Kiedyś pracownicy wykorzystali do pracy swoje prywatne telefony i laptopy, potem zaczęli korzystać z nieautoryzowanych aplikacji do udostępniania plików. W części firm zapewne cały czas tak to wygląda. Tymczasem przez AI wchodzimy w kolejny etap, czyli korzystanie z prywatnych narzędzi opartych na sztucznej inteligencji, poza kontrolą firmowych systemów (z ang. shadow AI).
– Wynika to z łatwości dostępu do takich rozwiązań oraz prostoty i intuicyjności ich obsługi. Pracownicy traktują je jako naturalne narzędzia zwiększające ich efektywność – mówi radca prawny Marietta Poźniak, ekspert ds. AI z kancelarii RozwijAI.
Trend będzie narastał
Skalę tego zjawiska pokazują też dane. Matt Ausman, dyrektor ds. IT w Zebra Technologies przywołuje raport Work Trend Index z 2024 r. przygotowany przez Microsoft i LinkedIn, z którego wynika, że 75 proc. pracowników umysłowych korzystało już z AI w pracy, a aż 78 proc. z nich używało własnych narzędzi – takich jak chatboty, aplikacje do automatycznego notowania spotkań czy generatory treści.
– Skala zjawiska jest ogromna. Wielu pracowników korzysta z generatywnej sztucznej inteligencji w pracy, często w ukryciu. Sięgają po nią nawet do podstawowych czynności, takich jak redagowanie maili, aby wyglądały na bardziej profesjonalne – mówi Mirosław Białobrzewski, prezes agencji pracy Golden Serwis.
Zdaniem eksperta, nie jest to chwilowa moda, lecz stały element krajobrazu pracy.
– W mojej ocenie, dostępność darmowych, intuicyjnych narzędzi sprawi, że trend ten będzie narastał, czyniąc problem zarządzania shadow AI priorytetem – dodaje.
Obserwowane już zmiany powodują nowe rodzaje ryzyka: od kwestii bezpieczeństwa danych, przez zgodność z prawem, po wpływ na kulturę organizacyjną. Zdaniem mec. Marietty Poźniak, korzystanie z systemów AI, zwłaszcza tych darmowych, stało się tykającą bombą w miejscu pracy.
Groźba dla firmowych danych
O co konkretnie firmy muszą się martwić? Dr Paweł Szczęsny, ekspert ds. AI, zaznacza na wstępie, że poufne informacje firmy mogą być przetwarzane przez aplikacje AI w sposób bezpieczny.
– Wielu dostawców ma rozwiązania spełniające wymogi korporacyjne, które w inny sposób traktują dane swoich klientów niż osób fizycznych – mówi.
Jak wskazuje, problem pojawia się w przypadku shadow AI, kiedy firma ryzykuje, że jej informacje trafią do narzędzi o charakterze konsumenckim. Wówczas zaczynają się problemy.
– Wielu pracowników nie zdaje sobie sprawy już z pierwszej pułapki: większość regulaminów tych popularnych narzędzi zakazuje ich wykorzystania do celów komercyjnych czy służbowych, zezwalając wyłącznie na użytek prywatny – mówi mec. Marietta Poźniak.
Mirosław Białobrzewski wskazuje, że największe ryzyko to wyciek informacji, zwłaszcza danych poufnych.
– Nawet w przypadku podmiotów działających na szczeblu państwowym jest to niestety codzienność – mówi.
Jak wyjaśnia, większość darmowych modeli AI domyślnie trenuje się na wprowadzanych przez użytkowników danych.
– Oznacza to, że poufne informacje, np. tajemnice handlowe czy plany marketingowe, mogą zostać na stałe włączone do modelu i potencjalnie ujawnione w odpowiedziach dla innych użytkowników w przyszłości – podkreśla.
Mec. Marietta Poźniak podaje przykład pracownika, który wprowadził do AI raport z planami sprzedaży na przyszły rok.
– Prosząc jedynie o poprawienie literówek, sprawił, że tajny dokument stał się publicznie dostępny, nawet zanim jeszcze jego współpracownicy zdążyli się z nim zapoznać – zauważa.
Dr Paweł Szczęsny zwraca z kolei uwagę na problem wprowadzania poprzez narzędzia AI nowych zagrożeń dla bezpieczeństwa firmowych systemów IT.
– Technika chowania złośliwych instrukcji dla AI na stronach internetowych, obrazach czy mailach (tzw. prompt injection) powoduje, że podłączanie prywatnego narzędzia AI do firmowych zasobów tworzy realny wektor ataku. A trudno zrobić przegląd bezpieczeństwa pod tym kątem, jeśli dział IT o nim nie wie – mówi.
Ponadto, jak zaznacza Mirosław Białobrzewski, wprowadzanie danych osobowych (klientów czy pracowników) do zewnętrznych narzędzi AI, których polityka prywatności i bezpieczeństwo nie są weryfikowane przez firmę, jest niemal pewnym naruszeniem RODO.
– To z kolei generuje ryzyko nie tylko utraty reputacji, ale również bardzo wysokich kar finansowych – dodaje.
Mec. Marietta Poźniak zauważa też, że treści wygenerowane przez AI powinny zostać bezwzględnie zweryfikowane. Niestety pracownicy często tego nie robią.
– Oparcie decyzji o nieprawdziwe dane lub podanie ich dalej w raportach czy pismach, może przynieść pracodawcy nie tylko straty wizerunkowe, ale narazić również na konsekwencje prawne i finansowe – zaznacza ekspertka.
Jak zabezpieczyć się przed zagrożeniem?
Marietta Poźniak wskazuje, że niestety pracodawcy nie nadążają za pracownikami, często nie zdając sobie sprawy, jakie zagrożenia niesie ze sobą sztuczna inteligencja. Zamiast podejmować konkretne kroki, dochodzi do nieformalnego przeniesienia odpowiedzialności za bezpieczeństwo danych firmowych na indywidualnego zatrudnionego.
– Samo zakazanie przez pracodawcę korzystania z niezatwierdzonych narzędzi AI w miejscu pracy nie jest wystarczające, gdyż pracownicy nie będą chcieli łatwo zrezygnować z czegoś, co usprawnia ich pracę i przynosi realne korzyści – zauważa mecenas.
Dlatego zdaniem Pawła Szczęsnego warto najpierw zrobić inwentaryzację i sprawdzić, gdzie pracownicy realnie korzystają ze sztucznej inteligencji.
– Natomiast następnym krokiem powinna być refleksja i potraktowanie shadow AI jako sygnału, że nie dostarczamy zatrudnionym dobrych narzędzi – uważa.
W ocenie eksperta, dla firm, które dopiero przymierzają się do wdrożenia sztucznej inteligencji, takie zachowanie daje mocną rekomendację od jakich rozwiązań warto zacząć.
– Z kolei dla przedsiębiorstwa, które ma już wdrożone systemy AI to informacja o brakach albo o różnicach w jakości pomiędzy firmowymi narzędziami w obszarze sztucznej inteligencji, a tymi dostępnymi na rynku – mówi dr Paweł Szczęsny. Jak wskazuje, dopiero potem należy postawić na jasną wewnętrzną politykę, definiującą w prosty sposób, co robimy, a czego nie robimy z narzędziami AI.
– Istotny jest też wybór i wdrożenie zatwierdzonych narzędzi oraz dostosowanie wewnętrznych procedur bezpieczeństwa do realiów świata AI i audytów pod kątem nowych typów zagrożeń – wyjaśnia dr Szczęsny.
Zdaniem Mirosława Białobrzewskiego, kluczowa może okazać się także edukacja i prowadzenie regularnych, praktycznych szkoleń z cyberbezpieczeństwa.
– Pracownicy muszą rozumieć, że ich wpisy do publicznych chatbotów nie są prywatne i mogą być wykorzystywane do trenowania modeli, co jest często nieznaną im kwestią. Świadomość to pierwszy krok do minimalizacji ryzyka – ocenia ekspert.
Zdaniem Matta Ausmana, poprzednie trendy nauczyły nas wielu rzeczy na temat właściwych działań, które należy podjąć, aby chronić dane, zaufanie i reputację, jednocześnie wspierając pracowników i zachęcając do korzystania z nowych narzędzi.
– Powinniśmy korzystać z tych doświadczeń – podsumowuje.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
