W wielu przedsiębiorstwach nadal brakuje jednoznacznych wytycznych dotyczących użycia narzędzi bazujących na sztucznej inteligencji.

Zjawisko znane jako „shadow AI” staje się rosnącym zagrożeniem dla bezpieczeństwa danych w firmach. Pracownicy wykorzystują narzędzia sztucznej inteligencji, zwłaszcza funkcje czatbotów, do przetwarzania dokumentów zawierających wrażliwe dane przedsiębiorstwa lub jego klientów. Eksperci w dziedzinie cyberbezpieczeństwa zauważają, że takie działania mogą prowadzić do niekontrolowanego ujawnienia informacji, które, w najgorszym przypadku, mogą trafić w ręce cyberprzestępców za pomocą odpowiednio sformułowanych zapytań.

Specjaliści zauważają, że w wielu instytucjach dalej trzeba wprowadzić jasno określone zasady dotyczące użytkowania narzędzi opartych na sztucznej inteligencji. Jak zwraca uwagę Joanna Wziątek-Ładosz, ekspertka w dziedzinie cyberbezpieczeństwa, wiele firm nie posiada wewnętrznych regulacji definiujących, jakie dane mogą być przetwarzane przez systemy AI. Odpowiedzialność za wdrożenie tych zasad spoczywa na pracodawcach i wynika m.in. z przepisów unijnej ustawy o sztucznej inteligencji. W praktyce to zarząd i dyrekcja powinny ustalić, które dokumenty są odpowiednie do użycia w narzędziach AI, a które powinny pozostać z dala od takich systemów.

Ekspertka podkreśla, że innym kluczowym problemem jest brak odpowiedniego kierowania dostępem do danych. – Firmy często nie monitorują, kto ma dostęp i do czego. To może spowodować, że na przykład były pracownik bez problemu przekaże ważne informacje konkurencji – zwraca uwagę.

Do częstych przyczyn naruszeń bezpieczeństwa można zaliczyć także nieodpowiednią politykę haseł. W wielu instytucjach stosowane hasła są zbyt krótkie oraz niewystarczająco złożone, podczas gdy powinny mieć od 12 do 16 znaków. Uwierzytelnianie dwuskładnikowe jest również kluczowym zabezpieczeniem, które nadal nie znajduje szerokiego zastosowania. – Gdyby hakerowi udało się złamać hasło, dodatkowy składnik może zablokować mu dostęp do zasobów w firmie – wyjaśnia Joanna Wziątek-Ładosz. Takie metody zabezpieczeń mogą nie ograniczać się jedynie do aplikacji mobilnych – coraz częściej korzysta się również z fizycznych kluczy bezpieczeństwa przypominających pendrive’y lub karty dostępu pracowników.

Przesyłanie poufnych dokumentów jako załączników w e-mailach również stanowi zagrożenie dla danych. – Czasami pracodawca blokuje możliwość wysyłania wewnętrznych danych uznanych za poufne, jednak pracownicy potrafią to obchodzić, przesyłając istotne pliki na swoje prywatne skrzynki mailowe, które mogą stać się celem ataków cyberprzestępców – zwraca uwagę ekspertka.

Joanna Wziątek-Ładosz podkreśla, że efektywna ochrona informacji zaczyna się od identyfikacji, które z danych w firmie są krytyczne. Do tej grupy należą m.in. dane klientów, informacje finansowe, płacowe, dokumenty przetargowe, własność intelektualna oraz strategie biznesowe. Następnie należy ustalić, gdzie te dane są przechowywane i kto ma do nich dostęp. – Ważnym aspektem jest również regularne tworzenie kopii zapasowych (backup), które powinny być realizowane systematycznie. Należy sprawdzić, gdzie znajdują się kopie zapasowe – nie powinny być przechowywane w tym samym miejscu co dane oryginalne. Co najmniej jedna kopia musi być przechowywana offline, czyli całkowicie odłączona od internetu oraz lokalnej sieci firmowej. Regularne przeprowadzanie testów przywracania danych również jest zalecane, aby upewnić się, że w przypadku ataku dane można przywrócić i firma może kontynuować działalność – wyjaśnia ekspertka.

Ekspertka wskazuje również na potrzebę aktualizacji oprogramowania urządzeń brzegowych, czyli elementów infrastruktury, które łączą sieć firmy z internetem. Niewykryte luki bezpieczeństwa w takich urządzeniach mogą stać się łatwym celem dla cyberprzestępców. Kluczowe są także procedury dla pracowników, którzy mogą otrzymać polecenie zmiany numeru konta bankowego, do którego mają być przesyłane płatności. Cyberprzestępcy często podszywają się pod przełożonych lub partnerów biznesowych, dlatego przedsiębiorstwa powinny wprowadzić dodatkowe mechanizmy weryfikacji takich zleceń oraz limity kwot, które wymagają dodatkowej autoryzacji.

Pani Joanna Wziątek-Ładosz uważa, że regularne szkolenia dotyczące zagrożeń w cyberprzestrzeni powinny obejmować zarówno pracowników, jak i menedżerów. – Szkolenia powinny być krótkie, opierać się na aktualnych praktykach w dziedzinie cyberbezpieczeństwa oraz rzeczywistych przypadkach, a także być prowadzone na żywo przez drugiego człowieka. Badania dowodzą, że szkolenia odbywające się online nie są efektywne, ponieważ pracownicy często nie angażują się w ich treść, a jedynie przesuwają slajdy w celu ich ukończenia. A takie podejście nie zapewnia należytej ochrony danych firmy. Najsilniejszym elementem zabezpieczeń w firmie nie jest technologia, ale świadomy pracownik. Świadomość nie przychodzi z klikania slajdów, lecz z interakcji z drugim człowiekiem – podsumowuje ekspertka.

fot.
oprac. /kp/