Hvernig þú heldur stjórn á gögnunum þínum
Hvert fara gögnin í raun og veru þegar teymið notar gervigreind? Að neðan er leiðarvísir á mannamáli um áhætturnar sem skipta máli og ákvarðanirnar sem þarf að taka, allt frá einfaldri ChatGPT-fyrirspurn yfir í að keyra gervigreind á eigin kerfum.
Hversu varkár þarftu að vera?
Það veltur á tvennu: hversu viðkvæm gögnin þín eru og hversu djúpt gervigreindin fer inn í vinnuna. Finndu röðina og dálkinn sem á við um þig hér að neðan. Þar sést hversu mikillar aðgátar er þörf. Smelltu á reitinn til að sjá hvað þú þarft að hafa í huga og gera.
Því meiri áhætta, því meiri aðgát:
- Lítil áhætta: almenn aðgát nægir
- Miðlungs áhætta: veldu rétta áskrift og stillingar
- Mikil áhætta: þú þarft samninga, stýra staðsetningu gagna og aðgangsstýringu
- Mjög mikil áhætta: haltu gögnunum lokuðum eða á eigin kerfum og vaktaðu þau
Það sem þú ert í raun að ákveða
Hér að neðan er spurt að sömu fimm spurningunum á hverju stigi, þar sem sífellt meira er undir í hverri spurningu. Hafðu þær í huga við lesturinn.
- 1 Hvar eru gögnin vistuð? Í hvaða landi og hjá hvaða fyrirtæki?
- 2 Hver hefur aðgang að þeim, og eru þau notuð til að þjálfa gervigreindarlíkön (módel) fyrirtækisins?
- 3 Eru gögnin vistuð hjá þjónustuveitandanum, og geturðu krafist þess að þeim sé eytt?
- 4 Hver hefur aðgang að gögnunum? Og hver samþykkir ný gervigreintartól sem vinna með gögnin?
- 5 Ef þörf krefur, gætirðu keyrt gervigreindina á þínum þjónum í stað þjónustuveitanda?
Frá grunnnotkun til fullrar stjórnar
Einstaklingsbundin grunnnotkun
Einn notandi, spjallgluggi, stök verkefni
Einhver opnar ChatGPT, Copilot eða Gemini til að skrifa tölvupóst, setja saman skjal eða vinna með hugmyndir. Engar tengingar og enginn sameiginlegur aðgangur, bara venjulegur vafri.
- Einstaklingsáskriftir nota oft samtölin þín til að þjálfa líkönin.
- Allt sem þú skrifar og límir (copy/paste) fer út fyrir veggi fyrirtækisins. Hegðaðu þér eins og þessi gögn verði opin fyrir alla að lesa í framtíðinni.
- „Skugga-gervigreind“ (ósamþykkt notkun) byrjar nánast alltaf hér.
- Einstaklings- eða fyrirtækjaáskrift? (Fyrirtækjaáskriftir hafa yfirleitt betri skilmála um gagnavernd.)
- Er hægt að slökkva á gagnaþjálfun í stillingunum?
- Hver er kjarnareglan á vinnustaðnum? Til dæmis: Aldrei setja inn trúnaðargögn, kóða eða upplýsingar um viðskiptavini.
- Búðu til einfaldan leiðarvísi: „Í lagi / ekki í lagi að líma inn“.
- Veldu aðganga þar sem tryggt er að slökkt sé á gagnaþjálfun.
- Tilnefndu tengilið eða ábyrgðaraðila innan fyrirtækisins sem fólk getur spurt: „Er í lagi að nota þetta tól?“
Teymisnotkun á rekstrargögnum
Sameiginleg vinnusvæði, stærri verkefni
Teymi byrjar að nota gervigreind í sameiginlegu vinnusvæði, til dæmis til að taka saman fundargerðir, skrifa kóða eða greina innri skjöl og áætlanir, í gegnum fyrirtækjaáskrift.
- Fyrirtækjaáskriftir segjast yfirleitt ekki þjálfa líkön á gögnunum þínum. Krefstu þess að hafa það skriflegt og athugaðu hvort það séu undantekningar í skilmálum (t.d. að gefa endurgjöf þegar það er spurt hvernig módelið stendur sig í dag).
- Nú er komið á formlegt þjónustusamband sem krefst skriflegs samnings.
- Aðgangsstýring og miðlæg innskráning (SSO) skipta sköpum til að stjórna hver hefur í raun aðgang.
- Hvaða verkfæri eru leyfð og hver ber ábyrgð á að viðhalda þeim lista?
- Er til staðar vinnslusamningur (DPA) sem bannar gagnaþjálfun?
- Hvernig skráir fólk sig inn og hver stýrir aðgangi? Notaðu miðlæga innskráningu (SSO) og hlutverkabundinn aðgang, ekki sameiginlegt lykilorð.
- Haltu utan um leyfð verkfæri og gakktu úr skugga um að vinnslusamningar (DPA) séu til staðar.
- Notaðu SSO til að tryggja að aðgangur lokist sjálfkrafa þegar starfsfólk hættir.
- Gerðu stutt áhættumat á nýjum lausnum áður en þær eru teknar í notkun (sjá gátlista neðar).
Viðkvæm gögn og hugverk
Viðskiptavinir, fjármál, starfsfólk, kóði og hugverk
Gervigreindin vinnur nú með gögn um fólk eða viðkvæmustu verðmæti fyrirtækisins, til dæmis úr CRM-kerfum, þjónustupósti, starfsmannakerfum, fjárhagskerfum, frumkóða eða viðskiptaleyndarmálum. Persónuverndarlög (GDPR), samningar og trúnaður eiga við.
- Staðsetning gagnanna (t.d. ESB eða Bandaríkin) ræðst nú af lögum, ekki smekk.
- Allir undirvinnsluaðilar í keðjunni erfa sömu skyldur og hvíla á þér.
- Þú verður að geta svarað spurningunni: „Getum við eytt gögnunum og sannað það?“
- Hvar eiga gögnin að vera hýst, til dæmis innan ESB eða á lokuðu skýjasvæði eins og Azure OpenAI eða AWS Bedrock?
- Er hægt að hylja eða afmá gögnin áður en þau eru send í líkanið?
- Hvaða hugverk eru svo viðkvæm að þau mega aldrei fara í utanaðkomandi líkan eða birtast í annálum (logs)?
- Hverjar eru reglur um varðveislu og eyðingu? Hvernig er aðgangi stýrt og hann skráður?
- Krefstu vistunar innan ESB eða notaðu lokuð skýjasvæði fyrir persónuupplýsingar.
- Gakktu úr skugga um að vinnslusamningar (DPA) nái yfir alla undirvinnsluaðila og haltu gagnageymslu í lágmarki.
- Hyldu viðkvæm gögn fyrir vinnslu, skráðu alla notkun (audit logs) og farðu reglulega yfir aðgangsréttindi.
Djúp kerfissamþætting og sjálfvirkni
Gervigreind tengd innviðum og viðskiptaferlum
Gervigreindin er ekki lengur bara spjallgluggi heldur beintengd grunnkerfum í gegnum forritsskil (API) eða sérhæfða gerendur (agents), þar sem hún les gögn, greinir og framkvæmir aðgerðir sjálfkrafa.
- Sjálfvirk kerfi geta valdið tjóni eða gagnaleka mjög hratt, löngu áður en nokkur tekur eftir því.
- Gervigreindin hefur nákvæmlega þau réttindi og þann aðgang sem henni eru veitt.
- Á þessu stigi kemur til greina að nýta eigin hýsingu og opin líkön (open-weight) til að tryggja fulla stjórn.
- Hvernig eru kerfin einangruð (t.d. VPC) og hversu takmörkuð geta réttindi gervigreindarinnar verið?
- Í hvaða ferlum verður manneskja að staðfesta aðgerð áður en hún er framkvæmd?
- Er skynsamlegra að keyra líkönin alveg innanhúss fyrir viðkvæmustu ferlana?
- Einangraðu netkerfin vel og veittu gervigreindinni aldrei meiri réttindi en hún nauðsynlega þarf.
- Tryggðu að mannleg yfirsýn sé alltaf til staðar við stærri aðgerðir. Skráðu öll samskipti kerfa.
- Vaktaðu óeðlilega hegðun. Meðhöndlaðu gervigreindina eins og önnur kerfi með víðtækan aðgang.
Einfaldur gátlisti fyrir gagnavernd
Einnar mínútu sjálfspróf. Ef þú getur hakað við flest af þessu eru gögnin þín í nokkuð öruggum höndum.
- Við vitum hvaða gervigreindarverkfæri starfsfólk notar í raun og veru, líka þau óopinberu.
- Við höfum slökkt á gagnaþjálfun alls staðar þar sem það er í boði.
- Allt sem snertir viðskiptavini eða persónuupplýsingar fellur undir skriflegan vinnslusamning (DPA).
- Við vitum nákvæmlega í hvaða löndum viðkvæmu gögnin okkar eru geymd eða unnin.
- Við höfum merkt hugverkin sem mega aldrei fara í líkan eða birtast í annálum.
- