2026-01-22Automatizavimas

ChatGPT verslui: Ar saugu įkelti įmonės duomenis į viešą dirbtinį intelektą?

Dirbtinio intelekto technologijos, ypač generatyviniai modeliai kaip OpenAI sukurtas ChatGPT, keičia įmonių darbo procesus ir sprendimų priėmimo metodus. Vis daugiau organizacijų naudoja šiuos įrankius kasdienėms užduotims atlikti, dokumentams kurti ar sudėtingoms problemoms spręsti. Tačiau kartu su šiomis galimybėmis kyla rimtas klausimas – kiek saugu dalintis įmonės informacija su viešais dirbtinio intelekto modeliais?

Nors ChatGPT ir panašūs sprendimai siūlo neįtikėtiną efektyvumą ir įžvalgas, dauguma jų veikia nuotolinėse debesijos platformose, kur duomenų kontrolė tampa sudėtinga. Šis balansavimas tarp inovatyvių technologijų privalumų ir potencialių duomenų saugumo rizikų tampa vienu svarbiausių šiuolaikinio verslo iššūkių.

A

A


Šiame straipsnyje išsiaiškinsime, kaip ChatGPT apdoroja jūsų verslo informaciją, kokie yra pagrindiniai rizikos veiksniai, saugumo galimybės ir organizacinės atsakomybės. Taip pat pateiksime praktinių patarimų, kaip saugiai naudoti dirbtinį intelektą verslo operacijose.

Kaip ChatGPT apdoroja jūsų verslo informaciją?

Norint priimti pagrįstus sprendimus dėl įmonės duomenų saugos, būtina suprasti, kaip ChatGPT ir panašūs modeliai iš tikrųjų tvarko pateikiamą informaciją. Dirbtinio intelekto platformų duomenų tvarkymo mechanizmai gali turėti reikšmingą poveikį jūsų verslo privatumui ir saugumui.

Techninis duomenų kelio apžvalga: nuo įvesties iki saugojimo

Kai įkeliate verslo informaciją į ChatGPT, pirmiausia jūsų duomenys perduodami į OpenAI serverius. Čia jie apdorojami didelio kalbos modelio (LLM), kuris analizuoja tekstą ir generuoja atsakymus. Pagal numatytuosius nustatymus, nemokama ChatGPT versija išsaugo jūsų užklausas ir atsakymus pokalbių istorijoje. OpenAI privatumo politika nurodo, kad bendrovė gali naudoti šiuos duomenis savo modelių tobulinimui, nebent vartotojas pasirinks atsisakyti šios funkcijos.

Tačiau verslo duomenų išsaugojimo laikotarpis nėra aiškiai apibrėžtas. Nors OpenAI teigia, kad daugelis nemokamos versijos pokalbių išsaugomi 30 dienų laikotarpiui, bet kai kurie duomenys gali būti saugomi ilgiau, ypač tie, kurie atrinkti modelių tobulinimui. Tai kelia klausimų dėl ilgalaikės duomenų kontrolės.

ChatGPT Enterprise versija siūlo griežtesnes saugumo garantijas – pagal nutylėjimą pokalbių istorija neišsaugoma, o jūsų duomenys nenaudojami modelių tobulinimui. Ši versija taip pat siūlo API integracijų galimybes su didesnėmis duomenų kontrolės funkcijomis, įskaitant išsamų audito sekimą ir prieigos valdymą.

Close-up

Close-up


Dr. Alana Maurushat, kibernetinio saugumo profesorė Vakarų Sidnėjaus universitete, pabrėžia: "Visada verta atsiminti, kad bet koks tekstas, kurį įvedate į viešą dirbtinio intelekto sistemą, gali būti apdorojamas ir saugomas trečiųjų šalių serveriuose – vietose, kuriose jūsų organizacija neturi tiesioginės kontrolės."

Pagrindinės rizikos įkeliant įmonės duomenis į viešas dirbtinio intelekto sistemas

Naudojant viešai prieinamas dirbtinio intelekto platformas verslo tikslais, egzistuoja kelios svarbios rizikos, kurias organizacijos turėtų atidžiai įvertinti prieš integruojant šiuos įrankius į savo darbo procesus.

Duomenų nutekinimo galimybė yra viena didžiausių grėsmių. 2023 metais užfiksuoti keli incidentai, kai ChatGPT vartotojams buvo rodoma kitų vartotojų konfidenciali informacija. Pavyzdžiui, OpenAI pranešė apie techninį gedimą, kai vartotojai galėjo matyti kitų asmenų pokalbių fragmentus ir mokėjimo informaciją. Tokio pobūdžio incidentai patvirtina, kad net ir patikimiausios platformos nėra apsaugotos nuo saugumo spragų.

Konfidencialios informacijos atskleidimai taip pat kelia nerimą. Samsung kompanijos atvejis, kai darbuotojai netyčia įkėlė konfidencialią programinio kodo informaciją į ChatGPT, parodo, kaip lengvai gali nutekėti intelektinė nuosavybė. Teisinėje praktikoje taip pat užfiksuoti atvejai, kai advokatai, naudodami dirbtinį intelektą tyrimams, netyčia pažeidė konfidencialumo įsipareigojimus klientams.

BDAR (GDPR) pažeidimai kelia papildomą riziką Europos organizacijoms. Italijos duomenų apsaugos institucija 2023 metų pradžioje laikinai užblokavo ChatGPT prieigą dėl galimų BDAR pažeidimų, įskaitant netinkamą asmens duomenų tvarkymą ir nepakankamą amžiaus verifikavimą. Organizacijoms, kurios apdoroja klientų ar darbuotojų asmens duomenis naudodamos viešus dirbtinio intelekto įrankius, gresia rimtos teisinės ir finansinės pasekmės.

Kibernetinio saugumo ekspertė Elena Klochkova teigia: "Netgi įkeliant duomenis, kurie atrodo neprobleminiai, reikia suprasti, kad dirbtinio intelekto sistemos gali išsaugoti subtilius 'duomenų pėdsakus', kurie ilgainiui gali būti panaudoti informacijos rekonstravimui ar netgi identifikavimui."

Šešėlinis dirbtinis intelektas darbo aplinkoje – paslėpti pavojai

Šešėlinio dirbtinio intelekto naudojimas – kai darbuotojai pasitelkia asmenines ar nepatvirtintas dirbtinio intelekto sistemas be IT skyriaus žinios ar leidimo – tampa vis didesne problema organizacijoms. Tyrimai rodo, kad daugiau nei 50% darbuotojų jau naudoja įvairius dirbtinio intelekto įrankius darbo procesuose, dažnai aplenkdami organizacijos saugumo protokolus.

Šis reiškinys kelia ypač didelę riziką, nes įmonės praranda kontrolę, kokia informacija dalijamasi su išorinėmis sistemomis. Darbuotojai gali netyčia įkelti slaptą verslo informaciją į asmeninius dirbtinio intelekto įrankius siekdami padidinti produktyvumą, nesuvokdami potencialių pasekmių.

Neautorizuoto dirbtinio intelekto naudojimas taip pat komplikuoja organizacijų galimybes užtikrinti atitiktį reguliavimo reikalavimams ir nuosekliai taikyti saugumo politikas. Šią riziką galima sumažinti tik sistemingu darbuotojų mokymu ir aiškiomis dirbtinio intelekto naudojimo gairėmis.

A

A


Saugumo funkcijos ir apsaugos priemonės: ChatGPT, verslo sprendimai ir geroji praktika

ChatGPT ir kitos dirbtinio intelekto platformos siūlo įvairias saugumo funkcijas, kurios gali padėti organizacijoms sumažinti duomenų rizikos veiksnius. Nors nė viena sistema negali garantuoti visiško saugumo, šių priemonių taikymas gali žymiai padidinti duomenų apsaugos lygį.

Vartotojo lygio kontrolės priemonės

Net naudodami standartinę ChatGPT versiją, vartotojai gali išjungti pokalbių istorijos funkciją, taip sumažindami duomenų išsaugojimo riziką. OpenAI taip pat leidžia vartotojams atsisakyti dalyvauti modelių mokyme, tokiu būdu ribojant jų duomenų panaudojimą kitais tikslais.

Kiekvienas vartotojas turėtų įjungti dviejų faktorių autentifikavimą savo paskyrai, taip apsaugodamas prieigą prie ankstesnių pokalbių ir sumažindamas neteisėtos prieigos riziką.

Platformos lygio (Enterprise) kontrolės priemonės

ChatGPT Enterprise siūlo daug pažangesnių saugumo kontrolių, specialiai pritaikytų verslo poreikiams. Šis sprendimas atitinka BDAR reikalavimus ir turi SOC 2 atitikties sertifikatą – tai reiškia, kad platforma laikosi griežtų saugumo, prieinamumo ir konfidencialumo standartų.

Administratoriaus valdymo skydeliai leidžia organizacijoms stebėti ir valdyti, kaip darbuotojai naudoja platformą. Jie gali centralizuotai kontroliuoti prieigos teises, sekti naudojimą ir nustatyti saugumo politikas visoje organizacijoje.

OpenAI generalinis direktorius Sam Altman pabrėžė Enterprise versijos saugumo aspektus: "Mes sukūrėme ChatGPT Enterprise specialiai galvodami apie verslo duomenų saugumą – jūsų duomenys nebus naudojami mūsų modelių mokymui, o visiškas duomenų šifravimas ir išplėstinės saugumo funkcijos užtikrina jūsų intelektinės nuosavybės apsaugą."

Techninės kontrolės priemonės

Išplėstinis šifravimas užtikrina, kad duomenys būtų apsaugoti tiek perduodant, tiek saugant. Prieigos valdymo sistemos leidžia organizacijoms nustatyti, kas gali pasiekti kokią informaciją ir kaip ji gali būti naudojama.

Audito žurnalai suteikia detalų dirbtinio intelekto naudojimo sekimą, leidžiantį organizacijoms identifikuoti potencialius saugumo pažeidimus ir netinkamą naudojimą. Be to, duomenų rezidencijos parinktys leidžia organizacijoms nurodyti, kuriuose geografiniuose regionuose jų duomenys bus saugomi – tai ypač svarbu reguliuojamoms pramonės šakoms ir tarptautinėms įmonėms.

Alternatyva viešoms dirbtinio intelekto platformoms yra privačių LLM diegimas, pavyzdžiui, per Azure OpenAI, AWS Bedrock ar panašias paslaugas, kurios siūlo didesnes kontrolės galimybes ir duomenų izoliaciją.

ChatGPT nemokamos ir mokamos versijos saugumo palyginimas

Nemokamai ir mokamai versijai būdingi esminiai skirtumai, kurie gali nulemti jų tinkamumą verslo naudojimui:

  • Duomenų naudojimas: Nemokamai versijai – duomenys gali būti naudojami modelių mokymui; Enterprise versijai – jokio duomenų naudojimo modelių mokymui.
  • Pokalbių istorija: Nemokamai versijai – įjungta pagal nutylėjimą; Enterprise versijai – išjungta pagal nutylėjimą.
  • Atitiktis: Nemokamai versijai – ribota; Enterprise versijai – BDAR atitiktis, SOC 2 sertifikacija.
  • Administravimo kontrolė: Nemokamai versijai – nėra; Enterprise versijai – išsamios valdymo ir stebėjimo galimybės.
  • Duomenų izoliacija: Nemokamai versijai – ribota; Enterprise versijai – pagerinta su dedikuota infrastruktūra.

Net ir su visomis šiomis saugumo kontrolėmis, organizacijos turėtų pripažinti, kad visada išlieka tam tikra rizika – nėra 100% saugios technologijos.

Politika, atitiktis ir organizacinės atsakomybės

Dirbtinio intelekto diegimas įmonėje reikalauja ne tik technologinių sprendimų, bet ir aiškios politikos bei organizacinės struktūros, užtikrinančios atsakingą ir saugų šių įrankių naudojimą.

Aiškios dirbtinio intelekto naudojimo politikos sukūrimas yra pirmasis žingsnis efektyviam rizikos valdymui. Ši politika turėtų apibrėžti:

  • Kokie dirbtinio intelekto įrankiai yra patvirtinti organizacijos naudojimui
  • Kokių tipų duomenis galima įkelti į šias platformas
  • Kas turi teisę naudoti dirbtinio intelekto įrankius ir kokiems tikslams
  • Kaip turi būti tvarkomi dirbtinio intelekto sugeneruoti rezultatai
  • Kokios yra pasekmės nesilaikant nustatytų gairių

Duomenų klasifikacija yra būtina norint nustatyti, kokia informacija gali būti dalijamasi su dirbtinio intelekto platformomis. Organizacijos turėtų sukurti aiškią duomenų klasifikavimo sistemą, kuri padėtų darbuotojams identifikuoti skirtingų jautrumo lygių informaciją:

  • Vieša informacija: Gali būti laisvai dalijamasi su dirbtinio intelekto įrankiais
  • Vidinė informacija: Gali būti dalijamasi tik su patvirtintais, saugiais dirbtinio intelekto sprendimais
  • Konfidenciali informacija: Turėtų būti dalijamasi tik su aukščiausio lygio saugumo dirbtinio intelekto platformomis ir tik esant būtinybei
  • Slapta informacija: Niekada neturėtų būti įkeliama į jokias dirbtinio intelekto platformas

Europos duomenų apsaugos pareigūnė (EDPS) Wojciech Wiewiórowski pabrėžia: "Organizacijos privalo atlikti išsamų poveikio duomenų apsaugai vertinimą (DPIA) prieš diegdamos bet kokius dirbtinio intelekto sprendimus, kurie apdoroja asmens duomenis. Tai ne tik teisinis reikalavimas pagal BDAR, bet ir strateginis įrankis rizikos valdymui."

Tarp duomenų, kurie niekada neturėtų būti dalijami su viešais dirbtinio intelekto įrankiais, yra:

  • Asmens duomenys, įskaitant klientų ir darbuotojų informaciją
  • Finansiniai duomenys ir banko rekvizitai
  • Prekybos paslaptys ir neviešinta intelektinė nuosavybė
  • Sveikatos informacija ir kiti specialių kategorijų duomenys
  • Teisiškai privilegijuota informacija
  • Įmonės strateginiai planai ir neskelbtini vidaus dokumentai

Incidentų valdymas – ką daryti, jei duomenys nutekėjo į viešą dirbtinį intelektą

Net ir geriausiai pasiruošusiose organizacijose gali įvykti saugumo incidentai. Turėti aiškų incidentų valdymo planą yra būtina:

  1. Identifikavimas: Nustatykite, kokie duomenys buvo atskleisti ir potencialią žalos apimtį.
  2. Pranešimas: Informuokite atitinkamus vidaus skyrius (IT saugumas, teisės skyrius, vadovybė).
  3. Sušvelninimas: Imkitės veiksmų sustabdyti tolesnį duomenų atskleidimą, įskaitant kreipimąsi į dirbtinio intelekto platformos teikėją dėl duomenų pašalinimo.
  4. Susisiekimas su tiekėju: Kreipkitės į dirbtinio intelekto platformos teikėją dėl duomenų ištrynimo iš jų serverių.
  5. Pranešimas institucijoms: Jei būtina pagal BDAR ar kitus reglamentus, praneškite duomenų apsaugos institucijoms per 72 valandas.
  6. Komunikacija su paveiktais asmenimis: Informuokite asmenis, kurių duomenys galėjo būti pažeisti.
  7. Prevencija: Peržiūrėkite ir atnaujinkite politikas, kad išvengtumėte panašių incidentų ateityje.

Praktiniai patarimai saugiam dirbtinio intelekto naudojimui verslo operacijose

Dirbtinio intelekto naudojimas gali žymiai pagerinti verslo procesus, tačiau svarbu tai daryti saugiai ir atsakingai. Štai praktinės rekomendacijos organizacijoms:

  • Niekada neteikite konfidencialios ar asmens informacijos viešiems dirbtinio intelekto įrankiams, nebent naudojate įmonei pritaikytus, saugius sprendimus.
  • Visada naudokite organizacijos patvirtintas paskyras ir kanalus (ne asmenines prisijungimo priemones).
  • Išjunkite pokalbių istoriją ir modelių mokymą, kai tai įmanoma.
  • Naudokite dviejų veiksnių autentifikavimą ir stiprius slaptažodžius visoms dirbtinio intelekto platformų paskyroms.
  • Reguliariai švieskite darbuotojus apie dirbtinio intelekto rizikas ir saugaus naudojimo praktikas.
  • Apsvarstykite privačių/vietinių dirbtinio intelekto sprendimų diegimą ypač jautriems darbams.
  • Sukurkite aiškų procesą, kaip peržiūrėti ir patvirtinti dirbtinio intelekto generuotą turinį prieš jį naudojant verslo sprendimams.
  • Įdiekite duomenų praradimo prevencijos (DLP) įrankius, kurie gali aptikti ir blokuoti bandymus dalintis jautria informacija su išorinėmis platformomis.
  • Reguliariai atnaujinkite dirbtinio intelekto naudojimo politikas atsižvelgiant į technologijų pokyčius ir besiformuojančias rizikas.
  • Paskirti "dirbtinio intelekto valdymo komitetą", atsakingą už dirbtinio intelekto naudojimo priežiūrą organizacijoje.

