Ako na to: Bezpečná adopcia GenAI vo firme

Špecialisti na kybernetickú bezpečnosť musia zvládnuť vyvážiť príležitosti, ktoré generatívna umelá inteligencia (GenAI) ponúka, s rizikami, ktoré sa s ňou spájajú. To sa týka najmä rizík v oblasti bezpečnosti dát a ochrany duševného vlastníctva. Na aké okolnosti musia odborníci na kyberbezpečnosť pamätať, aby mohli úspešne riešiť výzvy spojené s GenAI?

Organizácie, ktoré ako hlavnú hnaciu silu pre svoje inovácie uprednostňujú optimalizáciu nákladov, už teraz nastavujú štandard, ako dané výzvy zvládať. Podľa štúdie SoftwareOne spoločnosti s robustnou IT základňou využívajú GenAI spôsobom, ktorému sa tradičné použitie AI nemôže rovnať. 27 % z nich ju využíva na účely zabezpečenia dát a ochrany súkromia. Takýto pokrok však nesie so sebou aj zvýšené riziko kyberbezpečnostných hrozieb.

Aby organizácie tieto riziká zmiernili, potrebujú mať nastavené komplexné systémy riadenia, pokročilé protokoly kybernetickej bezpečnosti a pripravené jasné pokyny pre zamestnancov, vrátane procesov pre fenomén spojený s používaním AI, ako je Bring Your Own AI (BYO AI) alebo najnovšie - s dostupnosťou flexibilného modelu pay-as-you go pre Microsoft 365. Spoločnosti s vyspelými IT stratégiami, vrátane zabezpečenia postavenom na princípe nulovej dôvery a automatizovaného sledovania rizík ukazujú, že efektívne prijatie GenAI závisí od robustných systémov a procesov, ktoré minimalizujú únik dát a zaisťujú dodržiavanie predpisov. Zrýchlené tempo, akým tieto podniky plánujú v nasledujúcich dvoch rokoch rozšíriť využitie GenAI pre bezpečnosť a ochranu súkromia, zdôrazňuje naliehavú potrebu riešiť tieto problémy už teraz.

Ako je možné vo firmách bezpečne využívať GenAI?

Podniky môžu GenAI využívať bezpečne, ak sa zamerajú na robustné riadenie a starostlivo zladené bezpečnostné opatrenia. Štúdia zdôrazňuje, že organizácie, ktoré uprednostňujú optimalizáciu nákladov s cieľom podporiť inovácie, sú v tomto smere popredu. Polovica (50 %) z nich už GenAI využíva na vytváranie originálneho obsahu, ako sú reporty a zhrnutia, zatiaľ čo ďalšie firmy ju používajú na plánovanie pracovísk (31 %), samoobslužné platformy (30 %) a chatboty (29 %). Tieto prípady použitia poukazujú na potenciál významného zvýšenia efektivity, ale iba za predpokladu, že sú zavedené vhodné bezpečnostné opatrenia.

Aby neboli prostredníctvom nástrojov GenAI ohrozené citlivé informácie, je kľúčové zaviesť prísne zásady zadávania a používania dát. Okrem toho sú pre udržanie bezpečného prostredia nevyhnutné investície do opatrení kybernetickej bezpečnosti, ako sú automatizované systémy monitorovania a správa identít. Spoločnosti, ktoré dosiahli významný pokrok v budovaní svojho IT základu, napríklad tie, ktoré zavádzajú architektúry postavené na princípe nulovej dôvery a adoptujú zásady riadenia cloudu, ukazujú, že bezpečné používanie GenAI vyžaduje nielen technologickú, ale aj procesnú pripravenosť. Podľa výsledkov štúdie plánuje 30 % podnikov v nasledujúcich dvoch rokoch rozšíriť využitie GenAI pre samoobslužné platformy a 27 % pre zabezpečenie dát a ochranu súkromia. Aby spoločnosti dokázali držať krok so zavádzaním GenAI, musia zaistiť dostatočne robustné bezpečnostné opatrenia a zásady.

Aké problémy musia riešiť dodávatelia GenAI?

Pri výbere nástrojov a softvéru s GenAI musíte zabezpečiť, aby boli vyriešené zásadné problémy týkajúce sa bezpečnosti dát, ochrany súkromia, škálovateľnosti a transparentnosti. Obavy pri používaní GenAI v organizáciách bývajú zvyčajne dvojakého druhu - buď sa týkajú informovanosti používateľov o bezpečnosti alebo používania citlivých údajov a ich možného úniku

V prvom rade je teda potrebné, aby spoločnosť poučila svojho zamestnanca o tom, aké dôsledky má odosielanie citlivých a osobných údajov do nástrojov AI alebo GenAI, či už budú slúžiť na trénovanie modelov alebo na všeobecné použitie. Je nutné si uvedomiť, že nariadenie GDPR a zákon EÚ o umelej inteligencii (AI Act) okrem iného stanovujú, že dotknuté subjekty musia udeliť výslovný súhlas k tomu, aby ich údaje mohli byť vložené do nástrojov umelej inteligencie.

