу. Ми не скажемо ні йому – ми хочемо, щоб люди використовували його безпечно. Але нам потрібна ця розмова спочатку.

Коли люди припускають, що команда безпеки заблокує все, вони перестають питати. Вони реєструються за допомогою особистої пошти, починають вводити корпоративні дані до неперевірених платформ, і ви втрачаєте будь-яку видимість і контроль. Результат передбачуваний: 38% працівників ділиться конфіденційною інформацією про роботу з інструментами штучного інтелекту без дозволу роботодавця.

Організації будуть використовувати штучний інтелект незалежно від того, що ви робите. Питання в тому, як ми можемо забезпечити, щоб наші працівники могли використовувати його безпечно, не поставивши під загрозу корпоративні дані, конфіденційність чи безпеку?

Почніть з розумних “так”, а не з повних “ні”

Ось що насправді працює: проактивна комунікація. Надсилайте інформаційні листи або проводьте 30-хвилинні вебінари, кажучи: “Ми дозволяємо використання штучного інтелекту в організації. Ось як це зробити безпечно”. Записуйте сесії для тих, хто їх пропустив.

Покажіть приклади працівників, які успішно співпрацювали з командою безпеки. Зробіть ці партнерства видимими, а не тіньовими сутностями, яких люди вважають такими, що закриють їх.

Вам потрібно будувати довіру з часом між командою безпеки та працівниками. В кінцевому підсумку ми всі використовуємо штучний інтелект великими та малими способами. Я використовував його, щоб спланувати свою поїздку до Німеччини – сказав йому створити триденний маршрут і отримав чудову поїздку з цього.

З організаційної точки зору нам потрібно визнати, де знаходиться штучний інтелект у бізнесі. Чи збільшить він доходи? Ймовірно. Бізнес-кейс зрозумілий: штучний інтелект перейшов від “експерименту” до “необхідного”, а витрати підприємств на нього зросли на 130%. Що ж ми робимо? Як ми забезпечуємо захист, одночасно забезпечуючи продуктивність?

Мета не полягає в ідеальному контролі, це неможливо. Мета полягає в інформованому прийнятті рішень щодо штучного інтелекту з обмеженнями, які насправді працюють на практиці. Новий ризик для безпеки полягає в тому, що вона ставатиме ізольованою від використання штучного інтелекту – використання, яке відбувається з вами чи без вас.

Для організацій, які серйозно ставляться до цього питання, експерти рекомендують розробляти чіткі політики управління штучним інтелектом, які балансують бізнес-потреби з вимогами безпеки до того, як тіньове використання штучного інтелекту повністю вийде з-під контролю.