Jaký rozdíl udělá pár měsíců. Využití generativní umělé inteligence nyní do podniků proniklo skrze nástroje a platformy, jako jsou ChatGPT / DALL-E od OpenAI, Claude.ai od Anthropic, Stable Diffusion a další, a to očekávaným i neočekávaným způsobem.
V nedávném příspěvku McKinsey poznamenal, že se očekává, že generativní AI bude mít „významný dopad ve všech průmyslových odvětvích“. Konzultační společnost například uvádí, jak by generativní technologie umělé inteligence mohla potenciálně přidat 200 – 400 miliard USD v přidané roční hodnotě bankovnímu odvětví, pokud by se v různých případech použití posunula plná implementace.
Potenciální hodnota napříč širším spektrem institucí by mohla být obrovská. Zatímco se však organizace snaží začlenit prvky generativní umělé inteligence k posílení efektivity a produktivity, jiné se obávají kontroly jejího používání v rámci podniku.
Generativní AI v podnicích odpoutaná z řetězu
Kontaktoval jsem řadu předních světových CIO, CISO a expertů na kybernetickou bezpečnost napříč odvětvími, abych získal jejich názor na nedávný nárůst neřízeného používání generativní umělé inteligence ve firemních operacích. Zde je to, co jsem od nich zjistil.
Organizace zaznamenávají dramatický nárůst neformálního přijímání gen AI – nástrojů a platforem používaných bez oficiálních sankcí. Zaměstnanci jej používají k vývoji softwaru, psaní kódu, vytváření obsahu a přípravě prodejních a marketingových plánů. Před několika měsíci nebylo sledování těchto nepovolených použití na seznamu úkolů CISO. Dnes je tomu tak, protože vytvářejí nové tajemné riziko a útočnou plochu, proti které je třeba se bránit.
Jeden odborník na kybernetickou bezpečnost mi řekl: „Společnosti dnes nejsou připraveny na příliv produktů založených na umělé inteligenci – z pohledu lidí, procesů nebo technologií. Kromě toho se tento problém zhoršuje tím, že velká část zavádění umělé inteligence není viditelná na úrovni produktu, ale na smluvní úrovni. Neexistují žádné předpisy týkající se zveřejňování ‚AI Inside‘.“
Jiný CISO mi řekl, že mezi jeho hlavní obavy patřilo možné porušení IP a otrava dat (data poisoning). Identifikoval také technologie pro zabezpečení AI motorů a pracovních postupů používaných společností (nebo jejími partnery třetích stran), které podporují vývoj kreativního obsahu.
Vysoce postavený CISO v řízení kapitálu se obával „plagiátorství, neobjektivních informací ovlivňujících rozhodnutí nebo doporučení, ztráty dat mnoha organizací a spoléhání se na produkty, které nevykazují krátkou nebo střední hodnotu, a jejich ekonomická degradace“.
Jeden vedoucí pracovník IT mi řekl, že jeho největší obavou je, že jsou jejich vlastnická data nebo obsah začleněny do školicí sady (nebo úložiště pro získávání informací) produktu třetí strany, aby pak byly prezentovány jako produkt práce této společnosti.
Úniky soukromí?
Mezi respondenty jasně zaznělo, že se firmy obávají nechtěného úniku dat. Jistý CISO z velké marketingové softwarové firmy se toho výslovně obával, když prohlásil: „Skutečné riziko je, že dojde k neúmyslnému úniku důvěrných informací. Lidé posílají do ChatGPT věci, které by neměli, a které jsou nyní uložené na serverech ChatGPT. Možná se uplatní v modelingu. Možná to pak skončí odhalením. Takže si myslím, že skutečným rizikem je zde vystavení citlivých informací. Musíme si položit otázku: ‚Jsou tato data dostatečně chráněna nebo ne?‘“
Jiný respondent uvedl nedávný příklad inženýra, který se snažil poslat úryvek zdrojového kódu do ChatGPT, který obsahoval klíč API. I když [firma] byla schopna problém odhalit, obecně by to mohlo být velmi nebezpečné. Ne všechny společnosti mají bezpečnostní systémy, které dokážou odhalit, zablokovat nebo napravit tento typ chování.
