Słabość praktyk zarządzania sztuczną inteligencją stwarza coraz większe ryzyko naruszenia bezpieczeństwa danych – ostrzega Moody’s Rating w najnowszym raporcie z badania ankietowego na temat cyberbezpieczeństwa.
Duża liczba firm i organizacji nie ma ustalonych zasad zarządzania bezpiecznym użytkowaniem nowych narzędzi sztucznej inteligencji w miejscu pracy. Dzieje się tak pomimo rutynowego wykorzystywania chatbotów AI w codziennym życiu i coraz większej integracji AI z procesami biznesowymi – stwierdza raport. Bez restrykcji pracownicy mogą nieumyślnie, przez nieuwagę udostępnić wrażliwe lub prawnie zastrzeżone dane na publicznych platformach AI, zwiększając prawdopodobieństwo nieuprawnionego użycia danych, utraty własności intelektualnej i szkody reputacyjnej. Udostępnienie zastrzeżonej informacji chatbotom takim jak ChatGPT należący do OpenAI albo Gemini Google’a z wysokim prawdopodobieństwem ujawnia wrażliwe dane podmiotom postronnym, potencjalnie naruszając wewnętrzną politykę postępowania z danymi albo umowę o poufności, lub prowadząc do niezamierzonego wycieku danych, zwłaszcza jeśli narzędzie AI gromadzi albo uczy się na treściach wprowadzonych przez użytkownika.
Niemal jedna czwarta respondentów (22%) ujawniła, że nie prowadzi polityki zakazującej personelowi udostępniania wewnętrznych i zastrzeżonych danych firmy publicznie dostępnym chatbotom AI. W Ameryce Płn. 80% respondentów wprowadziło takie restrykcje.
Cyberataki na firmy nasilały się w ciągu ostatnich 10 lat, ale po szczytowym 2020 r. ich częstotliwość nieco zmalała. Jednak w miarę upowszechniania się cyfryzacji i nowych technologii takich jak genAI dotkliwość cyberataków będzie coraz silniejsza, a koszta wyższe.
Innym powodem do niepokoju naświetlonym w raporcie jest software podmiotów zewnętrznych, który zwiększa płaszczyznę ataku i dostarcza cyberprzestępcom więcej punktów wejścia do wykorzystania. Podczas gdy nowoczesne systemy IT często są uzależnione od skomplikowanych sieci zewnętrznych sprzedawców i dostawców, wiele organizacji nie dokonuje rygorystycznej oceny praktyk cyberbezpieczeństwa tych podmiotów albo nie zarządza ryzykami oprogramowania typu open-source, narażając na ataki swoje łańcuchy dostaw. Raport stwierdza jednak, że w reakcji na rosnące ryzyko rośnie liczba organizacji, które wymagają od swoich dostawców oprogramowania, aby posiadali cyberubezpieczenie, jeżeli ich pracownicy albo produkty mają dostęp do wewnętrznych systemów IT.
Pomimo eskalacji zagrożenia i coraz bardziej wyrafinowanych cyberataków, wiele organizacji nie stosuje konsekwentnie podstawowych środków cyberbezpieczeństwa, takich jak codzienne tworzenie kopii zapasowych i wieloczynnikowe uwierzytelnianie dostępu do sieci, co oznacza krytyczne zaniedbanie cyberhigieny.
AC
