Mitä voidaan tehdä hallinnan palauttamiseksi, kun finanssialan varjo-tekoälyongelma pahenee?
Työkaluina, kuten OpenAI:n ChatGPT tulla kaikkialla läsnä oleviksi, varjo AI on kasvava ongelma rahoitusalalle. Työkaluihin liittyy useita riskejä, kuten tietovuotoja ja hallusinaatioita, ja tilanteen pahenee se, että monissa tapauksissa rahoitusalan yritykset eivät edes tiedä niiden olevan käytössä.
Koska tekoälyn käyttöönotto organisaatioiden reunalla tapahtuu nopeammin kuin hallinto pystyy pysymään vauhdissa, alan on opittava selviytymään tästä nopeasti kehittyvästä riskistä. Miten tietoturva- ja vaatimustenmukaisuusjohtajat voivat alkaa ottaa takaisin hallintaansa varjopohjaisesta tekoälystä?
Altistunut sektori
Koska finanssiala on erittäin säännelty sektori, joka käsittelee valtavia määriä arkaluonteista dataa, se on erityisen altis varjotekoälylle. ”Ala käsittelee arvokasta ja tarkasti säänneltyä dataa jatkuvan paineen alaisena nopeaan liikkumiseen”, sanoo Mimecastin tietoturvajohtaja Leslie Nielsen. ”Tämä yhdistelmä luo olosuhteet, joissa työntekijät tarttuvat mihin tahansa työkaluun, joka auttaa heitä tekemään työnsä – usein ennen kuin organisaatiolla on aavistustakaan siitä.”
Tämä voi kuitenkin johtaa siihen, että työntekijät syöttävät tekoälymalleihin erittäin arkaluontoista ja luottamuksellista dataa. SailPointin perustaja ja toimitusjohtaja Mark McClain mainitsee esimerkkinä luvattoman työkalun, jota käytetään lainan myöntämisprosessin käsittelyyn. ”Se koottaisi taloudellisia tietoja, analysoisi luottohistoriaa, laatisi ehtoja, helpottaisi luotonantoa ja kommunikoisi sidosryhmien kanssa.”
Jos edustajalla on kuitenkin rajoittamaton pääsy yrityksen järjestelmiin, hän voi tulkita tietoja väärin, hyväksyä riskialttiita lainoja tai tahattomasti paljastaa asiakastietoja, mikä voi johtaa vaatimustenmukaisuusrikkomuksiin tai vahingoittaa mainetta, hän ehdottaa.
Useita tekoälytyökaluja
Suurin osa varjo-tekoälyn käytöstä on käytännöllistä ja tehtävälähtöistä, kun työntekijät kääntyvät työkalujen puoleen, jotka auttavat heitä säästämään aikaa tai vähentämään manuaalista työtä päivittäisessä työssään.
Mimecastin Nielsenin mukaan rahoitusalan yrityksissä käytössä olevien työkalujen valikoima on todellakin laajempi kuin useimmat turvallisuustiimit ymmärtävät. ”Rahoitusalalla työntekijät käyttävät yleiskäyttöisiä työkaluja, kuten ChatGPT:tä, tekoälyllä varustettuja sähköposti- ja kokousalustoja, litterointi- ja yhteenvetopalveluita sekä analytiikkayhteistyökumppaneita. He laativat asiakasviestintää, tiivistävät asiakirjoja ja analysoivat tietoja sekä hallitsevat työkuormia työkaluilla, joita heidän työnantajansa eivät ole koskaan tarkistaneet tai hyväksyneet.”
Hän huomauttaa, että suurin riskitekijä ei ole kehittynyt. ”Työntekijät lataavat dokumentteja ulkoisiin tekoälytyökaluihin. He lähettävät työsähköposteja edelleen henkilökohtaisille tileilleen käyttääkseen tekoälyominaisuuksia. He liittävät arkaluontoista kontekstia kehotteisiin, koska työkalu toimii sen kanssa paremmin.”
Vaikka tämäntyyppinen tekoälyn käyttö ei ole haitallista, tekoälyominaisuudet, kuten nyt henkilökohtaisissa sähköpostitileissä tarjottavat, skannaavat sisältöä automaattisesti. ”Tämä tarkoittaa, että luottamukselliset yritystiedot voivat päätyä kolmansien osapuolten järjestelmiin tai koulutusmalleihin kenenkään huomaamatta”, Nielsen varoittaa.
Ei varjo-IT
Riski on huolestuttava, mutta sitä käsiteltäessä varjo-tekoälyä ei pidä sekoittaa varjo-IT:hen. Nielsenin mukaan niiden kohteleminen samalla tavalla on "virhe". "Varjo-IT:ssä on kyse luvattomista sovelluksista, jotka toimivat IT-valvonnan ulkopuolella. Riski liittyy suurelta osin työkalujen näkyvyyteen ja hallintaan. Varjo-tekoäly tuo mukanaan toisen kerroksen: työkaluihin syötettävät tiedot, tuotetut tulokset ja tavat, joilla tietoa voidaan säilyttää, käyttää uudelleen tai paljastaa."
Varjotekoäly ei ole vain varjo-IT:tä, johon on liitetty chatbot, on samaa mieltä Christopher Jess, Black Duckin vanhempi tutkimus- ja kehityspäällikkö. Hän mainitsee mallikohtaisia riskejä, kuten ”arkaluonteisen datan vuotamisen, tekaistun mutta vakuuttavan tulosteen, nopean injektoinnin ja upotetut tekoälyominaisuudet, jotka saapuvat jo hyväksytyltä vaikuttavan ohjelmiston sisään”.
