Вопрос конфиденциальности при использовании ИИ в корпоративных процедурах

В прошлой статье речь шла о границах между подсказкой и решением, о том, где заканчивается польза технологии и начинается человеческая ответственность. Мы порассуждали на тему роли и участии ИИ в корпоративных процедурах.

Сегодня искусственный интеллект становится частью повседневных процессов: готовит документы, анализирует сделки, структурирует аргументы, формулирует письма. Главное, чтобы решений не принимал.

Что происходит с корпоративными знаниями и информацией, когда они выходят за пределы корпоративного периметра? И где заканчивается удобство и начинается риск того, что контроль над информацией перестает принадлежать тем, кто за нее отвечает? Как быть с режимом коммерческой тайны при использовании ИИ?

Мы все чаще доверяем машине не только мысль, но и информацию, на основе которой эта мысль рождается. И это уже другая граница, а именно граница конфиденциальности.

Нет ничего лучше простых примеров. 

Допустим сотрудник просит ChatGPT помочь написать письмо и вставляет в диалог реальный договор. Письмо красивое написали, а договор со всеми данными остался на серверах OpenAI. Другой пример про другого сотрудника, который работает в Google Sheets. Возможно это аналитик или член СД. В рамках работы он включает функцию «волшебный помощник AI». В итоге данные о клиентах скормили помощнику и у нас волшебной красоты графики, а вот данные наши остались у Google….Утечки могут происходить через разные механизмы: прямое использование ваших данных в ответах по чужим запросам, через утечки у партнеров разработчиков ИИ, так как OpenAI использует внешних подрядчиков для проверки данных, Google же передает данные внешним аналитикам. Все это выглядит как рутина, но именно из таких действий складывается новая практика и новый опыт, который приводит к необходимости переосмысления карты рисков безопасности корпоративной информации.

Искусственный интеллект не крадет информацию. Мы сами отдаем ее. Шаг за шагом мы не замечаем, где заканчивается внутренний контур компании и начинается внешний облачный периметр. Проблема не в инструментах, а в доверии, которое мы к ним испытываем. И чем привычнее становится ИИ в повседневной работе (или чем человечнее он нам кажется), тем меньше мы задаем себе вопрос, кому на самом деле принадлежит то, что мы ему показываем.

В четвертом квартале 2024 года Harmonic Research проанализировала десятки тысяч запросов, отправленных в ChatGPT, Copilot, Gemini, Claude и Perplexity, чтобы понять, какие типы информации передаются в системы GenAI. Результаты оказались тревожными: 8,5 % всех запросов содержали конфиденциальные данные. Почти половина этих данных (45,77 %) приходилась на клиентскую информацию: платежные сведения, отчеты, данные аутентификации. 26,83 % составляли документы сотрудников: зарплатные ведомости, данные о найме, персональные идентификаторы. 14,88 % это юридическая и финансовая информация, включая данные о сделках, инвестиционных портфелях и M&A. 6,88 % приходились на внутренние политики и отчеты по безопасности, 5,64 % на исходные коды и доступы (From Payrolls to Patents: The Spectrum of Data Leaked into GenAI). Спектр передаваемой информации показывает, что границы корпоративных систем безопасности данных стираются не внешними атаками, а самими пользователями.

Еще один громкий пример: инцидент в компании Samsung в 2023 г., сотрудники случайно раскрыли конфиденциальную информацию, используя ChatGPT для проверки внутреннего кода и документов. В результате Samsung решила запретить использование инструментов генеративного ИИ во всей компании, чтобы предотвратить будущие утечки (Samsung Bans Staff’s AI Use After Spotting ChatGPT Data Leak).

Исследование компании ManageEngine показало кошмарные цифры: 63% руководителей IT-подразделений считают утечку или раскрытие данных основным риском теневого ИИ. 91% сотрудников, напротив, считают, что теневой ИИ не представляет никакого риска. 32% передавали клиентские данные (или другими словами, персональные данные) без получения одобрения компании, 37% передавали внутренние данные компании в том числе и коммерческую тайну. 53% руководителей ИТ-отделов утверждают, что использование сотрудниками личных устройств для рабочих задач, связанных с ИИ, создает «слепую зону» в системе безопасности их организаций (Shadow AI as a Strategic Advantage: ManageEngine Report Points the Way Forward).

Пара слов про то что подразумевается под термином «теневой ИИ». Нет, это не что-то из «DarkNet» (хотя и там есть свои ИИ) или что-то созданное Лордами Ситхов. Теневой ИИ в данном контексте — это ИИ и его инструментарий (агенты ИИ), который используют сотрудники компании без согласования с ИТ службой. Т.е. это становится слабым звеном любой компании с точки зрения политик безопасности.

Друзья, давайте без иллюзий. Все что вы или ваши сотрудники загрузили в ИИ, все это там и осталось. Так или иначе эта информация может попасть в той или иной форме туда, куда ей попадать не следует. Большинство таких случаев происходят не из-за злого умысла, а из-за иллюзии безопасности. Кажется, что ничего страшного, «это же просто черновик все равно потом удалю». Но для модели нет разницы между черновиком и финальной версией отчета, все, что загружено, может стать частью обучающих данных.