Další vedoucí pracovník v oblasti informační bezpečnosti uvedl jako příklad dočasný zákaz ChatGPT společnosti Samsung ve svých systémech. Elektronická společnost se tvrdě naučila, že obsah vložený do výzvy ChatGPT lze prohlížet veřejně. V tomto případě vstup obsahoval zdrojový kód softwaru odpovědného za polovodičové vybavení společnosti. Následovala prudká reakce a zákaz ChatGPT.
Řízení epidemie Gen AI
Co mohou CISO a podnikoví bezpečnostní experti udělat, aby omezili tuto epidemii AI? Jeden vedoucí pracovník uvedl, že je nezbytné zpřísnit základní bezpečnostní opatření, jako je „kombinace řízení přístupu, CASB/proxy/aplikační firewally/SASE, ochrana dat a ochrana před ztrátou dat“.
Další CIO poukázal na přečtení a implementaci některých konkrétních kroků, které nabízí zpráva National Institute of Standards and Technology (Národního institutu standardů a technologií) s názvem Artificial Intelligence Risk Management Framework. Vedoucí představitelé si musejí uvědomit, že k využívání generativní umělé inteligence v podniku neodmyslitelně patří riziko a že se pravděpodobně vyvinou náležité postupy zmírňování rizik.
Pište pro CIO Business World
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři CIO BW?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu. Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
Přesto jiný respondent uvedl, že v jejich společnosti byly zásady používání generativní AI začleněny do modulů školení zaměstnanců a že tyto zásady jsou snadno přístupné a lze si je přečíst. Tento člověk dodal: „V každém vztahu mezi dodavatelem a klientem, který zajišťujeme s poskytovateli GenAI, zajišťujeme, aby podmínky služby obsahovaly explicitní slova o datech a obsahu, které používáme jako vstup, a nejsou začleněny do školicí sady služby třetí strany.“
Corporate governance a regulatorní požadavky
A co corporate governance a regulatorní požadavky? Co mohou organizace v této oblasti dělat? Jeden z dotázaných CISO navrhl, že výkonné rady by měly určit, jaké postupy řízení by měly být zavedeny, aby se maximalizovaly výhody generativní umělé inteligence proti potenciálnímu riziku a právním/regulačním požadavkům.
Stručně řečeno, stejný vedoucí pracovník poskytl následující kontrolní seznam:
- Organizační povědomí o stávajících a aktuálně vyvíjených právních a regulačních požadavcích
- Jasně identifikované role a procesy správy potřebné k mapování, měření a řízení rizik AI. To zahrnuje dokumentaci rizik a potenciálních dopadů technologie AI.
- Mechanismy identifikace/objevování k inventárním systémům umělé inteligence
- Procesy řešící životní cyklus umělé inteligence pro vývoj, implementaci a software na konci životnosti
- Vývoj zásad a postupů pro řešení rizik třetích stran a dodavatelského řetězce, které využívají AI
- Procesy k řešení poruch nebo incidentů v systémech AI
Shrnuto a podtrženo, zaměstnanci podniků s nástroji AI pracují, ať už s firemním požehnáním pro takové použití nebo bez něj. Aby CIO, CISO a jejich korporace pomohli zastavit to, co by mohl být rozsáhlý únik informací nebo jiný významný škodlivý incident, musí mít pod kontrolou využití generativní AI v organizaci.
Budou muset určit, zda se to projeví ve formě většího dodržování stávajících podnikových bezpečnostních opatření, jejich rozšiřování a/nebo hledání nových forem interních kontrol zaměstnanců využívajících [služby] třetích stran.
Ve svém dalším článku se podělím o některé procesy pro správu a nápravu používání generativní umělé inteligence v podnikových organizacích. Zůstaňte ve střehu!
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
Chcete si článek dočíst?
Tento článek je exkluzivní obsah pouze pro odběratele našeho newsletteru.
PŘEDPLATNÉ
ČLÁNKY DO MAILU