Perché le risorse umane dovrebbero presumere che ogni strumento di intelligenza artificiale sul lavoro sia stato compromesso

L’intelligenza artificiale è probabilmente utilizzata dai vostri dipendenti per le ricerche, per riassumere le trascrizioni o per sviluppare analisi della concorrenza. Forse hanno le migliori intenzioni di rimanere al passo con la tecnologia e migliorare l’efficienza, ma stanno mettendo a rischio la vostra azienda. È probabile che ogni strumento di IA di uso comune sia stato compromesso, mettendo a rischio i dati e la reputazione della vostra azienda.

Questi rischi sono ulteriormente aggravati dalla crescente globalizzazione delle aziende. “I trasferimenti involontari di dati attraverso le frontiere spesso avvengono a causa di una supervisione insufficiente. Ciò è particolarmente vero quando la tecnologia GenAI viene integrata in prodotti esistenti, senza una chiara descrizione o annuncio”, ha spiegato Joerg Fritsch VP analyst, Gartner.

Le organizzazioni notano cambiamenti nei contenuti creati dai dipendenti che utilizzano GenAI. Questi strumenti sono adatti alle applicazioni aziendali, ma possono rappresentare un rischio per la sicurezza se le informazioni sensibili vengono inviate a strumenti AI o API situati in luoghi non identificati.

Evitare le mine della conformità

Il problema principale è l’inserimento da parte dei dipendenti di dati proprietari di aziende o clienti in strumenti di intelligenza artificiale destinati ai consumatori. Questo avviene al di fuori della supervisione aziendale. Gli strumenti di IA spesso conservano gli input degli utenti il più a lungo possibile e utilizzano i dati per migliorare i loro modelli di apprendimento. Questa dinamica può rendere gli strumenti “migliori” in termini di risultati, ma crea anche l’opportunità per i cattivi attori e i problemi di conformità alle normative.

Immaginate un ospedale in cui il personale potrebbe includere:

  • Inserire dati sanitari protetti (PHI), come il nome del paziente, le cartelle cliniche o altre informazioni, negli strumenti pubblici dell’AI.
  • L’IA può essere utilizzata per creare comunicazioni al paziente o istruzioni per l’assistenza personalizzate in base alle esigenze dell’individuo, utilizzando i dati personali.
  • Caricare risultati di laboratorio o immagini in uno strumento di IA per analizzarli o fornire una seconda visione potrebbe esporre i dati del paziente.

I dipendenti violano il protocollo se utilizzano ChatGPT o qualsiasi altro strumento di intelligenza artificiale. Non è necessario che si sia verificata una violazione per non essere conformi.

Comprendere i problemi comuni di sicurezza dell’IA

Ci sono diversi problemi di sicurezza che si verificano con gli strumenti di IA utilizzati sul posto di lavoro. Il problema più comune è quando le credenziali API sono state incorporate direttamente nel codice front-end di un sito web. È come attaccare “123password”, su un foglietto adesivo, al monitor in modo che chiunque possa vederlo. Chi trova questo codice può facilmente entrare nel sistema.

Microsoft 365 Copilot è un altro provider che ha sperimentato questo problema. I difetti hanno causato perdite di contesto tra i contenuti. Un bug del software ha portato all’accesso accidentale di informazioni riservate da parte di un altro utente.

Gli strumenti di intelligenza artificiale pubblici espongono la proprietà intellettuale. Samsung, ad esempio, ha vietato ChatGPT quando alcuni ingegneri hanno caricato il codice sorgente per risolvere i bug. Questo dimostra il potenziale dell’IA nel risolvere problemi complessi, ma i dipendenti tendono a vedere questi strumenti come casseforti sicure. È necessario informarli meglio sui rischi. Quando le aziende non implementano politiche di integrazione dell’IA o non utilizzano strumenti sicuri, questo può portare a violazioni, problemi di conformità e incubi per le pubbliche relazioni.

Superare i malintesi

La maggior parte dei dirigenti ritiene che un’IA ben nota, come OpenAI, che riceve molta attenzione da parte dei media, sia sicura e che aderisca a linee guida per l’archiviazione e la sicurezza dei dati che sono nell’interesse degli utenti. La realtà è molto più allarmante. I dirigenti e i responsabili delle risorse umane spesso sottovalutano il numero di modi in cui è possibile compromettere i dati aziendali o subire una violazione.

Gli strumenti di intelligenza artificiale, ad esempio, spesso aderiscono a standard di conformità dei dati come SOC 2 e ISO. I team dirigenziali possono credere che le certificazioni siano a prova di bomba, ma ci sono altre minacce. Alcuni di questi rischi sono rappresentati da persone che ingannano gli strumenti di IA con token di accesso o iniezioni di prompt. Altri includono piattaforme di intelligenza artificiale che espongono accidentalmente i dati di altri utenti. Le liste di controllo della conformità alla sicurezza non affrontano questi rischi perché spesso passano inosservati.

I CHRO e i leader aziendali devono iniziare a considerare l ‘uso dell’IA ombra, o l’uso apertamente riconosciuto, come un pericolo alla stregua delle truffe di phishing o del mancato rispetto delle politiche di gestione delle password. Non solo devono selezionare gli strumenti di IA incentrati sul luogo di lavoro, ma anche monitorare le violazioni e istruirsi sui rischi associati agli strumenti di IA pubblici. Se non lo fanno, restano vulnerabili.

Fare passi avanti

I team delle risorse umane possono adottare immediatamente misure proattive per proteggere i propri dipendenti e le aziende dagli strumenti di IA che vengono utilizzati nel pubblico dominio. Questi includono:

  • Creare una “Politica di utilizzo accettabile dell’IA” che delinei chiaramente le aspettative e le linee guida, senza alcuna ambiguità. Le risorse umane possono rafforzare le politiche durante le sessioni di formazione trimestrale e di onboarding.
  • Approvare strumenti di IA sicuri con registrazioni di audit e controlli single sign-on, bloccando i servizi non approvati.
  • È possibile coinvolgere revisori esterni per individuare problemi relativi agli strumenti di intelligenza artificiale, come l’uso di iniezioni di prompt (quando qualcuno inganna un’intelligenza artificiale per farle fare qualcosa che non dovrebbe) o l’uso improprio di token che consentono l’accesso a informazioni private.
  • L’etichettatura dei dati è indispensabile in qualsiasi interazione con uno strumento di IA. Ogni prompt deve avere una nota che indichi se l’output è riservato e destinato solo all’uso interno o se è consentita la visualizzazione pubblica.
  • Creare e applicare procedure eque e severe per trattare con i dipendenti che non seguono le linee guida.

Un approccio a fiducia zero

Tutti questi sforzi devono essere accompagnati da un atteggiamento di fiducia zero. Nell’IT, ciò significa che si presume che qualsiasi strumento sia compromesso o che lo sarà presto.

Non date agli strumenti di intelligenza artificiale un ampio accesso a un sistema. Al contrario, concedete loro solo un accesso temporaneo e minimo. È inoltre importante istruire il personale IT su come monitorare gli accessi dei dipendenti e garantire che l’elaborazione dei dati sensibili tramite strumenti di IA rimanga all’interno del dispositivo o dell’ambiente controllato.

I responsabili delle risorse umane svolgono un ruolo importante nell’indirizzare l’adozione dell’IA verso piattaforme sicure e responsabili. È importante che i dati dell’IA rimangano sotto il controllo dell’organizzazione, sia in sede che nel cloud. Questo proteggerà la reputazione del marchio e la fiducia dei clienti.

È ovvio che le risorse umane e i dirigenti della C-suite non possono vietare le piattaforme di IA. Dovrebbero invece scegliere strumenti di IA più facili da usare e più potenti delle alternative disponibili per i consumatori. Questo approccio incoraggia l’adozione concentrandosi sull’utilità piuttosto che soffocare le innovazioni attraverso le politiche.

Don’t Stop Here

More To Explore

💬 Contatta un nostro operatore
1
Scan the code