ИИ не просто обрабатывает информацию, ИИ превращает ее в материал для других решений, уже вне вашего контроля.

Медицина столкнулась с этой проблемой раньше, чем бизнес. Когда алгоритмы начали помогать врачам в диагностике и анализе данных, вопрос конфиденциальности быстро перестал быть техническим и перерос в этический. В 2019 году проект Nightingale (партнерство Google и сети Ascension) показал, насколько тонка граница между обезличиванием и вмешательством в частную жизнь. Миллионы медицинских записей пациентов были переданы разработчикам ИИ для обучения алгоритмов без их согласия. Формально имена, контакты, адреса, и другие прямые идентификаторы пациентов удалялись. Но специалисты по данным выяснили, что даже без имен и номеров пациентов сочетание диагнозов, дат и анализов можно сопоставить с другими источниками и определить, кому именно принадлежат записи. Случай с Nightingale наглядно показал, что даже при действующих стандартах вроде HIPAA и GDPR простое удаление имен не делает данные по-настоящему обезличенными.

Прошлая статья касалась в основном использования ИИ в рамках корпоративных процедур и в том числе на заседании Совета директоров (ИИ как приглашенный член). И мы прекрасно понимаем, что на заседаниях Совета директоров обсуждается самое чувствительное: сделки, финансы до раскрытия, вознаграждения, иски, планы преемственности, возможные скандалы и стратегии преодоления сложных ситуаций. Все это требует не только конфиденциальности, но и осознания, что любая технологическая помощь в подготовке таких материалов — это потенциальный канал утечки. Если ИИ не присутствует на заседаниях (а я надеюсь, что прошлая статья вас в этом убедила), но его тем не менее используют в подготовке к ним: в аналитике, справках и черновиках, которые ложатся на стол членам Совета директоров и мы не можем не думать в связи с этим о новом дизайне политик корпоративной безопасности.

Все мы тут профессионалы своего дела, но в этой связи я не могу не напомнить, что в каждой компании как правило есть свои политики конфиденциальности, а так же 152-ФЗ «Закон о защите персональных данных» (там и требование о согласии людей на распространение их данных и вопрос локализации, данные граждан РФ должны храниться в России, а не в облаке иностранной компании). Для некоторых так же это Постановление Правительства №1236 (критическая инфраструктура), приоритезация российского ПО, это часть логики технологического суверенитета из обновленной Национальной стратегии ИИ (Указ Президента РФ от 10.10.2019 № 490 (ред. от 15.02.2024 «О развитии искусственного интеллекта в Российской Федерации», и Постановление Правительства РФ от 16 ноября 2015 г. № 1236 “Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд). Ну не буду далее сгущать краски, итак, все понятно.

Регулирование очерчивает рамки, но не решает вопрос доверия. Компания может формально соответствовать требованиям закона и при этом ежедневно отдавать внутренние данные внешним ИИ-сервисам.

Закон отвечает на вопрос «где хранить», но не на вопрос «кому доверять».

Теоретически риски приватности снимаются локальным развертыванием и Zero Trust-архитектурой. Это, по сути, архитектура с концепцией нулевого доверия. Такой подход к информационной безопасности, когда никто никому не доверяет. Каждый запрос перепроверяется. На реализацию данного подхода нужно потратить ресурсы и пожертвовать производительностью и скоростью. На практике: минус производительность, плюс капитальные и операционные расходы на шифрование, аутентификацию, инфраструктуру и лицензии.

Существуют разные оценки на предмет «стоимости входа», тут многое зависит от того, как и на сколько этот подход реализовывать. Конечно, для крупных компаний эти затраты могут быть позволительны (но все равно потери будут), а для мелких и средних компаний, это выходит слишком дорого. Ну и в целом для российских компаний добавьте требования локализации и импортозамещения (часть дешевых инструментов этой инфраструктуры нам просто запрещено использовать) и картина становится совсем «взрослой».

Безусловное доверие к алгоритмам заканчивается ровно там, где начинается их доступ к данным. Архитектура «нулевого доверия» это не паранойя, а признание реальности: никто никому не должен верить без проверки.

Но такая зрелость требует не только техники, но и дисциплины. Внедрение ИИ в корпоративные процедуры должно происходить комплексно. Это не просто доступ в еще одно приложение/интернет ресурс. Необходимо переосмысление всех взаимодействий с учетом нового фактора.

Корпорации уже не обсуждают, можно ли пользоваться ИИ, вопрос в том, как это делать, сохраняя контроль над информацией. Одни создают собственные закрытые модели, другие вводят фильтры и аудит промптов, третьи делают акцент на обучении сотрудников, есть даже примеры создания целых закрытых экосистем ИИ.

ИИ сам по себе не создает угрозу данным. Не верное использование ИИ создает угрозу

В эпоху ИИ побеждают не те, кто быстрее внедрил алгоритмы, а те, кто не утратил ясности в понимании зачем этот алгоритм внедрялся и как его правильно, эффективно и безопасно использовать. Технологии меняют многое вокруг нас, но при этом не отменяют ответственность.