Viime viikolla haukuin tekoälykoulutukset ja edelleen sanojeni takana järkähtämättä seison. Tällä viikolla hypätään sitten tietoturvan ihmeelliseen maailmaan - varsin pintapuolisesti, myönnän - mutta syvällisempää tietoa kaipaavat varmasti sitä myös osaavat hakea.
Jos ette organisaationa ole jämähtäneet ruutupaperiaikaan, moni työntekijöistänne käyttää ChatGPT:tä, Claudea, Copilotia ja muita tekoälytyökaluja jo nyt - olittepa linjanneet niiden käyttöön liittyen mitä tahansa.
Jos AI:n käyttö on esimerkiksi tietoturvasyistä kielletty, se tehdään sitten salaa. Ja juuri tämä – käyttö ilman ohjeistusta – on ylivoimaisesti suurin yksittäinen tietoturvariski.
Kun käyttää esimerkiksi ChatGPT:n ilmaisversiota, antaa OpenAI:lle oikeuden käyttää syöttämäänsä dataa mallien kouluttamiseen. Mallien kouluttamisen voi toki kieltää asetuksista, mutta sokeasti en siihen luottaisi.
Tämä tarkoittaa, että liikesalaisuudet, asiakastiedot, strategiat ja mitä ikinä voivat päätyä osaksi mallia, jota myös kilpailijat käyttävät. Ei kukaan moista tahallaan tee, vaan siksi, että kukaan ei kertonut, mitä tietoa sovelluksille voi antaa ja mitä ei.
Linjauksissa pääsee pitkälle jo ihan maalaisjärjellä, esimerkiksi kieltämällä vaikkapa juuri edellä mainittujen dokumenttien antamisen. Mutta jos pelisääntöjä ei ole, vaikea niitä on noudattaa.
Mutkikkaampia ovat kolmannen osapuolen sovellukset, jotka vaativat toimiakseen pääsyn suurin piirtein joka kolkkaan. Samoin erilaiset integraatiot, kuten vaikkapa AI-sovelluksen pääsy Googlen Workspaceen, ovat käytön kannalta houkuttavia, mutta tietoturvan näkökulmasta riskialttiita.
Niin pitkään kuin pääsyä ei pysty varmuudella rajaamaan, parempi on jättää kytkennät tekemättä.
Näillä opeilla pääsee pitkälle melkein joka putiikissa:
1. Luo selkeät pelisäännöt. Kerro, mitä saa ja mitä ei saa syöttää AI-työkaluille. Käyttökohteita kyllä riittää niinkin, että minkään sortin riskiä ei pääse syntymään. Esimerkiksi minä teen aina niinkin simppelin happotestin, että mietin päissäni, mitä voisi pahimmillaan tapahtua, jos antamani tieto vuotaisi yleiseen käyttöön.
Melkein aina vastaus on, että ei yhtikäs mitään. Moni firma sitä paitsi pitää “arkaluontoisena” kaikkea tietoa toimitusjohtajan kengännumerosta lähtien, vaikka se ei voisi ulkopuolisia vähempää kiinnostaa saati hyödyttää.
2. Hanki yritystason työkalut. Kaikki suuret toimijat tarjoavat yrityslisenssejä, joissa dataa ei (heidän mukaansa) käytetä mallien kouluttamiseen. Tämä maksaa jonkin verran extraa, mutta rutkasti halvempaa se on kuin tietovuotojen paikkailu.
3. Kouluta ihmisiä. Työntekijät ovat ns. "Firewall Zero" – ensimmäinen ja tärkein palomuuri. Porukka ei mokaile tahallaan, vaan siksi, etteivät tiedä. Siispä opeta porukka tunnistamaan riskit ja käyttämään työkaluja turvallisesti.
4. Koordinoi hommaa IT:n ja lakiosaston kanssa. Varsinkin isommissa firmoissa tarvitaan talkoisiin IT-osasto/kumppani ja mahdollisesti juristeja.
Summa summarum: AI:n käyttö ei ole "jos" vaan "miten". Organisaatiot, jotka ymmärtävät tämän ensimmäisenä ja rakentavat turvallisen käyttöympäristön ovat jo kaukana, kun muut vielä ihmettelevät toimitusjohtajan kengännumero -tason pulmia.
Kaikkein eniten jälkeen jäävät ne, jotka tyystin kieltävät tekoälytyökalujen käytön - ja mikä hoopointa, sama jengi on usein myös kaikista alttein riskeille.
Ensi viikolla pohdin, onko AI:n myötä koittanut generalistien kulta-aika.
Tsemppiä viikkoon!
Arttu
Lähteet: