Narůstající riziko pro firmy? Zaměstnanci si často ulehčují práci nástroji, které vedení nemá pod kontrolou
- V poslední době narůstá počet případů, kdy zaměstnanci neoprávněným způsobem využívají nástroje umělé inteligence.
- Často za tím stojí snaha ulehčit si práci a být celkově efektivnější.
- V některých případech však mohou tyto situace vést k situacím, kdy firma ztratí kontrolu nad svými daty.
Se stále rostoucím využíváním umělé inteligence ve firmách roste i množství zaměstnanců, kteří využívají takzvanou Shadow AI. Tento pojem označuje využívání neschválených AI nástrojů v práci. Typicky si tak lze představit situaci, kdy zaměstnanec používá své vlastní soukromé nástroje místo těch, které má firma zakoupené a schválené, pokud nějaké má. Případně pak do nich například zadává údaje, které nemá, nebo místo firemních účtů v nástrojích umělé inteligence používá své osobní.
Například podle průzkumu společnosti Microsoft provedeného loni ve Velké Británii využilo takzvanou Shadow AI 71 procent zaměstnanců, více než polovina ji pak využívá každý týden. Problémem je, že touto cestou může snadno dojít zejména k úniku citlivých dat. Při jejich zadání do volně dostupných AI nástrojů k nim získává přístup třetí strana, která je v bezplatných verzích běžně používá pro trénink svých modelů a informace se pak následně mohou dostat k jiným uživatelům. Stejně tak lze touto cestou snadno porušit například legislativu na ochranu osobních údajů. Podle zmiňovaného průzkumu Microsoftu však pouze třetina lidí uvedla, že by se možného úniku dat obávala.
Nárůst neoprávněného využívání AI nástrojů v pracovním prostředí pozoruje i bezpečností expert Daniel Król ze společnosti Alintrust, která se zabývá kyberbezpečností. „Shadow AI je dnes jedno z velmi často otevíraných témat. AI nástroje jsou dnes všudypřítomné. Zaměstnanci o nich čtou, zkouší je a přirozeně sahají po tom, co jim usnadní práci,“ uvádí.
Król zároveň potvrzuje, že společnost už řešila případy, kdy touto cestou firmě došlo například ke zmiňovanému úniku citlivých dat. „Typickým scénářem je, že zaměstnanec vloží do AI nástroje interní dokument k přepracování nebo shrnutí, aniž by věděl, jak nástroj nakládá s uloženými daty,“ popisuje.
Negativních důsledků zatím není moc
Situace, kdy dojde k přímému a viditelnému úniku dat, však jsou spíše vzácné, což však zároveň může celou věc do jisté míry bagatelizovat. „Mnoho situací k měřitelnému incidentu nevede, takže organizace nemají zpětnou vazbu, která by je přiměla systém přehodnotit. Absence incidentu se čte jako důkaz, že je vše v pořádku. Zpětná vazba je pak asymetrická: riziko je odložené a abstraktní přínos v aktuálním úkolu je okamžitý a konkrétní,“ vysvětluje šéfka AI adopce technologické společnosti Make Daria Hvížďalová.
I z výpovědí konkrétních dotázaných firem vyplývá, že se situací, kdy by jim kvůli využití Shadow AI přímo unikla citlivá data, se zatím nesetkali. Samotný trend využívání nepovolených však mnohé potvrzují. „S využíváním neschválených AI nástrojů se chtě nechtě setká asi většina technologických firem,“ domnívá se například ředitel softwarové společnosti Ackee Marek Přibáň.
Tlak na efektivitu versus bezpečnost
Pouze čistě zákazy však řešení situace nenabízí už jen proto, že mnoho lidí se k nepovoleným, a často i výkonnějším, AI nástrojům uchyluje, aby zvýšila svůj pracovní výkon, což se obecně v době umělé inteligence v celé řadě odvětví předpokládá. „Tlak na efektivitu vnímáme všichni a neustále musíme hledat rovnováhu mezi bezpečností a schopností rychle adoptovat nové nástroje. Pokud budou pravidla příliš restriktivní, lidé se mohou sami vydat směrem, který může být rizikovější než řízená adopce,“ doplňuje Přibáň.
S tím souhlasí i Martin Podval, technologický ředitel společnosti Oddin.gg. „Pokud firma po lidech chce vyšší efektivitu, ale zároveň jim nedá bezpečné a dostupné nástroje, sama si tím vytváří prostor pro Shadow AI. My se snažíme jít opačnou cestou. Pokud existuje nástroj, který lidem reálně pomáhá dělat práci rychleji nebo kvalitněji, chceme ho umět posoudit a v případě potřeby pořídit interně,“ uvádí.
Nabídnout, ne vše zakázat
Aby firmy zamezily využívání Shadow AI, je pro ně nejlepší poskytnout vlastní zakoupené nástroje umělé inteligence, které mohou zaměstnanci používat. „Pokud zaměstnanci nemají k dispozici firemní AI řešení, budou používat osobní. Klíčové jsou proto schválené nástroje s jasnými pravidly pro nakládání s daty,“ vysvětluje Król z Alintrust. Podle je také důležité vzdělávat, nikoliv zakazovat.
Potřebné je nalézt vhodný balanc. „Nejsme v přístupu k AI restriktivní, naopak chceme, aby ji lidé smysluplně využívali. Zároveň ale nechceme, aby její používání stálo jen na individuálních rozhodnutích každého zaměstnance. Máme proto firemně zajištěné nástroje, u kterých máme kontrolu nad nastavením bezpečnosti a ochrany dat. Zároveň pracujeme na formální AI policy, která pravidla používání AI ve firmě ještě jasněji ukotví,“ komentuje Podval z Oddin.gg.
Samozřejmostí pak musí být jistota, že z firemních nástrojů žádné citlivé informace neuniknou. „Pro svou práci vybíráme modely, kde nedochází ke zpracování důvěrných dat. Dále máme jasná omezení pro AI agenty, jak je spustit v bezpečném, izolovaném prostředí,“ říká generální ředitel společnosti ČMIS Václav Svátek.
