Wykorzystanie inteligencji maszynowej w biznesie jest już wymogiem. AI pomaga optymalizować procesy i pozwala zaoszczędzić czas. Należy jednak zachować ostrożność, aby podczas integracji narzędzi AI z aplikacjami takimi jak Slack, Google Docs czy HubSpot nie utracić kontroli nad własnymi zasobami. Jak to osiągnąć? W pięciu punktach wyjaśniają Adriana Zalewska-Werra i Sandra Winiecka z kancelarii DSK.
Niewłaściwie skonfigurowane dostępy dla AI w przedsiębiorstwie mogą prowadzić do problemów. Jeśli się o nie nie zatroszczysz, istnieje rzeczywiste niebezpieczeństwo wycieku wrażliwych danych.
Samo naruszenie danych to jedno, drugą stroną zagadnienia są ewentualne sankcje za to. Ale to nie wszystko.
Poniżej pięć zasad bezpieczeństwa, które rekomendują ekspertki, oraz potencjalne konsekwencje ich ignorowania.
Na co zwracać uwagę podczas implementacji AI, aby nie utracić kontroli nad dokumentami firmowymi, folderami, plikami i komunikacją? Zanim odpowiemy na to pytanie, wyobraź sobie, jak AI wspiera w pracy. Następnie sprawdź, jak zabezpieczyć uprawnienia, dbać o polityki, procedury i obowiązki informacyjne.
Zobacz też: Obejrzałem “przyszłość sprzedaży” z AI. Polski start-up generuje jednak wiele znaków zapytania
Tak AI przekształca naszą pracę
Wyobraź sobie sytuację, w której pilnie musisz przygotować skomplikowany raport, a niezbędne informacje są rozproszone w setkach dokumentów i wiadomości e-mail. Zamiast tracić godziny na manualne wyszukiwanie, wystarczy, że zapytasz sztuczną inteligencję.
AI, która ma dostęp do korporacyjnej “wiedzy”, momentalnie przetworzy wszystkie informacje i dostarczy gotowy raport. To duża oszczędność czasu, prawda?
To jak posiadanie idealnego asystenta, który nigdy nie jest zmęczony, nie pomija detali i zawsze jest na bieżąco. Dodatkowo “rozumie” kontekst dokumentów i potrafi je interpretować w sposób, w jaki nie zawsze bylibyśmy w stanie to zrobić samodzielnie. Przykładowo, AI może zidentyfikować informacje, które przemęczonemu pracownikowi działającemu pod presją czasu mogłyby umknąć podczas tworzenia raportu.
Zautomatyzowanie takiego działania dzięki wykorzystaniu AI przekłada się na ograniczenie ryzyka wystąpienia błędów, co w kontekście złożonych projektów, w których bierze udział wiele osób, może być bezcenne.
Taki asystent w postaci narzędzia AI pozwala zrewolucjonizować sposób, w jaki realizujemy codzienne obowiązki — nie tylko oszczędzamy czas, ale też redukujemy ilość nużących, powtarzalnych czynności. Integrując nasze wewnętrzne systemy z takimi rozwiązaniami, AI widzi i przetwarza wszystkie informacje w takim samym zakresie jak użytkownik. Szybko przetworzy wszystkie dane i pomoże w opracowaniu raportu, ale co jeśli coś pójdzie źle?
Zanim AI stanie się naszym (jeszcze większym) wsparciem w codziennych zadaniach, warto postawić sobie kluczowe pytania: czy nasze zasoby firmowe, do których AI będzie mieć dostęp, są odpowiednio zorganizowane? Czy każdy ma dostęp tylko do tych danych, do których powinien? Co, jeśli AI natknie się na pliki o nazwach typu “Ostateczna wersja (naprawdę finalna) V.192872”? Nie chodzi tylko o porządek w dokumentach, ale też o odpowiednie zabezpieczenie danych, zgodność z regulacjami RODO i ochronę tajemnicy przedsiębiorstwa — o tym należy pamiętać, żeby korzystanie z AI było nie tylko efektywne, ale i bezpieczne.