Rahoituspalveluissa panokset ovat suuremmat, koska syötteet ovat arkaluonteisempia ja altistumisen sääntelyyn liittyvät seuraukset vakavampia, sanoo Mimecastin Nielsen. ”Kun työntekijä lähettää asiakastietoja ulkoiseen tekoälytyökaluun raportin luomiseksi nopeammin, riski ei ole pelkästään työkalussa itsessään. Kyse on siitä, tallennetaanko tiedot, kuka voi käyttää niitä ja kuuluvatko ne organisaation ylläpitämien rajojen sisälle.” yleinen tietosuoja-asetus (GDPR) tai muut viitekehykset.”
Nielsenin mukaan on myös laajempi riski, joka usein unohdetaan: vastuullisuus ja päätöksenteon eheys. ”Kun tekoälyn tuottamat tulokset ohjaavat asiakasviestintää tai operatiivisia päätöksiä ilman selkeää valvontaa, organisaatiot eivät voi osoittaa alkuperää tai tarkkuutta. Tämä on yhtä lailla hallinto- kuin turvallisuusongelma.”
Tekoälyn estäminen
Tekoälytyökalujen estäminen työpaikalla ei auta. Itse asiassa asiantuntijat sanovat, että se voi pahentaa asioita. Työntekijät, jotka näkevät selkeitä tehokkuushyötyjä, löytävät usein vaihtoehtoisia tapoja käyttää tekoälytyökaluja tai turvautuvat vaarallisempiin menetelmiin tulosten saavuttamiseksi.
”Hyväksytyn liiketoimintatyökalun käyttämisen sijaan henkilöstö saattaa kääntyä henkilökohtaisten tilien, selainlaajennusten tai ilmaisten tekoälyalustojen puoleen, joilla on vielä vähemmän näkyvyyttä tai valvontaa”, kertoo Callum Beckwith, Capture Expensen ohjelmistokehityksen tekninen johtaja. IO.
Samaan aikaan yrityksen väite "kielsimme sen" ei ole puolustus, jonka sääntelyviranomainen hyväksyy tietomurron jälkeen joka tapauksessa, lisää Obsessed Groupin perustaja Ben Jacob-Smith.
"Organisaatiot, jotka keskittyvät yksinomaan rajoituksiin, usein lisäävät riskiä sen sijaan, että vähentäisivät sitä."
Palauta tasapaino
Se saattaa vaikuttaa monimutkaiselta, mutta tuottavuuden ja hallinnan välinen tasapaino on mahdollista palauttaa varmistamalla jatkuva valvonta ja käyttämällä integroituja hallintajärjestelmiä.
Osana tätä tekoälyn hallintakehykset voivat auttaa, Kuten ISO 42001 ja ISO 27001 tietoturvallisuuden hallintajärjestelmille.
Samaan aikaan, NIST AI Risk Management Framework tarjoaa hyödyllisen lähtökohdan tekoälyyn liittyvien riskien ja kontrollien pohtimiselle, Beckwith sanoo. "Se tarjoaa organisaatioille jäsennellyn tavan arvioida tekoälyjärjestelmien suunnittelua, käyttöä ja hallinnointia koko niiden elinkaaren ajan, samalla ottaen huomioon keskeiset näkökohdat, kuten tiedonkäsittelyn, luotettavuuden ja vastuuvelvollisuuden.
Myös rahoitusalan yritysten tulisi olla tietoisia siitä, EU:n tekoälylaki, jota sovelletaan kaikkiin Yhdistyneen kuningaskunnan yrityksiin, joiden tekoälyjärjestelmät koskettavat EU:n asiakkaita.
Ei ole epäilystäkään siitä, että varjotekoälyn haaste kasvaa tekoälytyökalujen tullessa markkinoille äkillisesti. Mutta sitä ei voi estää. Beckwithin mukaan finanssialan turvallisuus- ja vaatimustenmukaisuusjohtajien tavoitteena ei ole hidastaa innovaatioita, vaan ohjata niitä turvallisesti, kun tekoälytyökalut pystyvät lisäämään tuottavuutta.
Hallinnan takaisin saamiseksi Beckwith suosittelee tekoälyn käytölle ”strukturoitujen, näkyvien ja hallittujen polkujen” luomista. ”Tämä alkaa ymmärtämällä, missä liiketoiminnassa tekoälyä jo käytetään. Siitä lähtien organisaatiot voivat määritellä selkeät odotukset hyväksyttävälle käytölle ja tiedonkäsittelylle, jotka ovat linjassa sääntely- ja vaatimustenmukaisuusodotusten kanssa.”
Hän uskoo, että keskeisenä tavoitteena tulisi olla tarjota työntekijöille tehokkaita työkaluja työnsä suorittamiseen. Hyväksyttyjen työkalujen tarjoaminen poistaa tarpeen kiertoteille, kun taas realistinen koulutus auttaa työntekijöitä ymmärtämään, miten tekoälyä käytetään vastuullisesti tosielämän tilanteissa, kuten sisäisten käytäntöjen yhteenvedoissa, Beckwith sanoo. ”Tavoitteena ei ole täydellisyys, vaan hallittu, auditoitava ja hyvin ymmärretty käyttö.”
Laajenna tietosi
Blogi: Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä finanssialalla
Blogi: 700Luottotietomurto: API-riskit asettavat taloudellisen toimitusketjun hallinnan parrasvaloihin
