老闆都不知道的資安風險:員工都在用的「影子 AI」,因應做法是什麼?
生成式 AI 浪潮下,AI 工具如 ChatGPT 推陳出新、變得更觸手可及,從撰寫商業計劃到用大白話解釋複雜主題等,能協助人類完成許多事。一篇由哈佛商學院等研究人員提出的論文更指出,員工運用生成式 AI 將工作生產力提高了 40%。
然而,當工作者或企業正爭先恐後地探索生成式 AI 的好處,名為「影子 AI」(shadow AI)的技術風險隨之而來,成為企業需要管控的議題。
影子 AI 被危險地忽略了
影子 AI 指的是,員工在工作中使用 AI 工具,藉此讓工作更有效率,但管理階層毫不知情。舉例來說,員工可能會要求 AI 掃描數百個 Powerpoint 檔案來尋找重要資訊,或是要求 AI 協助摘要會議紀錄的重點。
這樣的情形有多廣泛?針對全球 14 個國家、14,000 名員工進行的 Salesforce 調查顯示,有 28% 的員工在工作中使用生成式 AI 工具,其中有超過 50% 的使用沒有經過雇主批准。
《Fast Company》報導,一般來說,員工追求效率的做法出於好意,是為了簡化工作任務,特別是單調的任務或費力的流程,但也可能為公司帶來新的營運風險。美國研調公司 Forrester Research 預測,2024 年有 60% 員工會在工作中使用自己的 AI 工具,進而帶來監管和合規性挑戰。
影子 AI 帶來的 2 大風險
根據《Fast Company》,影子 AI 的風險是雙重的。首先,員工可能會在這些 AI 工具中提供公司敏感資料,或是在技術後台將公司資料開放提供 AI 工具爬取。
不過企業通常依賴第三方工具和服務供應商,因此真正的問題並不是在於開放數據,而是當相關工具和數據處理策略沒有經過企業評估和批准時,可能會出狀況,例如無法保證員工在 AI 工具中輸入的公司資訊會流向何方。
影子 AI 的第二個風險在於,由於企業通常不知道員工正在使用特定工具,因此無法評估並採取措施減輕風險。換言之,這些使用都是在企業看不見的暗處發生。
企業怎麼降低影子 AI 風險?5 大建議一次看
生成式 AI 浪潮襲來,企業如果想確保團隊在 AI 帶來的效率和洞察力中受益,該採取哪些措施來因應影子 AI 風險?資安媒體《The Hacker News》分享 5 大建議,提供企業做好準備:
1. 考慮實施或修改應用程式和資料策略
應用程式政策可以為組織提供明確的指導方針和透明度。《The Hacker News》指出,一個簡單的「允許清單(allow-list)」就可以納入企業 SaaS 提供者建立的 AI 工具,任何未包含在內的工具則不被允許連結使用。此外,企業也可以制定資料策略,規範哪些類型的資料可以輸入 AI 工具之中。
2. 定期員工培訓
《The Hacker News》指出,很少有員工懷著惡意使用 AI 工具,且絕大多數人沒有意識到他們使用未經批准的 AI 時,會導致公司面臨危險。因此,透過培訓資源,能讓員工了解 AI 工具導致外洩的原理和風險。
3. 讓 AI 工具的使用政策易於理解
企業要喚起內部員工正視影子 AI 的風險,必須確保將運用指南寫得清晰且容易取得。當員工知道哪些數據可以輸入生成式 AI 工具,或可以選擇哪些經過批准的供應商時,就更能推動以安全為優先的 AI 技術採用。
4.針對供應商評估中提出關鍵問題
當企業需要針對 AI 工具進行評估,需要安全及資料隱私的法遵情況,需要深入了解的關鍵問題包含:誰將使用 AI 工具──是否僅限於某些個人或團隊?承包商、合作夥伴或客戶是否有權存取?此外,哪些個人和公司可以存取提交到 AI 工具的提示(prompt)?預計使用的 AI 工具是否連動了相關操作,例如更改文件?
5. 不要忽視盡職調查
針對員工所使用的 AI 工具,企業必須確保團隊或法務部門了解服務條款,《The Hacker News》指出,即便這不一定能防止資料外洩,一旦 AI 工具的供應商違反條款,將能為組織帶來保障。
除了檢視外部工具,企業也可以考慮打造專屬的生成式 AI 工具。《VentureBeat》報導,為了解決資料外洩隱憂,零售商沃爾瑪、LinkedIn 皆為自家員工打造了「生成式 AI 樂園(Generative AI Playground)」;Meta 也建立使用公司內部數據的 AI 聊天機器人「Metamate」給員工使用。
當工作者、企業逐漸將生成式 AI 導入工作流程,上述做法可以讓企業利用 AI 來減輕員工工作痛點、提高生產力,同時又保護資料安全,因應影子 AI 帶來的挑戰。
【推薦閱讀】
*本文開放夥伴轉載,參考資料:MIT Sloan、《Fast Company》、《VentureBeat》1、《The Hacker News》 、《VentureBeat》2。首圖來源:Unsplash。