Coraz większym zagrożeniem dla bezpieczeństwa danych w firmach staje się zjawisko określane jako „shadow AI”. Polega ono na wykorzystywaniu przez pracowników narzędzi sztucznej inteligencji, zwłaszcza czatbotów, do pracy z dokumentami zawierającymi wrażliwe informacje o przedsiębiorstwie lub jego klientach. Eksperci ds. cyberbezpieczeństwa ostrzegają, że takie praktyki mogą prowadzić do niekontrolowanego ujawnienia danych, które w skrajnych przypadkach mogą zostać odzyskane przez cyberprzestępców przy użyciu odpowiednio sformułowanych zapytań.

Specjaliści wskazują, że w wielu organizacjach nadal brakuje jasnych zasad dotyczących korzystania z narzędzi opartych na sztucznej inteligencji. Jak podkreśla ekspertka ds. cyberbezpieczeństwa Joanna Wziątek-Ładosz, część przedsiębiorstw nie posiada żadnych wewnętrznych regulacji określających, jakie informacje mogą być przetwarzane przez systemy AI. Tymczasem odpowiedzialność za wprowadzenie takich zasad spoczywa na pracodawcach i wynika m.in. z przepisów unijnego aktu o sztucznej inteligencji. W praktyce to zarząd i kierownictwo firmy powinni określić, które dokumenty mogą być wykorzystywane w narzędziach AI, a które powinny pozostać poza nimi.

Ekspertka zwraca uwagę, że kolejnym istotnym problemem jest brak odpowiedniego zarządzania dostępem do danych. – Firmy często nie pilnują, kto i do czego ma dostęp. To może spowodować, że np. były pracownik z łatwością przekaże strategiczne informacje konkurencji – wskazuje.

Do częstych przyczyn naruszeń bezpieczeństwa należy także niewłaściwa polityka haseł. W wielu organizacjach stosowane hasła są zbyt krótkie i mało skomplikowane, choć powinny liczyć od 12 do 16 znaków. Równie ważnym zabezpieczeniem jest uwierzytelnianie dwuetapowe, które wciąż nie jest powszechnie stosowane. – Jeśli hakerowi uda się złamać hasło, drugi składnik może uniemożliwić mu dostęp do zasobów w firmie – tłumaczy Joanna Wziątek-Ładosz. Rozwiązania te nie muszą opierać się wyłącznie na aplikacjach w telefonach komórkowych – coraz częściej wykorzystuje się również fizyczne klucze bezpieczeństwa przypominające pendrive’y lub karty dostępu pracowników.

Zagrożeniem dla danych bywa również przesyłanie poufnych dokumentów w załącznikach do e-maili. – Czasami pracodawca uniemożliwia wysyłanie pocztą służbową danych uznanych za poufne, ale pracownicy potrafią to obchodzić np. wysyłając sobie krytyczny plik, korzystając ze swojej prywatnej skrzynki mailowej, która może stać się celem cyberprzestępcy – zwraca uwagę ekspertka.

Joanna Wziątek-Ładosz podkreśla, że skuteczna ochrona danych powinna rozpoczynać się od określenia, które informacje w firmie mają charakter krytyczny. Do tej kategorii należą m.in. dane klientów, informacje finansowe i płacowe, dokumentacja przetargowa, własność intelektualna czy strategie biznesowe. Kolejnym krokiem jest ustalenie, gdzie takie dane są przechowywane oraz kto ma do nich dostęp. – Kolejna istotna kwestia to kopia zapasowa danych (backup), która powinna być tworzona regularnie. Trzeba ustalić, gdzie znajduje się backup – nie powinien być trzymany w tym samym miejscu, co oryginały. Co najmniej jedna kopia powinna być przechowywana offline, czyli zostać całkowicie odseparowana od internetu i sieci firmowej. Warto też regularnie robić test odtworzeniowy, który pokaże, czy można prawidłowo przywrócić dane po ataku i czy firma będzie mogła dalej funkcjonować – wyjaśnia ekspertka.

Zwraca również uwagę na konieczność aktualizowania oprogramowania tzw. urządzeń brzegowych, czyli tych elementów infrastruktury, które łączą sieć firmową z internetem. Niewykryte luki bezpieczeństwa w takich urządzeniach mogą stać się łatwym punktem wejścia dla cyberprzestępców. Ważnym elementem ochrony są też procedury dla pracowników, którzy mogą otrzymać polecenie zmiany numeru konta bankowego do płatności. Cyberprzestępcy często podszywają się pod przełożonych lub kontrahentów, dlatego firmy powinny wprowadzić dodatkowe mechanizmy potwierdzania takich dyspozycji i limity kwot wymagających dodatkowej autoryzacji.

Zdaniem Joanny Wziątek-Ładosz regularne szkolenia z zakresu cyberzagrożeń powinny obejmować zarówno pracowników, jak i kadrę zarządzającą. – Szkolenia powinny być krótkie, oparte o aktualne praktyki cyberbezpieczeństwa i prawdziwe przykłady oraz prowadzone na żywo przez drugiego człowieka. Badania pokazują, że szkolenia online nie są skuteczne, ponieważ pracownicy często nie skupiają się na ich treści, a jedynie je "przeklikują" w celu zaliczenia. A takie podejście nie ochroni danych firmowych. Najlepszym zabezpieczeniem w firmie nie jest technologia, tylko świadomy pracownik. Ale świadomość nie przychodzi z przeklikania slajdów, tylko z rozmowy z drugim człowiekiem – podksumowuje ekspertka.

fot. freepik.com
oprac. /kp/