Visų svarbiausia – išlaikyti balansą tarp inovacijų ir saugumo.

A

A


Lietuvos kibernetinio saugumo centras primena: "Dirbtinis intelektas suteikia milžiniškų galimybių verslui, tačiau atsakinga jo integracija turi apimti ne tik technologinius aspektus, bet ir išsamų rizikos valdymą bei žmogiškojo faktoriaus švietimą."

Dirbtinio intelekto saugumas turėtų būti integruotas į bendrą organizacijos kibernetinio saugumo strategiją, o ne traktuojamas kaip atskiras elementas. Tai užtikrina nuoseklų požiūrį į duomenų apsaugą visoje organizacijoje.

Apibendrinimas

ChatGPT ir kiti generatyviniai dirbtinio intelekto sprendimai siūlo verslui neįtikėtiną efektyvumą ir inovacijų galimybes, tačiau įmonių duomenų dalijimasis su šiomis platformomis kelia realias saugumo problemas. Organizacijos privalo subalansuoti technologinius privalumus su potencialiomis rizikomis, susijusiomis su konfidencialios informacijos apsauga.

Proaktyvios politikos formavimas, technologinių saugumo priemonių įdiegimas ir nuolatinis darbuotojų švietimas yra esminiai elementai užtikrinant saugų dirbtinio intelekto naudojimą. Taikant tinkamas kontrolės priemones, pasirenkant atitinkamus sprendimus kiekvienam duomenų jautrumo lygiui ir reguliariai peržiūrint bei atnaujinant saugumo praktikas, organizacijos gali gerokai sumažinti riziką.

Svarbu suprasti, kad dirbtinio intelekto saugumo užtikrinimas yra ne vienkartinis projektas, o nuolatinis procesas, ypač atsižvelgiant į greitą technologijų vystymąsi. Organizacijos turėtų reguliariai pervertinti savo dirbtinio intelekto politikas ir saugumo priemones.

Rekomenduotinas pirmas žingsnis būtų atlikti išsamų dirbtinio intelekto rizikos vertinimą jūsų organizacijoje, identifikuojant potencialias rizikas ir galimybes. Pasikonsultuokite su IT ir teisės ekspertais prieš integruodami naujus dirbtinio intelekto įrankius į jūsų verslo procesus, taip užtikrindami, kad technologinės naujovės nepakenktų jūsų duomenų saugumui ir atitikčiai.

Dažniausiai užduodami klausimai

Ar saugu įkelti jautrią įmonės informaciją į ChatGPT?

Paprastai nerekomenduojama – nebent naudojate specialiai apsaugotus įmonėms skirtus sprendimus ir taikote griežtas vidines kontrolės priemones. Viešosios versijos gali išsaugoti ir naudoti jūsų duomenis modelių mokymui.

Koks skirtumas tarp ChatGPT nemokamos ir įmonėms skirtos versijos duomenų saugumo atžvilgiu?

Įmonėms skirtos versijos siūlo stipresnę duomenų apsaugą, administravimo kontrolę ir paprastai nenaudoja jūsų duomenų mokymui, kitaip nei nemokama/vieša versija.

Kokia rizika kyla, jei darbuotojai naudoja asmeninius ChatGPT paskyras darbui?

Kyla didelė neteisėto dalijimosi duomenimis rizika, atitikties pažeidimų galimybė ir organizacijos kontrolės praradimas – tai turėtų būti draudžiama įmonės politikoje.

Kaip įmonės gali apsaugoti savo duomenis naudodamos dirbtinio intelekto įrankius?

Įgyvendinant aiškią politiką, naudojant įmonei pritaikytus ar vietinius dirbtinio intelekto sprendimus, reguliariai šviečiant darbuotojus ir taikant technines kontrolės priemones, tokias kaip DLP ir prieigos apribojimai.

Ką daryti, jei įmonės duomenys buvo netyčia pateikti viešai dirbtinio intelekto platformai?

Nedelsiant informuokite IT/saugumo skyrių, peržiūrėkite dirbtinio intelekto platformos duomenų pašalinimo politiką ir apsvarstykite, ar reikalingas pranešimas duomenų apsaugos institucijoms.

Tags:

#chatgpt#duomenų saugumas#dirbtinis intelektas#ai automatizavimas#procesu automatizavimas#llm#rag#verslas#duomenų apsauga
Visi Straipsniai