老闆都不知道的資安風險:員工都在用的「影子 AI」,因應做法是什麼?

生成式 AI 浪潮下,AI 工具如 ChatGPT 推陳出新、變得更觸手可及,從撰寫商業計劃到用大白話解釋複雜主題等,能協助人類完成許多事。一篇由哈佛商學院等研究人員提出的論文更指出,員工運用生成式 AI 將工作生產力提高了 40%。

然而,當工作者或企業正爭先恐後地探索生成式 AI 的好處,名為「影子 AI」(shadow AI)的技術風險隨之而來,成為企業需要管控的議題。

影子 AI 被危險地忽略了

影子 AI 指的是,員工在工作中使用 AI 工具,藉此讓工作更有效率,但管理階層毫不知情。舉例來說,員工可能會要求 AI 掃描數百個 Powerpoint 檔案來尋找重要資訊,或是要求 AI 協助摘要會議紀錄的重點。

這樣的情形有多廣泛?針對全球 14 個國家、14,000 名員工進行的 Salesforce 調查顯示,有 28% 的員工在工作中使用生成式 AI 工具,其中有超過 50% 的使用沒有經過雇主批准

《Fast Company》報導,一般來說,員工追求效率的做法出於好意,是為了簡化工作任務,特別是單調的任務或費力的流程,但也可能為公司帶來新的營運風險。美國研調公司 Forrester Research 預測,2024 年有 60% 員工會在工作中使用自己的 AI 工具,進而帶來監管和合規性挑戰。

影子 AI 帶來的 2 大風險

根據《Fast Company》,影子 AI 的風險是雙重的。首先,員工可能會在這些 AI 工具中提供公司敏感資料,或是在技術後台將公司資料開放提供 AI 工具爬取。

不過企業通常依賴第三方工具和服務供應商,因此真正的問題並不是在於開放數據,而是當相關工具和數據處理策略沒有經過企業評估和批准時,可能會出狀況,例如無法保證員工在 AI 工具中輸入的公司資訊會流向何方。

影子 AI 的第二個風險在於,由於企業通常不知道員工正在使用特定工具,因此無法評估並採取措施減輕風險。換言之,這些使用都是在企業看不見的暗處發生。

企業怎麼降低影子 AI 風險?5 大建議一次看

生成式 AI 浪潮襲來,企業如果想確保團隊在 AI 帶來的效率和洞察力中受益,該採取哪些措施來因應影子 AI 風險?資安媒體《The Hacker News》分享 5 大建議,提供企業做好準備:

1. 考慮實施或修改應用程式和資料策略

應用程式政策可以為組織提供明確的指導方針和透明度。《The Hacker News》指出,一個簡單的「允許清單(allow-list)」就可以納入企業 SaaS 提供者建立的 AI 工具,任何未包含在內的工具則不被允許連結使用。此外,企業也可以制定資料策略,規範哪些類型的資料可以輸入 AI 工具之中。

2. 定期員工培訓

《The Hacker News》指出,很少有員工懷著惡意使用 AI 工具,且絕大多數人沒有意識到他們使用未經批准的 AI 時,會導致公司面臨危險。因此,透過培訓資源,能讓員工了解 AI 工具導致外洩的原理和風險。

3. 讓 AI 工具的使用政策易於理解

企業要喚起內部員工正視影子 AI 的風險,必須確保將運用指南寫得清晰且容易取得。當員工知道哪些數據可以輸入生成式 AI 工具,或可以選擇哪些經過批准的供應商時,就更能推動以安全為優先的 AI 技術採用。

4.針對供應商評估中提出關鍵問題

當企業需要針對 AI 工具進行評估,需要安全及資料隱私的法遵情況,需要深入了解的關鍵問題包含:誰將使用 AI 工具──是否僅限於某些個人或團隊?承包商、合作夥伴或客戶是否有權存取?此外,哪些個人和公司可以存取提交到 AI 工具的提示(prompt)?預計使用的 AI 工具是否連動了相關操作,例如更改文件?

掌握 AI 趨勢 & 活動資訊一點都不難!訂閱電子報,每週四一起《AI TOgether》

感謝訂閱!隨時注意信箱的最新資訊

5. 不要忽視盡職調查

針對員工所使用的 AI 工具,企業必須確保團隊或法務部門了解服務條款,《The Hacker News》指出,即便這不一定能防止資料外洩,一旦 AI 工具的供應商違反條款,將能為組織帶來保障。

除了檢視外部工具,企業也可以考慮打造專屬的生成式 AI 工具。《VentureBeat》報導,為了解決資料外洩隱憂,零售商沃爾瑪、LinkedIn 皆為自家員工打造了「生成式 AI 樂園(Generative AI Playground)」;Meta 也建立使用公司內部數據的 AI 聊天機器人「Metamate」給員工使用。

當工作者、企業逐漸將生成式 AI 導入工作流程,上述做法可以讓企業利用 AI 來減輕員工工作痛點、提高生產力,同時又保護資料安全,因應影子 AI 帶來的挑戰。

DEVCORE 世界級白帽駭客將出席 3/6【資安實戰演練大會】現場!

立即報名《2024H1 資安實戰演練大會》

 

【推薦閱讀】

避免 ChatGPT 洩漏企業機密,Meta、LinkedIn 正在為員工打造「內部 AI 服務」

2024 年該小心哪些資安威脅?趨勢科技揭 5 大預測,雲端原生蠕蟲、資料下毒入列

 

*本文開放夥伴轉載,參考資料:MIT Sloan《Fast Company》《VentureBeat》1《The Hacker News》 《VentureBeat》2。首圖來源:Unsplash