Po druhé, údaje odoslané do AI alebo GenAI nástroja za účelom ich využitia nemožno vymazať, čím narážame na ďalšie právne úpravy týkajúce sa ochrany súkromia a dát. Aj keď nariadenie GDPR ustanovuje „právo byť zabudnutý“ pri použití osobných údajov, v prípade ich použitia v nástrojoch AI nie je možné na žiadosť vlastníka údaje odstrániť. Jediným spôsobom, ako tomu zabrániť, je zabezpečiť, aby nástroj nevyužíval žiadne osobné údaje, ako sú mená, adresy a rôzne formy identity. Tak bude zabezpečený v súčasnej dobe najlepší možný (respektívne najbezpečnejší) výsledok.

Ako úroveň inovačnej vyspelosti ovplyvňuje prístup organizácie k riešeniu problémov spojených s GenAI, jej adopciou a výberom dodávateľa?

Úroveň vyspelosti IT a optimalizácie nákladov hrá kľúčovú rolu v tom, ako efektívne dokáže organizácia riešiť výzvy a príležitosti, ktoré GenAI ponúka. Náš výskum poskytuje pohľad na „optimalizovaných inovátorov“, teda spoločnosti, ktoré dosiahli významný pokrok v modernizácii svojich základov IT a ako prioritu vnímajú optimalizáciu nákladov na IT. Tieto spoločnosti sú popredu v oblasti bezpečného a efektívneho využívania GenAI. Disponujú zavedenou infraštruktúrou a procesmi, ktoré zmierňujú riziká akými sú úniky dát a kybernetické hrozby, a súčasne využívajú GenAI pre transformačné aplikácie, ako sú napríklad nástroje na zabezpečenie dát (27 %), samoobslužné platformy (30 %) a aplikácie na plánovanie pracovných miest (31 %). Ich silný dôraz na opatrenia kybernetickej bezpečnosti, napríklad spomínaná architektúra postavená na princípe nulovej dôvery a automatizovaný monitoring rizík, ukazuje, ako vyspelá stratégia umožňuje organizáciám zaviesť GenAI zodpovedne a vo veľkom rozsahu.

Na druhej strane „ašpirujúci inovátori“ síce robia pokroky, ale stále sa v modernizácii a riadení IT stretávajú s nedostatkami. Aj keď tieto organizácie začínajú využívať možnosti ponúkané GenAI, musia sa zamerať na posilnenie svojich základných procesov, aby zmiernili riziká a zaistili súlad s predpismi. Medzi tieto procesy patrí dôkladné školenie zamestnancov o bezpečných postupoch práce s GenAI, zavedenie pokročilejších protokolov kybernetickej bezpečnosti a zdokonalenie zásad riadenia. Pre tieto organizácie je obzvlášť dôležitý výber dodávateľa – aby totiž preklenuli nedostatky vo svojich schopnostiach, spoliehajú sa na externé odborné znalosti. Práve dodávatelia, ktorí ponúkajú na mieru šitú podporu a integračné riešenia, môžu byť cennými partnermi pomáhajúcimi ašpirujúcim inovátorom pokročiť v ich vyspelosti a plne využiť potenciál GenAI.

Najväčším výzvam pri bezpečnom zavádzaní GenAI čelia „začínajúci inovátori“, čo sú spoločnosti nachádzajúce sa v prvej fáze modernizácie svojho IT a optimalizácie nákladov. Tieto organizácie sa musia najprv zamerať na vytvorenie základných IT systémov a riadenia a až potom môžu plne preskúmať potenciál GenAI. K ich hlavným prioritám by malo patriť posilnenie infraštruktúry kybernetickej bezpečnosti, zavedenie základných zásad používania AI a GenAI a tiež zapojenie dodávateľov, ktorí im môžu poskytnúť škálovateľné, pripravené riešenia. Po odstránení týchto základných nedostatkov môžu začínajúci inovátori začať integrovať GenAI do svojej prevádzky bez toho, aby sa vystavovali zbytočnému riziku.

Cesta k bezpečnej a efektívnej adopcii GenAI vo výsledku závisí od schopnosti organizácie zladiť svoju úroveň vyspelosti s nevyhnutným riadením, zabezpečením a podporou zo strany dodávateľa. Zatiaľ čo „optimalizovaní inovátori“ sú vzorom toho, čo je možné s moderným IT základom dokázať, ostatné spoločnosti môžu dosiahnuť postupný pokrok, ak sa zamerajú na škálovateľné a bezpečné stratégie adopcie. Kľúčom k maximalizácii prínosov GenAI a zároveň k zmierneniu súvisiacich rizík je prispôsobenie prístupu úrovni vyspelosti danej organizácie.