Karyawan Terlalu Sering Memasukkan Data Sensitif ke Perintah GenAI

Para peneliti menemukan bahwa spektrum data yang luas dibagikan oleh karyawan melalui alat AI generatif (GenAI), yang melegitimasi banyak hal keragu-raguan organisasi untuk sepenuhnya mengadopsi praktik AI.

Setiap kali pengguna memasukkan data ke dalam perintah untuk ChatGPT atau alat serupa, informasi tersebut dimasukkan ke dalam kumpulan data LLM layanan sebagai bahan sumber yang digunakan untuk melatih algoritme generasi berikutnya. Kekhawatirannya adalah informasi tersebut dapat diambil di kemudian hari melalui petunjuk yang cerdaskerentanan, atau peretasan, jika keamanan data yang tepat tidak diterapkan pada layanan.

Hal ini diungkapkan oleh para peneliti di Harmonic, yang menganalisis ribuan permintaan yang dikirimkan oleh pengguna ke dalam platform GenAI seperti Microsoft, Copilot, OpenAI ChatGPT, Google Gemini, Anthropic's Clause, dan Perplexity. Dalam penelitian mereka, mereka menemukan bahwa meskipun dalam banyak kasus perilaku karyawan dalam menggunakan alat-alat ini bersifat langsung, seperti ingin meringkas sebuah teks, mengedit blog, atau tugas lain yang relatif sederhana, ada sejumlah permintaan yang sangat banyak. lebih berkompromi. Secara keseluruhan, 8,5% dari yang dianalisis Perintah GenAI menyertakan data sensitiftepatnya.

Data Pelanggan Paling Sering Bocor ke GenAI

Itu data sensitif yang dibagikan oleh karyawan sering kali terbagi dalam salah satu dari lima kategori: data pelanggan, data karyawan, hukum dan keuangan, keamanan, dan kode sensitif, menurut Harmonic.

Data pelanggan memegang bagian terbesar dari permintaan data sensitif, yaitu 45,77%, menurut para peneliti. Contohnya ketika karyawan mengajukan klaim asuransi yang berisi informasi pelanggan menjadi platform GenAI untuk menghemat waktu dalam memproses klaim. Meskipun hal ini mungkin efektif dalam membuat segala sesuatunya menjadi lebih efisien, memasukkan informasi pribadi dan sangat rinci seperti ini mempunyai risiko tinggi untuk mengungkap data pelanggan seperti informasi penagihan, otentikasi pelanggan, profil pelanggan, transaksi pembayaran, kartu kredit, dan banyak lagi.

Data karyawan merupakan 27% dari permintaan sensitif dalam studi Harmonic, yang menunjukkan bahwa alat GenAI semakin banyak digunakan untuk proses internal. Ini bisa berarti tinjauan kinerja, keputusan perekrutan, dan bahkan keputusan mengenai bonus tahunan. Informasi lain yang akhirnya ditawarkan untuk kemungkinan kompromi mencakup catatan pekerjaan, informasi pengenal pribadi (PII), dan data penggajian.

Informasi hukum dan keuangan tidak begitu sering terekspos, yaitu sebesar 14,88%, namun jika terekspos, hal ini dapat menimbulkan risiko perusahaan yang besar, menurut para peneliti. Sayangnya, ketika GenAI digunakan dalam bidang ini, itu hanya untuk tugas-tugas sederhana seperti pemeriksaan ejaan, terjemahan, atau ringkasan teks hukum. Untuk sesuatu yang sangat kecil, konsekuensinya sangat tinggi, mempertaruhkan berbagai data seperti rincian jalur penjualan, informasi merger dan akuisisi, dan data keuangan.

Informasi keamanan dan kode keamanan masing-masing menyumbang jumlah kebocoran data sensitif terkecil, masing-masing sebesar 6,88% dan 5,64%. Namun, meskipun kedua kelompok ini kurang dibandingkan dengan kelompok yang disebutkan sebelumnya, menurut para peneliti, kedua kelompok ini adalah kelompok yang paling cepat berkembang dan paling memprihatinkan. Data keamanan yang dimasukkan ke dalam GenAI mencakup hasil uji penetrasi, konfigurasi jaringan, rencana pencadangan, dan banyak lagi, yang memberikan pedoman dan cetak biru yang tepat tentang bagaimana pelaku kejahatan dapat mengeksploitasi kerentanan dan memanfaatkan korbannya. Kode yang dimasukkan ke dalam alat-alat ini dapat menempatkan perusahaan teknologi pada posisi yang tidak menguntungkan dalam persaingan, memperlihatkan kerentanan dan memungkinkan pesaing untuk meniru fungsi-fungsi unik.

Menyeimbangkan Risiko & Imbalan Siber GenAI

Jika penelitian menunjukkan bahwa GenAI menawarkan potensi konsekuensi yang berisiko tinggi, haruskah dunia usaha terus menggunakannya? Para ahli mengatakan mereka mungkin tidak punya pilihan.

“Organisasi berisiko kehilangan daya saing jika mereka mengekspos data sensitif,” kata para peneliti dalam laporan tersebut. “Namun pada saat yang sama, mereka juga berisiko mengalami kerugian jika tidak mengadopsi GenAI dan tertinggal.”

Stephen Kowski, kepala bidang teknologi (CTO) di SlashNext Email Security+, setuju. “Perusahaan yang tidak mengadopsi AI generatif berisiko kehilangan keunggulan kompetitif yang signifikan dalam hal efisiensi, produktivitas, dan inovasi karena teknologi terus mengubah operasi bisnis,” katanya dalam pernyataan melalui email kepada Dark Reading. “Tanpa GenAI, bisnis akan menghadapi biaya operasional yang lebih tinggi dan proses pengambilan keputusan yang lebih lambat, sementara pesaing mereka memanfaatkan AI untuk mengotomatisasi tugas, mendapatkan wawasan pelanggan yang lebih mendalam, dan mempercepat pengembangan produk.”

Namun, ada pula yang tidak setuju bahwa GenAI diperlukan, atau bahwa suatu organisasi memerlukan kecerdasan buatan sama sekali.

“Memanfaatkan AI demi penggunaan AI pasti akan gagal,” kata Kris Bondi, CEO dan salah satu pendiri Mimoto, dalam pernyataan email kepada Dark Reading. “Bahkan jika program ini diterapkan sepenuhnya, jika program ini tidak memenuhi kebutuhan yang ada, program ini akan kehilangan dukungan ketika anggaran pada akhirnya dipotong atau dialokasikan kembali.”

Meskipun Kowski percaya bahwa tidak menggabungkan GenAI itu berisiko, kesuksesan masih bisa dicapai, katanya.

“Kesuksesan tanpa AI masih dapat dicapai jika perusahaan memiliki proposisi nilai yang menarik dan model bisnis yang kuat, khususnya di sektor-sektor seperti teknik, pertanian, layanan kesehatan, atau layanan lokal di mana solusi non-AI seringkali memberikan dampak yang lebih besar,” katanya.

Jika organisasi memang ingin menerapkan alat GenAI namun ingin memitigasi risiko tinggi yang menyertainya, para peneliti di Harmonic memiliki rekomendasi tentang cara terbaik untuk melakukan pendekatan ini. Yang pertama adalah untuk melampaui “strategi blok” dan menerapkan tata kelola AI yang efektif, termasuk menerapkan sistem untuk melacak masukan ke alat GenAI secara real-time, mengidentifikasi rencana apa yang digunakan dan memastikan bahwa karyawan menggunakan rencana berbayar untuk pekerjaan mereka dan bukan rencana yang menggunakan data yang dimasukkan untuk melatih sistem, mendapatkan visibilitas penuh atas alat-alat ini, klasifikasi data sensitif, membuat dan menerapkan alur kerja, dan melatih karyawan tentang praktik terbaik dan risiko penggunaan GenAI yang bertanggung jawab.