Chat GPT i bezpieczeństwo danych: co warto wiedzieć, by skutecznie zarządzać ryzykiem
ekspert Uniwersytetu Ekonomicznego we Wrocławiu
Termin sztuczna inteligencja zaczyna być terminem buzz współczesnego społeczeństwa informacyjnego. Ludzie upatrują w tym terminie wiele użytecznych dla siebie rozwiązań. Jednak niewielu zastanawia się czym jest właściwie sztuczna inteligencja i jakie są lub mogą być skutki jej działania.
Dla sztucznej inteligencji podstawą są dane, których wymiar uzyskuje się dodając kontekst znaczeniowy. W kontekście AI można mówić o generatywności, czyli powiększaniu danych o losowe lub tworzone na podstawie algorytmów dane, których odpowiedniki trudno znaleźć w rzeczywistości. Takie niekontrolowane generowanie danych i w konsekwencji wiedzy może być szkodliwe dla użytkownika i potencjalnego odbiorcy treści.

Już dzisiaj należy bardzo krytycznie podchodzić do rozwiązań, które wykorzystują sztuczną inteligencję, między innymi w chatbotach, np. ChatGPT. Tym bardziej, że tworzenie różnego rodzaju złośliwego oprogramowania staje się wyjątkowo łatwe dla korzystających z tych narzędzi. Do tej pory włamania do systemów informatycznych czy kradzież danych z tych systemów była zarezerwowana dla tych, którzy prezentowali odpowiednią wiedzę z zakresu technologii informacyjnej, szczególnie programowania. Chatboty wręcz doskonale mogą radzić sobie z takimi działaniami. Poniżej dwa podstawowe przypadki użycia:
- Kradzież danych – chatbotowi można określić warunki co do kradzieży danych z określonych systemów informatycznych. Chatbot automatycznie wygeneruje odpowiedni kod programu, który dokona takiej kradzieży danych. Wszystko to jest realizowane poprzez polecenia wyrażone w języku naturalnym.
- Złośliwe szyfrowanie danych – chatbotowi można wskazać, jak ma być stworzony taki algorytm w języku naturalnym. Wiedza chatbota pozwoli na stworzenie takiego złośliwego rozwiązania i odpowiednio zaimplementowanie w środowisku informatycznym. W przypadku oprogramowania stworzonego przez człowieka, mógł on żądać okupu w celu deszyfracji danych. Chatbot stworzyłby takie złośliwe oprogramowanie, jednak już deszyfracja danych praktycznie jest niemożliwa.
Problem niekontrolowanego generowania danych, próby ich wyłudzenia czy kontroli nad udostępnianiem danych wrażliwych przez nieświadomego użytkownika w dzisiejszych czasach staje się wąskim gardłem bezpieczeństwa, szczególnie dla instytucji pożytku publicznego i biznesu.
Istnieje ryzyko, że niektóre poufne informacje mogą zostać ujawnione przez chatboty, jeśli nie zostaną podjęte odpowiednie środki ostrożności w obszarze bezpieczeństwa danych. ChatGPT i podobne generatory mogą popełnić błędy interpretacyjne lub nie zrozumieć kontekstu, zwłaszcza jeśli chodzi o bardziej skomplikowane lub specjalistyczne zagadnienia (halucynowanie), co może prowadzić do błędnych informacji udzielanych klientom lub użytkownikom biznesowym. Jeśli chatbot nie jest odpowiednio wytrenowany lub nie dostarcza satysfakcjonujących odpowiedzi, może to prowadzić do niezadowolenia klientów i pogorszenia się wizerunku firmy.
Istnieje także ryzyko, że chatboty mogą zostać wykorzystane do celów manipulacyjnych lub rozpowszechniania dezinformacji, co może zaszkodzić reputacji firmy. Podobnie, nieprawidłowe lub niebezpieczne porady udzielane przez generatory AI mogą prowadzić do problemów i konsekwencji prawnych dla instytucji.
Konflikt w Open AI
Wagę powyższego utwierdza fakt ostatnich roszad w zarządzie spółki OpenAI, których jedną z przyczyn były obawy o kierunek rozwoju technologii AI.
