Jak zadbać o bezpieczeństwo danych w erze AI? 

Bezpieczeństwo danych staje się dziś nie tylko sprawą IT, lecz warunkiem skutecznego wdrażania (i używania!) AI w firmach. W tym artykule pokażemy Ci, jak podejść do bezpieczeństwa danych w firmie. Chodzi nie tylko o to, żeby się chronić, ale też – żeby móc w pełni korzystać z możliwości, jakie daje sztuczna inteligencja.  

Będziemy również czerpać z doświadczenia jednego z liderów rynku – Marka Birkheada, dyrektora ds. danych w JPMorgan Chase, który w wywiadzie dla McKinsey podzielił się swoimi spostrzeżeniami na temat zarządzania danymi w erze AI. 

Spis treści 

• Czym jest bezpieczeństwo danych? 
• Jakie dane chronić w firmie? 
• Kto odpowiada za bezpieczeństwo danych? 
• Jakie zagrożenia czyhają na dane? 
• Jak sztuczna inteligencja zmienia podejście do bezpieczeństwa danych?   
• Jak bezpiecznie korzystać z AI? 
• Jak chronić prywatność i jednocześnie zachować użyteczność informacji? 

Każda firma przetwarza dane: o klientach, zamówieniach, produktach, płatnościach. To one napędzają codzienne procesy, wspierają decyzje i pozwalają rozwijać przewagę nad konkurencją. Ale im więcej danych masz, tym większe ryzyko, że coś pójdzie nie tak. Ktoś nieuprawniony uzyska dostęp. Ktoś przez przypadek je usunie. Albo złośliwe oprogramowanie je zaszyfruje i zażąda okupu. 

Dziś dochodzi jeszcze jedno ryzyko: dane udostępniane sztucznej inteligencji (AI – Artificial Intelligence). Narzędzia AI potrafią Ci pomóc, ale mogą też narazić na niebezpieczeństwo wycieku danych, na których pracują. 

Co to jest bezpieczeństwo danych?  

Bezpieczeństwo danych to wszystkie środki – techniczne, proceduralne i organizacyjne – których używamy do ich zabezpieczenia. Pomagają nam one ochronić dane przed nieautoryzowanym dostępem, utratą, modyfikacją lub zniszczeniem. 

Bezpieczne dane to dane, które są: 

– poufne – dostęp do nich mają tylko uprawnione osoby, 
– integralne – nie zostały zmienione bez autoryzacji, 
– dostępne – są dostępne wtedy, gdy są potrzebne. 

To jest podstawa skutecznego zarządzania bezpieczeństwem informacji w firmie. 

Jakie dane warto chronić? 

Bezpieczeństwo to nie tylko kwestia ochrony danych osobowych Twoich pracowników czy klientów. W firmie przetwarzasz wiele różnych informacji: o produktach, finansach, zamówieniach, dostawcach, logistyce, pracownikach. Ochrona danych obejmuje wszystko, co ma znaczenie operacyjne lub strategiczne. W praktyce – wszystko, na czym opiera się Twoja działalność. 

Zadaj sobie pytania: 

 – Czy wiesz, kto ma dostęp do jakich danych? 
– Czy jesteś przygotowany na atak z zewnątrz? 
– Co się stanie, jeśli któryś z pracowników popełni błąd? 
– Czy Twoje zabezpieczenia spełniają wymagania prawne? 

Jeśli choć przy jednym z nich zawahasz się z odpowiedzią, to znaczy, że powinieneś przyjrzeć się temu tematowi bliżej. 

Jakie dane są najważniejsze dla Marka Birkheada? Dyrektor ds. danych w JPMorgan Chase podkreślił, że najwyższym priorytetem jest zapewnienie bezpieczeństwa danych klientów i kontrahentów. Oprócz tego jego zespół koncentruje się na modernizacji danych, aby były gotowe na sztuczną inteligencję. Dlatego jego firma powołała specjalne zespoły ds. strategii danych, badające implikacje AI i generatywnej AI. 

Wiele osób myśli, że to dział IT ma pilnować bezpieczeństwa danych. Tymczasem to temat, który dotyczy całej firmy i wymaga współpracy wielu zespołów. 

Brak współpracy między tymi grupami jest jedną z najczęstszych przyczyn wycieków danych. Dlatego skuteczne firmy nie tylko inwestują w technologie. Nie szczędzą też środków w edukację i budowanie kultury bezpieczeństwa. 

Co na to Mark Birkhead? W swoim wywiadzie jasno zaznaczył: „Jesteśmy głęboko zaangażowani w to, aby dane były wykorzystywane we właściwy sposób i w słusznych celach, zgodnie z naszymi oczekiwaniami dotyczącymi prywatności oraz zobowiązaniami wobec naszych klientów i partnerów”. JPMorgan Chase dba o to, by wszystkie przypadki użycia wdrażane w firmie wykorzystywały odpowiednie dane, we właściwym formacie i we właściwych lokalizacjach. 

Bez danych firma nie działa. Ich utrata albo wyciek może sparaliżować działalność lub wystawić firmę na straty, które trudno później naprawić. 

Ataki hakerskie  

Cyberprzestępcy wykorzystują różne metody, by dostać się do firmowych systemów. Najczęściej stosują: 

• phishing (fałszywe maile, w których usiłują wyłudzić dane), 

• ransomware (oprogramowanie, które blokuje dostęp do danych – za ich odblokowanie żądają okupu), 

• ataki brute force (automatyczne próby odgadnięcia haseł). 

Błędy ludzkie 

Nie każda szkoda to efekt ataku. Często wystarczy zwykły błąd, np. gdy wyślemy dane do niewłaściwej osoby, przypadkowo usuniemy pliki czy klikniemy w złośliwy link. Te sytuacje mogą mieć jednak poważne konsekwencje dla firmy. 

Utrata sprzętu  

Zgubiony laptop, skradziony telefon lub niezabezpieczony pendrive mogą pozwolić niepowołanym osobom na dostęp do poufnych informacji. Stanie się tak, jeśli dane nie są odpowiednio zaszyfrowane. 

Słabe zabezpieczenia  

Niekiedy sami ułatwiamy cyberprzestępcom działanie. Nieaktualizowane systemy, słabe hasła czy brak dwuskładnikowego uwierzytelniania – to najprostsze sposoby na to, by mogli oni przełamać ochronę firmy. 

Nieuprawniony dostęp wewnątrz firmy 

Dostęp do wrażliwych danych powinien mieć tylko ten, kto go potrzebuje. Niestety często bywa inaczej, co rodzi ryzyko nadużyć lub przypadkowego wycieku informacji. 

Katastrofy i awarie  

Pożar, zalanie, awaria sprzętu lub błędna aktualizacja mogą doprowadzić do utraty danych. Jeśli regularnie nie wykonujemy kopii zapasowych, narażamy się na nieodwracalne straty. 

Wykorzystanie danych przez AI  

Na koniec coś nowego. Wklejenie fragmentu raportu, CV klienta lub dokumentu handlowego do popularnego chatu AI może być ryzykowne. Takie dane mogą trafić do zewnętrznego systemu. Mogą też zostać użyte do trenowania modeli AI albo do analizy w ramach uczenia maszynowego. Nie zawsze tak się dzieje. Firmy powinny mieć świadomość, że dane wrzucone do publicznych narzędzi AI mogą opuścić bezpieczne środowisko organizacji.  

To temat, który warto rozwinąć szerzej – i właśnie temu poświęcimy kolejne części tego artykułu. 

Na jakie zagrożenia zwraca uwagę Mark Birkhead? Według niego: „Zarządzanie ryzykiem związanym z danymi jest niezwykle ważne. Kluczową rzeczą w zarządzaniu ryzykiem związanym z danymi jest to, że musisz zrozumieć, jakie są te zagrożenia”. W JPMorgan Chase skupiają się na kilku konkretnych zagrożeniach związanych z danymi, które obejmują monitorowanie jakości, przechowywanie, ochronę i niszczenie. 

Korzystanie z chatbotów, generatorów tekstów, analizatorów danych – staje się codziennością. AI potrafi przetwarzać gigantyczne ilości danych lub analizować zachowania użytkowników i wiele więcej. Dlatego w wielu firmach coraz częściej pomaga obsługiwać klientów, analizować rynek, pisać oferty, a nawet budować strategię. Z jednej strony daje to przewagę, ale z drugiej – niesie nowe zagrożenia, o których rzadko się mówi głośno. 

Jeśli kopiujesz fragment raportu, wewnętrzne zestawienie sprzedaży albo dane klienta i wklejasz je do otwartego chatu AI (np. ChatGPT, Gemini, Claude) – tak naprawdę przesyłasz te informacje na zewnętrzny serwer. I nie masz już nad nimi kontroli. 

