Daugelis DI įrankių nėra visiškai saugūs

„ChatGPT“, jo atitikmuo – „Microsoft Copilot“, kuris yra integruotas į „Microsoft Edge“ naršyklę, taip pat „Github copilot“, „Gemini“, „IBM Watson“, „Midjourney“, „Google Translate“, „DeepL“, „Bing Translate“, „Yandex Translate“, „Baidu Translate“, „Grammarly“ – ar naudojatės bent vienu iš šių įrankių? Jeigu taip, turėtumėte gerai pagalvoti, kokią informaciją ten vedate.

IT kompanijos „Squalio Lietuva“ direktorė Edita Pulkauninkė pastebi, kad vartotojai neretai į tokias platformas kelia konfidencialią medžiagą, nepagalvodami apie tai, kad ta informacija serveriuose yra kaupiama.

„O įmonės dažniausiai net nežino ir negali pamatuoti, kokia proporcija jautrių duomenų jų darbuotojų rankomis jau buvo nutekinta.

Asmeninio archyvo nuotr./Edita Pulkauninkė

Apskritai, pastebime, kad įmonės kol kas dar neturi aprašytų taisyklių, kuo darbuotojai gali naudotis ir kokius duomenis kelti. Niekas nežino nei kiek, nei kokios informacijos yra įkelta, nei kaip tą informaciją panaudos DI įrankiai – ar ji bus panaudota rengiant kibernetines atakas, ar ji bus kaupiama duomenų bazėse“, – pranešime cituojama ji.

Nebūtina įsilaužti, užtenka užduoti klausimą

Jautri informacija nėra tik asmeniniai duomenys ar banko prisijungimai. Pasak IT įmonės „Cognizant“ saugumo analitiko Justino Radzevičiaus, pavyzdžiui, „OpenAI“ produktai kaupia vartotojų kontaktinę informaciją, pervedimų istoriją, vietos, prisijungimo duomenis ir jie gali būti bendrinami su trečiąja šalimi, pasitelkiami tyrimams.

E.Pulkauninkė taip pat akcentuoja, kad privati informacija yra ir komercinės paslaptys, receptūros, produktų techninės specifikacijos, kuriančios konkurencinį pranašumą. Niekas nenorėtų, kad tokia informacija taptų vieša. Tačiau taip gali nutikti.

Ir jau yra taip nutikę. „Baltimax“ kibernetinio saugumo inžinierius, ESET specialistas Lukas Apynis, priminė praėjusiais metais skelbtus incidentus.

„Samsung Electronics“ uždraudė naudotis „ChatGPT“, nes pernai tos įmonės inžinierius nukopijavo jautrų programinį kodą į „ChatGPT“ ir tada jis nutekėjo.

Pernai ir dėl paties „ChatGPT“ klaidos nutekėjo duomenys ir buvo matyti visi susirašinėjimai, banko kortelių duomenys, paskutiniai keturi banko kortelių skaitmenys, mokėjimo adresai, el. paštai tų žmonių, kurie mokėjo už „Premium“ versijas“, – pasakojo pašnekovas.

Tad duomenys gali būti paviešinti net nesilaužiant ir tokia informacija laisvai gali pasinaudoti sukčiai.

Be to, kaip 15min aiškino L.Apynis, bet koks vartotojas, pateikęs tinkamą, detalią užklausą, gali gauti kažkada jūsų suvestą privačią, konfidencialią informaciją.

Asmeninio archyvo nuotr./Lukas Apynis

Kodėl taip yra? Pasak L.Apynio, pavyzdžiui, „ChatGPT“ ar „Microsoft Copilot“ renka jam įvestus duomenis, kaupia juos ir mokosi iš jų. Vartotojų suvesta informacija niekur nedingsta, tad kitas asmuo, pateikęs užklausą, gali gauti atsakymą su informacija, surinkta ne tik iš interneto platybių, bet ir pačioje platformoje įvairių vartotojų suvestos informacijos.

„Tai kai kuriems žmonėms kitų vartotojų suvesta informacija gali būti paduota kaip atsakymas“, – reziumavo ekspertas.

Prie susirašinėjimo langų yra nurodyta, kad nereikėtų vesti konfidencialios informacijos ar tokios, kurios nenorėtumėte, kad peržiūrėtojas matytų ar naudotų technologijoms tobulinti. Visgi, kiek daug žmonių į tai kreipia dėmesį?

„Mažai. Deja, taip yra“, – pripažino L.Apynis.

Kurti savus įrankius

E.Pulkauninkė įmonėms siūlo atlikti „Shadow AI“ vertinimą, parodantį, koks procentas darbuotojų naudojasi DI priemonėmis. Jeigu skaičius didelis, reikėtų imtis saugumo priemonių. Kol kas, jos akimis, daugelis į tai tiesiog numoja ranka.

Shutterstock nuotr./Dirba kompiuteriu

Tačiau netyčinio ar tyčinio duomenų atskleidimo pasekmės gali būti nemenkos. Tai kelia pavojų intelektinei nuosavybei, komercinėms paslaptims, finansams, taip pat ir reputacijai, nes paviešinti jautrūs duomenys gali nepataisomai pakenkti santykiams su klientais, partneriais ir kitomis suinteresuotosiomis šalimis.

„Visi dabar žiūri tik, kaip palengvinti sau gyvenimą, bet nepagalvoja, kad reikėtų susidėlioti saugų DI įrankių išsibandymo lauką. Pavyzdžiui, saugiai pasibandyti „ChatGPT“ ir pasižaisti su konfidencialia informacija galima ir uždaroje aplinkoje, pasinaudojant offline versija“, – aiškino specialistė.

L.Apynis paminėjo, kad nemažai DI įrankius siūlančių bendrovių jau yra parengusios ir saugesnes „Premium“ versijas verslams. Už jas tenka nemažai susimokėti, bet aiškinama, kad tada suvedama informacija nėra kaupiama ir naudojama technologijai tobulinti.

„Na, bent jau taip sako, nežinia, kiek tuo galima tikėti“, – teigė jis, paminėdamas, kad žino atvejų, jog kai kurios didelės organizacijos šiuos planus perka, o kitos net ir visai draudžia naudoti kai kuriuos DI paremtus įrankius. Per įmonės tinklą telefonuose ir kompiuteriuose tiesiog tam tikros programos blokuojamos.

J.Radzevičius taip pat teigė žinantis daug tokių draudimo atvejų, bet nemanantis, kad tai išeitis.

„Tai nėra labai efektyvu, kadangi darbuotojai gali pasinaudoti DI įrankiais iš savo asmeninio įrenginio ar prisijungę iš kito tinklo“, – 15min teigė jis.

Įmonės nuotr./Justinas Radzevičius

Dėl šios priežasties didelės IT kompanijos dažniausiai kuria savus įrankius, paremtus DI, ir darbuotojams liepia naudotis būtent jais.

„Nors tai trunka ilgiau, bet tokiu būdu užtikrinama duomenų ir intelektinės nuosavybės apsauga. Per ateinančius kelerius metus organizacijoms, kurios nori išlikti inovacijų aukštumose ir neprarasti konkurencingumo, DI sprendimų kūrimas ir integravimas bus svarbus ir reikalingas“, – kalbėjo J.Radzevičius.

Grįžti prie tradicinių įrankių?

Ne visos įmonės perka „Premium“ planus, o ką jau kalbėti apie savus DI įrankius. Individualūs gyventojai, pasak L.Apynio, juolab mažiau galvoja apie duomenų saugumą.

„Žmonės vis tiek nori nemokamo produkto, daugelis tikrai nemokės už tai. Bet jie turi suprasti, kad kai paslauga yra nemokama, produktu tampa jie patys, jų duomenys“, – akcentavo kibernetinio saugumo inžinierius.

Ir jis turi kelis paprastus kasdienybėje galimus naudoti patarimus. Jeigu informacija itin konfidenciali, L.Apynis rekomenduoja vietoje pokalbių robotų rinktis tiesioginį bendravimą su žmonėmis el. paštu, telefonu, vaizdo pokalbiais ar diskusijų grupėmis.

Gyventojams turi patarimą ir dėl vertimo įrankių. Vietoje įprastų naudoti „LibreTranslate“, kurį galima įsidiegti ir naudoti be interneto. Kiek mažiau patrauklūs, bet saugūs variantai yra tradiciniai – žodynai, frazių knygos ar samdomi vertėjai.

„Svarbu atsiminti, kad nėra visiškai saugių interneto įrankių. Visada yra rizika, kad duomenys gali nutekėti. Tačiau galima sumažinti šią riziką – patikrinti, kokius duomenis renka ir kaip juos naudoja kiekvienas įrankis, suteikti minimalią prieigą prie savo duomenų, suaktyvinti dviejų veiksnių autentifikavimą ir kitus saugumo nustatymus“, – patarė L.Apynis.