Indtaster følsomme data i AI-værktøjer

En nylig undersøgelse fra sikkerhedsvirksomheden Harmonic afslører, at medarbejdere ofte indtaster følsomme oplysninger i generative AI-værktøjer som ChatGPT og Copilot. Det skriver Dark Reading i en artikel baseret på undersøgelsen, der konkluderer, at det udgør en betydelig risiko for virksomheder.

Analysen oplister den type af data, som Harmonic har opsnappet, der er indtastet:

• Kundedata (46 pct.) Medarbejdere indtaster ofte kundeoplysninger, såsom forsikringskrav, i AI-platforme for at effektivisere processer. Dette kan føre til eksponering af følsomme kundeoplysninger.
• Medarbejderdata (27 pct.): Oplysninger som præstationsvurderinger, ansættelsesbeslutninger og løndata bliver delt. Det kan kompromittere medarbejdernes privatliv.
• Juridiske og finansielle data (15 pct): Data relateret til salg, fusioner og finansielle transaktioner deles. Medfører risici for virksomheden.
• Sikkerhedsoplysninger (7 pct.) og følsom kode (6 pct.): En mindre andel, men dele af den slags oplysninger kan naturligvis føre til alvorlige sikkerhedsbrud.

Mekanismen er, at hver gang en bruger indtaster data i en AI-prompt eller AI-query, bliver informationen en del af modellens træningsdata. Hvis der ikke er passende datasikkerhed om den type oplysninger, eller man bruger en ikke-sikret version af AI-værktøjet, kan data potentielt tilgås senere gennem avancerede forespørgsler, sårbarheder eller hacks, fremgår det.

Rapporten kommer også med anbefalinger til, hvordan den slags kan undgås, men når der er mennesker involveret er det altid en svær øvelse, når balancen mellem sikkerhed, brugervenlighed og økonomi ikke er passende.

• Virksomheder bør implementere politikker, der forhindrer medarbejdere i at dele følsomme oplysninger med AI-værktøjer.
• Medarbejdere skal trænes i sikker brug af AI-platforme og gøres opmærksomme på potentielle risici.
• Implementering af data loss prevention (DLP)-værktøjer kan hjælpe med at overvåge og kontrollere, hvilke data der deles med AI-applikationer.

Metoden bag Harmonics undersøgelse

Harmonic har gennemført deres undersøgelse ved at analysere anonymiserede data fra organisationer, der bruger deres sikkerhedsløsninger. Undersøgelsen er baseret på en kombination af

• Analyse af brugsmønstre og hvordan medarbejdere interagerer med generative AI-værktøjer som ChatGPT, Copilot mv. Dette inkluderer analyse af tekst-input og den type oplysninger, der blev delt.
• Kategorisering af delte oplysninger efter følsomhed, såsom kundedata, medarbejderoplysninger, finansielle og juridiske data, sikkerhedsoplysninger og kode.
• Vurdering af de potentielle konsekvenser af, at følsomme data blev delt med AI-modeller, herunder risikoen for datalækager eller misbrug.
• Anonymisering og aggregering: Al information er anonymiseret og aggregeret, så organisationer eller medarbejdere, som der blev indtastet data om, ikke kunne identificeres.

Undersøgelsen har således givet indsigt i, hvilke typer data der oftest deles med AI-værktøjer, og hvilke brancher der er mest udsatte.

Det er med andre ord en interessant analyse, som på meget konkret vis matcher en af konklusionerne fra WEF nyligt publicerede rapport om at ”hurtig implementering af kunstig intelligens skaber nye sårbarheder”. I dette tilfælde kan man altså forestille sig, at medarbejdere har kastet sig over den brugervenlige del af AI i en forventning om, at deres arbejde kunne blive nemmere og mere effektivt. Men altså uden hensyn til sikkerheden.

Uden at have implementeret politikker om AI eller trænet medarbejderne i korrekt brug af AI, så opstår der risiko for åbninger i en virksomheds ellers effektive sikkerhedsskjold. En ny flanke er åbnet for cyberkriminelle.

Links:

https://www.darkreading.com/threat-intelligence/employees-sensitive-data...