Wykorzystywanie narzędzi sztucznej inteligencji w polskich firmach staje się powszechne, ale większość organizacji nie posiada jasnych regulacji dotyczących ich bezpiecznego użytkowania. Jak wynika z najnowszego raportu, pracownicy coraz częściej korzystają z narzędzi AI w codziennej pracy, często bez wiedzy swoich pracodawców i bez odpowiednich zabezpieczeń danych firmowych.
Problem dotyczy wszystkich działów — od marketingu wykorzystującego ChatGPT do pisania briefów na podstawie umów klientów, przez zespoły R&D analizujące poufne dane badawcze za pomocą Claude'a, po działy HR przetwarzające setki CV przez narzędzia AI bez konsultacji z działem IT. Każdy z pracowników działa w dobrej wierze, chcąc oszczędzić czas, ale nieświadomie naraża firmę na poważne ryzyko.
Kluczowe wnioski
- 69% organizacji korzysta już z narzędzi AI w codziennej pracy, ale 43% nie ma żadnej formalnej polityki regulującej to użycie.
- 78% pracowników regularnie używa własnych narzędzi AI do obowiązków służbowych, a 52% nie ujawnia tego pracodawcom.
- Co piąta firma doświadczyła wycieku danych bezpośrednio spowodowanego korzystaniem z generatywnej AI.
- Tylko 38% firm dysponuje kompleksowymi politykami AI, podczas gdy 55% pracowników ma jedynie umiarkowaną znajomość regulacji prawnych dotyczących AI.
- Polityka AI powinna obejmować wszystkie narzędzia — od rozszerzeń przeglądarki po wtyczki arkuszy kalkulacyjnych.
Realne zagrożenia braku polityki AI
Brak formalnych wytycznych dotyczących wykorzystywania sztucznej inteligencji niesie ze sobą konkretne ryzyka operacyjne, prawne i reputacyjne. Najczęstszym problemem są wycieki danych — pracownicy wklejają do publicznych modeli językowych poufne informacje, takie jak dane klientów, treści umów czy własność intelektualną. Badanie przeprowadzone wśród 250 brytyjskich dyrektorów ds. informacji wykazało, że jedna na pięć firm doświadczyła wycieku danych bezpośrednio spowodowanego korzystaniem z generatywnej AI.
Drugim istotnym zagrożeniem jest brak możliwości kontroli użycia AI. Gdy pracownicy korzystają z narzędzi bez wiedzy działu bezpieczeństwa, organizacja traci możliwość audytu, kontroli dostępu i rozliczalności. Niewidzialne narzędzia oznaczają niewidzialne ryzyko, którym nie można zarządzać.
Dodatkowo różne zespoły używają różnych modeli bez wspólnych standardów weryfikacji wyników, co prowadzi do niespójności i błędów. To prosta droga do decyzji opartych na halucynacjach modelu, których nikt nie zakwestionował. Bez solidnych wewnętrznych ram organizacja jest również narażona na naruszenia RODO, praw autorskich i regulacji branżowych.
Kompleksowe podejście do bezpieczeństwa
Zagrożenie może nadejść z nieoczekiwanych kierunków — rozszerzenie przeglądarki pomagające pisać e-maile może przesyłać całą treść skrzynki do zewnętrznego serwera, wtyczka do arkusza kalkulacyjnego z funkcją AI może niepostrzeżenie odczytywać dane z pliku, a darmowe narzędzie do transkrypcji nagrań może przechowywać nagrania bez szyfrowania.
Skuteczna polityka AI nie musi być obszernym dokumentem. Podstawowy zestaw elementów obejmuje: zakres zastosowania (które zespoły i narzędzia są objęte polityką), zasady dotyczące danych (co można wprowadzać do modeli), procedury weryfikacji wyników, zasady przejrzystości wobec klientów i mechanizm regularnego przeglądu — minimum kwartalnie, w branżach wysokiego ryzyka częściej.
Dodatkowe warstwy ochrony to między innymi dostęp do sieci VPN, który szyfruje ruch między pracownikiem a firmowymi systemami, oraz segmentacja dostępu oparta na zasadzie minimalnych uprawnień.
Firmy powinny zacząć od prostej polityki — zdefiniować zatwierdzone narzędzia, wykluczyć określone przypadki użycia i wskazać dane szczególnie wrażliwe. To minimum jest znacznie lepsze niż brak jakichkolwiek regulacji.