Zobacz też: Kryzys AI? Jaki kryzys? Ważna firma uważa, że zapotrzebowanie na chipy będzie rosło
Jak i czy nadzorować AI?
Udzielając dostępu do narzędzi AI, powinniśmy pamiętać, że zakres ten jest identyczny z uprawnieniami użytkownika — model widzi dokładnie te same zasoby, do których dostęp posiada dany pracownik. Co to oznacza w praktyce? Wykorzystywane narzędzie AI będzie respektowało przyznane użytkownikowi uprawnienia. Kłopot może pojawić się wtedy, gdy te uprawnienia są w firmie źle skonfigurowane — w takim przypadku niedozwolony dostęp do informacji staje się możliwy. Warto zatem przemyśleć, czy pliki, które są niezbędne do wykonania zadania, zostały udostępnione jedynie tym osobom, które są odpowiedzialne za jego realizację. W przeciwnym razie — łatwo można utracić kontrolę nad tym, do czego dostęp ma AI. Co można zrobić?
Po pierwsze uporządkowanie danych
W pierwszej kolejności — właściwie uporządkować foldery i pliki zgromadzone w firmie, a dostęp do nich — monitorować. Administratorzy systemów mogą ograniczyć dostęp AI do konkretnych folderów czy dysków, zamiast udostępniać zasoby przypisane do całego konta. Zanim zdecydujesz się na uruchomienie integracji, zrób dokładne porządki w systemach, ponieważ jeśli AI ma dostęp do nieuporządkowanych folderów, w których są strategie biznesowe, listy kontrahentów, prototypy produktów czy kody źródłowe, to właśnie przekazujesz te informacje sztucznej inteligencji na dłoni, nawet jeśli AI ma tylko pomóc w sporządzeniu raportu.
Po drugie audyt systemów
Przed integracją warto przeprowadzić rzetelny audyt używanych systemów, istniejących procedur, a także przyznanych dostępów. AI nie jest w stanie odróżnić, które dane są poufne, dlatego szczególnym niebezpieczeństwem będzie np. udostępnianie plików dla nieograniczonego grona odbiorców, tj. każdemu, kto posiada link. Jeśli link do pliku jest udostępniony bez odpowiednich ograniczeń, AI uzyska dostęp do tych treści, nawet jeśli nie była do nich uprawniona. Zatem w sytuacji, gdy w przedsiębiorstwie dane nie są odpowiednio ustrukturyzowane lub zasady kontroli dostępu do materiałów, dokumentów czy informacji nie zostały w pełni wdrożone, istnieje realne niebezpieczeństwo wycieku wrażliwych danych czy informacji stanowiących tajemnicę przedsiębiorstwa, które często są zabezpieczone karami umownymi naszych partnerów biznesowych.
Po trzecie ochrona danych osobowych
Co więcej, wiele narzędzi, z których korzystamy w firmach, przechowuje nie tylko dane firmowe, ale też dane osobowe: pracowników, klientów, kontrahentów czy kandydatów do pracy. Pomyśl o CV w folderach rekrutacyjnych, umowach z danymi kontaktowymi klientów czy notatkach ze spotkań zawierających imiona i nazwiska.
Niepoprawnie skonfigurowane uprawnienia do systemów wewnętrznych w momencie integracji z AI mogą sprawić, że te dane osobowe staną się dostępne dla podmiotów, które nie mają do nich prawa dostępu. To stanowi realne zagrożenie dla ochrony danych osobowych, co z kolei może prowadzić do poważnych konsekwencji — zarówno prawnych, jak i finansowych. W świetle RODO Twoja firma występuje tu w roli administratora danych, natomiast dostawca AI staje się podmiotem przetwarzającym (procesorem). Ta relacja niesie ze sobą konkretne wymogi formalne, których pominięcie naraża firmę na ryzyko niezgodności z przepisami i jest najprostszą drogą do wystąpienia incydentu. Warto rozważyć podpisanie umowy powierzenia przetwarzania danych osobowych, przeprowadzenie rzetelnej analizy ryzyka i w razie potrzeby — przeprowadzenie oceny skutków dla ochrony danych. Wprowadzenie integracji z AI wymaga również aktualizacji Twoich wewnętrznych dokumentów RODO — zadbaj o polityki, procedury i klauzule informacyjne.
Po czwarte cyberbezpieczeństwo
Korzystając z narzędzi AI, które pełnią w organizacjach rolę “silnika” automatyzacji: pomagają analizować dane i wspierają podejmowanie decyzji, warto jeszcze pamiętać o kwestiach związanych z cyberbezpieczeństwem. Systemy AI mogą stać się nową płaszczyzną ataku hakerów, którzy przełamią zaimplementowane zabezpieczenia i uzyskają dostęp do chronionych danych. Dlatego też podejście do bezpiecznego korzystania z systemów AI powinno być kompleksowe — nie może obejmować jedynie kwestii bezpieczeństwa samego narzędzia, ale powinno dotyczyć całego ekosystemu: od infrastruktury po dane.
Dodatkowo, jeśli organizacja jest zobowiązana do wdrożenia wymagań wynikających z rozporządzenia DORA lub dyrektywy NIS2, musisz pamiętać o tym, że na gruncie tych regulacji definicja incydentu jest wyjątkowo szeroka. Incydent to każde zdarzenie, które powoduje (lub może spowodować) przerwę albo nieprawidłowe działanie usług cyfrowych.
W tym kontekście, oprócz “typowych” ataków phishingowych czy ransomware, incydentami mogą być także awarie systemów, błędy konfiguracji, utrata łączności z usługą chmurową czy ataki fizyczne — również w odniesieniu do wykorzystywanych w organizacji narzędzi AI. Dla firm wdrażających AI oznacza to zmianę sposobu myślenia: nawet świetne narzędzie, które wspiera firmę, może powodować incydenty, jeśli “zawiesi” je błąd integracji, awaria dostawcy albo przerwa w dostępie do danych.
Aby zminimalizować ryzyko wystąpienia zagrożeń związanych z cyberbezpieczeństwem wykorzystywanych narzędzi AI, warto rozważyć zmianę podejścia i nie traktować AI jedynie jako dodatkowej funkcjonalności ułatwiającej wykonywanie codziennych zadań.
Po piąte obiektywna ocena ryzyk i korzyści
Należy rozważyć, czy taki system nie powinien być traktowany także jako zasób krytyczny. Jeśli narzędzie AI ma dostęp do chronionych danych, a przy jego wsparciu podejmujemy kluczowe decyzje, to może należy je chronić podobnie jak tożsamości, klucze kryptograficzne czy systemy transakcyjne? Może okazać się także, że dotychczas stosowane klasyczne zabezpieczenia ICT nie będą wystarczające i trzeba będzie je uzupełnić o zabezpieczenia wynikające z zagrożeń specyficznych dla wykorzystywania narzędzi AI.
Integracja AI z firmowymi zasobami może przynieść wiele korzyści — od oszczędności czasu po redukcję błędów i lepszą organizację pracy. Jednak im bardziej zaawansowane stają się technologie, tym większą uwagę musimy poświęcić ochronie danych osobowych, tajemnicy przedsiębiorstwa i cyberbezpieczeństwu — to kluczowe kwestie, na które należy zwrócić szczególną uwagę przed włączeniem funkcji AI w firmowych narzędziach.
Rozważne podejście do implementacji AI pozwala na maksymalizację korzyści przy zachowaniu pełnego komfortu operacyjnego. Solidna analiza ryzyk to nie przeszkoda, lecz inwestycja, która umożliwia firmie bezpieczne i dynamiczne skalowanie innowacyjnych rozwiązań.
Autorki: radca prawny Adriana Zalewska-Werra i radca prawny Sandra Winiecka z zespołu nowych technologii w DSK Kancelaria
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Google.