Dla 7 na 10 użytkowników AI bezpieczeństwo danych jest najważniejszym czynnikiem budującym zaufanie do tej technologii – mówi raport Deloitte. Tymczasem dane KPMG wskazują, że wciąż 68% firm w Polsce nie ma opracowanej ścieżki wdrożenia rozporządzenia AI Act. Problem jest poważny, bo aplikacje GenAI, podobnie jak wiele innych aplikacji konsumenckich, są wprowadzani do środowisk pracy bez zgody lub nadzoru działów IT. Palo Alto Networks alarmuje, że już na początku 2025 roku średnia miesięczna liczba incydentów związanych z bezpieczeństwem danych podczas korzystania z nieautoryzowanych aplikacji GenAI wzrosła aż 2,5-krotnie.
Wkroczyliśmy w nową erę, w której technologia przechodzi błyskawiczną transformację. U podstaw tej rewolucji stoi GenAI, która zaledwie w kilka lat przeszła drogę od nowinki do jednego z kluczowych motorów napędowych gospodarki. Rosnąca presja na wzrost produktywności i pozornie proste rozwiązanie w postaci asystentów AI doprowadziły do tego, że firmy przekazują terabajty danych na serwery dziesiątek nieautoryzowanych aplikacji GenAI.
Najbardziej znane platformy konwersacyjnej sztucznej inteligencji, takie jak OpenAI ChatGPT, Google Gemini i Microsoft Copilot zdominowały krajobraz GenAI. W 2024 r. wykorzystanie GenAI w przedsiębiorstwach wzrosło średnio o 32% w ujęciu miesięcznym, w porównaniu z 20% w przypadku oprogramowania SaaS. Rośnie popularność tzw. asystentów pisania, czyli aplikacji, które pomagają użytkownikom, sugerując poprawki gramatyczne, ortograficzne, interpunkcyjne i stylistyczne w czasie rzeczywistym. Pierwsze miejsce w tej grupie należy do Grammarly – 39% wszystkich transakcji związanych z AI.
Już teraz przeciętne przedsiębiorstwo korzysta z około 66 rozwiązań GenAI, na które przenoszone są budżety IT z myślą o jak najszybszym zwrocie z inwestycji. Jednak rozwiązania, za którymi stoją znane podmioty o ugruntowanej reputacji to tylko część rynku. Aż 10% spośród badanych aplikacji GenAI Palo Alto Networks klasyfikuje jako rozwiązania wysokiego ryzyka dla bezpieczeństwa firm.
„Asystenci pisania wymagają dostępu do treści będących własnością firmy, chodzi między innymi o dane poufne i wrażliwe. Jeśli asystent pisania AI zostanie zintegrowany z systemami organizacji bez odpowiednich zabezpieczeń, może stać się wektorem cyberataków. Hakerzy mogą wykorzystać słabe punkty aplikacji, aby uzyskać dostęp do systemów wewnętrznych lub wrażliwych danych. Nasz zespół testował podatność tego rodzaju aplikacji i w 70% przypadków były one podatne na techniki jailbreakingu, czyli generowanie nieodpowiednich lub nawet zakazanych treści np. instrukcji dotyczących samookaleczenia, produkcji ładunków wybuchowych, budowy broni czy pozyskiwania nielegalnych substancji. Oznacza to, że większość aplikacji dostępnych na rynku może być słabo zabezpieczona, a przez to groźna dla użytkowników – tłumaczy Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Wschodniej.
Gwałtowny rozwój GenAI zasadniczo zmienił cyfrowy krajobraz przedsiębiorstw. Chociaż GenAI otwiera drogę do innowacji i zwiększa konkurencyjność, rozpowszechnianie nieautoryzowanych narzędzi AI naraża organizacje na większe ryzyko wycieku danych, naruszenia zgodności i wyzwania związane z bezpieczeństwem. Nie można pozwolić, aby tempo innowacji wyprzedziło środki bezpieczeństwa. Aby w pełni wykorzystać potencjał GenAI przy jednoczesnym ograniczeniu ryzyka, priorytetowe znaczenie ma ścisła kontrola danych, zarządzanie dostępem i systematyczne szkolenie pracowników.
Ponadto szefowie działów IT muszą być świadomi, że normy prawne takie jak NIS2, DORA czy AI Act nakładają na nich odpowiedzialność w zakresie ochrony wrażliwych danych. Rośnie zatem potrzeba wdrażania systemów zarządzania dostępem do platform i wtyczek GenAI – to bardzo podobne rozwiązanie do istniejących od lat systemów blokujących strony internetowe, z których korzystanie jest niezgodne z polityką firmy.
Rozwiązania oparte na GenAI są stosunkowo nowe zwłaszcza dla legislatorów, którzy muszą opracowywać uniwersalne normy prawne w warunkach ciągle ewoluującej technologii. Kiedy wszyscy powoli zaczęli rozumieć, że AI to milowy krok na miarę nowej rewolucji przemysłowej, gwałtownie wzrosła presja na poszukiwanie sposobów wykorzystania asystentów GenAI do zwiększania produktywności. Tak rozwinęło się powszechne stosowanie nieautoryzowanych narzędzi, które w połączeniu z brakiem jasnych zasad dotyczących korzystania ze sztucznej inteligencji przez pracowników i presją na szybkie wdrażanie AI naraża firmy i klientów na poważne ryzyka. Pomimo wzrostu wydajności, rośnie także ryzyko utraty danych, ujawnienia tajemnic handlowych lub wycieku kodu źródłowego. Wciąż brakuje powszechnej świadomości, że narzędzia GenAI nieznanego pochodzenia mogą być pułapką zastawioną przez cyberprzestępców na nieświadomego użytkownika.
1 Trust in Generative AI. Polska perspektywa 2024, s. 8
2 Barometr cyberbezpieczeństwa. Bezpieczeństwo AI – na progu rewolucji, s. 4