17 listopada 2023 rada dyrektorów OpenAI zwolniła dyrektora generalnego Sama Altmana zajmującego się prowadzeniem zespołu badającego sztuczną inteligencję. Wraz z odejściem Sama Altmana z firmy OpenAI odeszło m.in. kilkanaścioro wiodących pracowników, w tym trzech Polaków (prof. Aleksander Mądry, Jakub Pachocki i Szymon Sido). Oprócz wymienionych, ponad 500 pracowników na około 700 zatrudnionych w geście solidarności zagroziło odejściem z firmy OpenAI.
Powody zwolnienia Sama Altmana są obecnie dość enigmatyczne. Oficjalnie zarząd jako powód przedstawił „Odejście pana Altmana jest następstwem przemyślanego procesu oceny przez zarząd, który doszedł do wniosku, że nie był on konsekwentnie szczery w komunikacji (prowadził negocjacje w złej wierze z kierownictwem firmy)”. Według New York Times’a zarząd był jednak zaniepokojony i obawiał się o zbyt szybki rozwój sztucznej inteligencji. AI miała powodować pewne ryzyko, a Altman miał nie zwracać wystarczającej uwagi na potencjalne szkody dotyczące bezpieczeństwa rozwoju sztucznej inteligencji.
22 XI 2023 Altman został przywrócony na stanowisko, OpenAI czekają także zmiany w zarządzie. Nie zmienia to faktu, że zaistniała sytuacja wstrząsnęła rynkiem, być może prezentując OpenAI jako kolosa o glinianych nogach.
Wspomniane przypadki powinny być przyczynkiem do bardziej krytycznego podejścia do chatbotów i rozwoju tej technologii, a edukacja społeczeństwa i kultura bezpieczeństwa w zakresie możliwości sztucznej inteligencji powinna być podstawą do bezpiecznego korzystania ze zdobyczy, jaką są wszelkiego rodzaju chatboty w tym ChatGPT.
Roadmap dla instytucji – Chat GPT a ochrona danych
- Szyfrowanie komunikacji: Upewnij się, że wszelkie komunikaty przesyłane za pośrednictwem czatu są szyfrowane end-to-end, aby zabezpieczyć dane przed nieautoryzowanym dostępem.
- Autoryzacja użytkowników: Wprowadź system autoryzacji, który identyfikuje i potwierdza tożsamość każdego użytkownika korzystającego z czatu, aby uniknąć dostępu nieuprawnionych osób.
- Ustalanie poziomu dostępu: Przyporządkuj odpowiednie poziomy dostępu do różnych funkcji czatu w zależności od roli pracownika, ograniczając dostęp do danych tylko do niezbędnego minimum.
- Audytowanie czatu: Regularnie przeprowadzaj audyty czatu w celu monitorowania aktywności, identyfikowania ewentualnych naruszeń zasad ochrony danych i śledzenia historii komunikacji.
- Bezpieczne hasła: Wymuszaj silne hasła dla kont czatu, a także zachęcaj pracowników do regularnej zmiany haseł w celu zwiększenia bezpieczeństwa kont użytkowników.
- Ograniczenia dotyczące plików i załączników: Ustal ograniczenia dotyczące rodzaju, rozmiaru i formatu plików, które można przesyłać za pośrednictwem czatu, aby zminimalizować ryzyko ataków związanych z złośliwym oprogramowaniem.
- Szkolenia z zakresu ochrony danych: Organizuj regularne szkolenia dla pracowników dotyczące zasad ochrony danych, w tym specyficznych zagrożeń związanych z korzystaniem z czatu.
- Automatyczne usuwanie danych: Wprowadź politykę automatycznego usuwania starszych wiadomości z czatu, szczególnie tych zawierających poufne informacje, aby ograniczyć ryzyko utraty danych.
- Zapewnienie zgodności z przepisami o ochronie danych: Upewnij się, że wszystkie funkcje czatu są zgodne z obowiązującymi przepisami dotyczącymi ochrony danych, takimi jak RODO czy inne lokalne regulacje.
- Reagowanie na incydenty: Opracuj plan reagowania na incydenty związane z bezpieczeństwem danych w kontekście czatu, obejmujący procedury zgłaszania, śledzenia i eliminacji potencjalnych naruszeń.