Nawet jeśli narzędzie „obiecuje” bezpieczeństwo, to dane: 

• mogą być logowane (czyli używane podczas audytu lub doskonalenia modelu), 

• mogą trafić do osób trzecich (np. dostawców usług chmurowych), 

• mogą pozostać w historii Twojego konta. 

Jeśli wkleisz tam dane osobowe, firma może złamać przepisy RODO. Jeśli dodasz poufne dokumenty lub tajemnice handlowe, narazisz firmę na naruszenie zasad NIS2. Jeśli te dane są częścią raportowania niefinansowego, złamiesz także przepisy dyrektywy CSRD. 

Jak bezpiecznie korzystać z AI w firmie? 

Korzystanie ze sztucznej inteligencji w biznesie wymaga odpowiedzialnego podejścia do bezpieczeństwa danych. Oto kilka podstawowych zasad, które warto wdrożyć, by minimalizować ryzyko i chronić firmowe informacje. 

Sprawdź politykę prywatności narzędzia AI 

Każde narzędzie ma swoje zasady dotyczące przetwarzania danych. W darmowych wersjach dane użytkowników często służą do uczenia modeli AI. Jeśli korzystasz z AI w firmie, wybieraj rozwiązania biznesowe. Szukaj opcji z trybem „data privacy mode” lub podobnym. Dzięki temu Twoje dane będą bezpieczne, pozostaną także poufne i pod kontrolą. 

Wydziel dostęp i ustal jasne zasady korzystania 

Nie każdy pracownik powinien korzystać z AI na własną rękę. Ustal, jakie narzędzia i w jakim zakresie mogą być używane, co można w nich udostępniać, a czego absolutnie nie. Nie zapomnij o regularnych szkoleniach – świadomość zespołu to klucz do bezpieczeństwa. 

Korzystaj z rozwiązań „on-premise” lub dedykowanych modeli 

Coraz więcej firm decyduje się na tzw. private AI – uruchamianie modeli lokalnie lub w prywatnej chmurze. To skuteczny sposób, by dane nie opuszczały organizacji. Alternatywnie, wybieraj usługi z gwarancją, że Twoje dane nie będą przechowywane ani wykorzystywane do trenowania modeli. 

Anonimizuj dane przed udostępnieniem 

Nigdy nie wpisuj do systemów AI prawdziwych danych osobowych czy firmowych, takich jak: imiona, nazwiska, adresy, numery PESEL czy numery kont. Jeśli musisz testować scenariusze na realnych danych, zadbaj o ich anonimizację lub użyj fikcyjnych danych. 

Jak bank JPMorgan Chase zapewnia bezpieczne korzystanie z AI? Mark Birkhead z JPMorgan Chase wyjaśnia: „Poświęciliśmy dużo czasu na inwestowanie w platformy do zarządzania danymi, aby mieć pewność, że możemy zarządzać ryzykiem związanym z danymi w sposób szanujący prywatność”. Bank stworzył centralną platformę do zarządzania danymi i zainwestował w LLM Suite. Umożliwia on bezpieczny dostęp do modeli językowych dla 200 000 pracowników. Pozwala to wprowadzić odpowiednie bariery ochronne, co zwiększa wydajność pracy przy jednoczesnym zachowaniu bezpieczeństwa. 

Techniki anonimizacji danych  

Anonimizacja to fundament ochrony prywatności, ale jej efektywność zależy od dobrania odpowiedniej techniki do konkretnego celu. Nie istnieje jedna uniwersalna metoda – każda ma swoje zalety, ograniczenia i wpływ na jakość danych. Przyjrzyjmy się najważniejszym podejściom, które warto znać i stosować świadomie. 

Bezpieczeństwo danych w erze AI to sprawa nie tylko działów IT. To odpowiedzialność całej organizacji. Firmy muszą chronić nie tylko dane osobowe. Ważne są też informacje produktowe, finansowe i operacyjne. Wykorzystanie AI wiąże się z zagrożeniami. Jednym z nich jest m.in. nieświadome przekazywanie wrażliwych danych do zewnętrznych usług. Istnieją jednak sprawdzone sposoby, aby korzystać z AI bezpiecznie. Można to robić zgodnie z przepisami i w sposób odpowiedzialny biznesowo. 

W branży zbudowanej na zaufaniu, precyzji i wnikliwości dane nie są tylko narzędziem. To fundament działania. 

WYWIAD: Data in the age of AI: A conversation with Mark Birkhead of JPMorganChase | McKinsey