Nedbalé používání AI může odhalit citlivé informace o podniku

Projekt: Podnikavost, Inovace, technologie
Sdílet:
Nedbalé používání AI může odhalit citlivé informace o podniku
Nedbalé používání AI může odhalit citlivé informace o podniku

CENTRUM KAS FISKALNYCH

Kasy fiskalne, terminale płatnicze, oprogramowania dla firm, wdrożenia...

V mnoha firmách stále postrádají jasné normy pro využívání nástrojů umělé inteligence.

Fenomenem nazývaným „shadow AI“ se stává narůstající hrozba pro bezpečnost údajů v organizacích. Tento jev spočívá v tom, že zaměstnanci používají nástroje umělé inteligence, především chatboty, k práci s dokumenty obsahujícími citlivé údaje o společnosti nebo jejích klientech. Odborníci na kybernetickou bezpečnost varují, že tyto praktiky mohou vést k neřízenému úniku dat, která mohou být v extrémních situacích použita kyberzločinci pomocí specificky formulovaných dotazů.

Specialisté upozorňují, že v mnoha organizacích neexistují jednoznačné termíny vymezující používání nástrojů umělé inteligence. Jak zdůrazňuje odbornice na kybernetickou bezpečnost, Joanna Wziątek-Ładosz, část podniků nemá žádné vnitřní směrnice určující, jaké informace mohou být zpracovány systémy AI. Odpovědnost za vytvoření těchto pokynů je na zaměstnavatelích a vyplývá mimo jiné z evropského nařízení o umělé inteligenci. Ve skutečnosti by vedení společnosti mělo jasně stanovit, které dokumenty mohou být zpracovávány nástroji AI a které by měly zůstat mimo jejich dosah.

Odbornice také poukazuje na zásadní problém, jímž je nedostatečné řízení přístupu k datům. – Firmy často nehlídají, kdo a k čemu má přístup. To může vést k situaci, kdy například bývalý zaměstnanec snadno poskytne strategické informace konkurenci – varuje.

Další častou příčinou bezpečnostních narušení je slabá politika hesel. V mnoha organizacích jsou používaná hesla příliš krátká a jednoduchá, zatímco by měla mít délku od 12 do 16 znaků. Také dvoufázové ověřování, které je klíčovým zabezpečením, se stále nepoužívá dostatečně. – Pokud útočník prolomí heslo, druhý faktor může zamezit přístup k firemním zdrojům – vysvětluje Joanna Wziątek-Ładosz. Tato řešení nemusí být založena pouze na aplikacích na mobilních telefonech, čím dál častěji se také používají fyzické bezpečnostní klíče podobné USB flash diskům nebo přístupovým kartám zaměstnanců.

Hrozbou pro data může rovněž být posílání důvěrných dokumentů jako příloh e-mailů. – Někdy zaměstnavatel zakazuje zasílání citlivých informací firemními e-maily, ale zaměstnanci dokážou tento zákaz obejít například tím, že si kritické soubory pošlou prostřednictvím svých osobních e-mailů, které se stávají terčem útoků kyberzločinců – upozorňuje odbornice.

Joanna Wziątek-Ładosz zdůrazňuje, že účinná ochrana dat by měla začínat určením, které informace jsou pro firmu klíčové. Do této kategorie patří mimo jiné údaje o klientech, finanční a mzdové informace, dokumenty o zakázkách, duševní vlastnictví a obchodní strategie. Dalším krokem je vyjasnění, kde jsou tato data uložena a kdo k nim má přístup. – Další významnou otázkou je záloha dat, která by měla být pravidelně vytvářena. Je důležité určit, kde se záloha nachází – neměla by být ukládána ve stejné lokalitě jako originály. Minimálně jedna kopie by měla být uchovávána offline, tedy zcela oddělena od internetu a firemní sítě. Je také dobré pravidelně provádět testy obnovení, které ukáží, zda je možné data správně obnovit po útoku a zda firma může pokračovat v činnosti – vysvětluje odbornice.

Také upozorňuje na nutnost pravidelných aktualizací softwaru tzv. hranových zařízení, tedy těch komponentů infrastruktury, které propojují firemní síť s internetem. Neodhalené bezpečnostní slabiny v těchto zařízeních mohou být snadným vstupním bodem pro kyberzločince. Důležité jsou rovněž postupy pro zaměstnance, kteří mohou obdržet pokyn k změně bankovního účtu pro platby. Kyberzločinci se často vydávají za nadřízené nebo obchodní partnery, proto by firmy měly zavést další mechanismy pro potvrzování těchto žádostí a limity částek, které vyžadují dodatečnou autorizaci.

Podle slov Joanny Wziątek-Ładosz by pravidelná školení týkající se kybernetických hrozeb měla zahrnovat jak zaměstnance, tak i vedení. – Školení by měla být krátká, založená na aktuálních praktikách kybernetické bezpečnosti a skutečných příkladech a měla by být vedena živě jinou osobou. Výzkumy ukazují, že online školení není účinné, protože se zaměstnanci často nesoustředí na jejich obsah a pouze je „projíždějí“ kvůli splnění podmínky. Takový přístup však neochrání firemní data. Nejlepší ochranou v podniku nejsou technologie, ale informovaný zaměstnanec. Ale povědomí se nezískává pouhým proklikáváním slidů, ale rozhovorem s druhým člověkem – shrnuje odbornice.

fot.
zprac. /kp/

Sdílet: