Ansatte legger inn sensitive data i generative AI-verktøy til tross for risikoene

0
22
Andriy Onufriyenko/Getty Images

Ansatte kan gjenkjenne den potensielle lekkasjen av sensitive data som en topprisiko, men enkelte individer er fortsatt fortsett å legge inn slik informasjon i offentlig tilgjengelige verktøy for generativ kunstig intelligens (AI). 

Disse sensitive dataene inkluderer kundeinformasjon, salgstall, økonomiske data og personlig identifiserbar informasjon, for eksempel e-postadresser og telefonnumre. Ansatte mangler også klare retningslinjer eller veiledning om bruken av disse verktøyene på arbeidsplassen, ifølge forskning utgitt av Veritas Technologies. 

Også: Fem måter å bruke AI på en ansvarlig måte< /p>

Studien ble utført av markedsforsker 3Gem i desember 2023, og undersøkte 11 500 ansatte over hele verden, inkludert arbeidere i Australia, Kina, Japan, Singapore, Sør-Korea, Frankrike, Tyskland, Storbritannia og USA. 

På spørsmål om risikoen for deres organisasjon ved bruk av offentlige generative AI-verktøy, pekte 39 % av respondentene på potensiell lekkasje av sensitive data, mens 38 % sa at disse verktøyene kunne produsere feil, unøyaktig eller unyttig informasjon. Ytterligere 37 % av respondentene nevnte risiko for samsvar, og 19 % bemerket at teknologien kan påvirke produktiviteten negativt. 

Omtrent 57 % av de ansatte brukte offentlige generative AI-verktøy på kontoret minst én gang i uken, mens 22,3 % brukte teknologien daglig. Omtrent 28 % av folk sa at de ikke brukte slike verktøy i det hele tatt. 

Også: De beste AI-chatbotene: ChatGPT og andre bemerkelsesverdige alternativer strong>

Nærmere halvparten (42 %) av respondentene sa at de brukte verktøyene for forskning og analyse, mens 41 % og 40 % vendte seg til generativ AI for å skrive e-postmeldinger og notater, samt for å forbedre deres skriving, henholdsvis. 

Når det gjelder typene data som kan gi forretningsverdi når de legges inn i offentlige generative AI-verktøy, pekte 30 % av de ansatte på kundeinformasjon, som referanser, bankdetaljer og adresser. Omtrent 29 % siterte salgstall, mens 28 % fremhevet finansiell informasjon, og 25 % pekte på personlig identifiserbar informasjon. Ytterligere 22 % av arbeiderne henviste til konfidensielle HR-data og 17 % siterte konfidensiell bedriftsinformasjon. 

Omtrent 27 % av respondentene trodde ikke at det å legge noe av denne sensitive informasjonen inn i offentlige generative AI-verktøy kunne gi verdi for virksomheten. 

Nesten en tredjedel (31 %) av de ansatte erkjente å ha lagt inn slike sensitive data inn i disse verktøyene, mens 5 % ikke var sikre på om de hadde gjort det. Nær to tredjedeler (64 %) sa at de ikke la inn noen sensitive data i offentlige generative AI-verktøy.

Også: Dagens AI-boom vil forsterke sosiale medier problemer hvis vi ikke handler nå

Imidlertid kan bruk av ny teknologi gi raskere tilgang til informasjon, sa 48 % av respondentene da de ble spurt om fordelene for organisasjonen deres. 40 prosent nevnte høyere produktivitet, 39 % sa at generativ kunstig intelligens kunne erstatte hverdagslige oppgaver, og 34 % mente det bidro til å generere nye ideer. 

Interessant nok så 53 % av de ansatte på en kollegas bruk av generative AI-verktøy som en urettferdig fordel, og 40 % mente at de som gjorde det burde bli pålagt å undervise resten av teamet eller kollegene deres. Ytterligere 29 % sa at kolleger som brukte slike verktøy burde rapporteres til sin linjeleder, mens 27 % mente at de burde møte disiplinærtiltak.  

Når det gjelder formell veiledning og retningslinjer for bruk av offentlige generative AI-verktøy på jobben, sa 36 % av respondentene at ingen var tilgjengelig. Omtrent 24 % avslørte å ha obligatoriske retningslinjer for slik bruk, mens 21 % sa at slike retningslinjer var frivillige for deres arbeidsplass. Ytterligere 12 % sa at organisasjonen deres implementerte et forbud mot bruk av generative AI-verktøy på jobben. 

Et flertall 90 % av respondentene mente det var viktig å ha retningslinjer og retningslinjer for bruk av ny teknologi, med 68 % som legger merke til behovet for alle å vite den “riktige måten” å ta i bruk generativ AI.

Risikoene vil eskalere etter hvert som GenAI-bruken øker

Det er sannsynlig at når generativ AI tas i bruk. øker, vil de tilhørende sikkerhetsrisikoene også vokse. 

Nøkkelplattformer kan se angrep i stor skala når en enkelt generativ AI-teknologi nærmer seg en markedsandel på 50 %, eller når markedet konsoliderer seg til ikke mer enn tre teknologier, ifølge IBMs X-Force Threat Intelligence Index 2024. 

Også: Trener AI-modeller med dine egne data for å redusere risiko

Undersøkelsen er basert på teknologileverandørens analyse fra overvåking av flere enn 150 milliarder sikkerhetshendelser per dag i mer enn 130 land og datainnsikt fra IBM, inkludert enheten for administrerte sikkerhetstjenester og Red Hat.

Cyberkriminelle retter seg mot teknologier som er allestedsnærværende på tvers av organisasjoner globalt for å se avkastning fra kampanjene deres, bemerket IBM. Denne tilnærmingen vil utvides til AI når generativ AI får markedsdominans, utløser modenhet av AI som en angrepsoverflate og motiverer cyberkriminelle til å investere i nye verktøy.

Det er derfor avgjørende at bedrifter sikrer AI-modellene sine før trusselaktører skalerer aktivitetene sine, advarte IBM. I 2023 var det mer enn 800 000 innlegg om AI og GPT på tvers av mørke nettfora, og la til at identitetsbaserte trusler vil fortsette å vokse etter hvert som motstandere bruker teknologien for å optimalisere angrepene sine.

Beskriver generative AI som den neste store grensen å sikre, sa teknologileverandøren: “Bedrifter bør også anerkjenne at deres eksisterende underliggende infrastruktur er en inngangsport til deres AI-modeller som ikke krever nye taktikker fra angripere til mål – og understreker behovet for en helhetlig tilnærming til sikkerhet i en alder av generativ AI.”

Dessuten: Dette er mine 5 favoritt AI-verktøy for jobb

Charles Henderson, IBM Consultings globale administrerende partner og sjef for IBM X-Force, sa: “Selv om 'grunnleggende sikkerhet' ikke får like mange motganger som 'AI-konstruerte angrep', er det fortsatt at bedriftenes største sikkerhetsproblem koker ned. til det grunnleggende og kjente — ikke det nye og ukjente. Identitet blir brukt mot bedrifter gang på gang, et problem som vil forverres når motstandere investerer i AI for å optimalisere taktikken.”

I tillegg, utnyttelse av gyldige kontoer har blitt veien til minst motstand for nettkriminelle. IBM Threat Intelligence Index så en økning på 266 % i angrep med skadelig programvare utviklet for å stjele personlig identifiserbar informasjon, inkludert legitimasjon for sosiale medier og meldingsapper, bankdetaljer og kryptolommebokdata.

Europa i 2023 var den mest målrettede regionen, og sto for 32 % av hendelsene IBMs X-Force reagerte på rundt om i verden, inkludert 26 % av løsepengevareangrepene globalt. Slike angrep bidro til 44 % av alle hendelser som Europa opplevde, noe som delvis drev regionens stigning til topplassering i fjor. Europas høye bruk av skyplattformer kan også ha utvidet angrepsoverflaten, sammenlignet med sine globale motparter, ifølge IBM. 

Asia-Pacific, som var den mest målrettede regionen i 2021 og 2022, var tredje mest berørt, med 23 % av globale hendelser, mens Nord-Amerika sto for 26 %.

Også: Har du 10 timer? IBM vil lære deg grunnleggende AI – gratis

Globalt var nesten 70 % av angrepene mot kritiske infrastrukturorganisasjoner, der nesten 85 % av disse hendelsene var forårsaket av utnyttelse av offentlige apper, phishing-e-poster, og bruk av gyldige kontoer. 

IBM bemerket at i 85 % av angrepene på kritiske sektorer kunne kompromisset blitt redusert med patching, multifaktorautentisering eller minste-privilegerte rektorer .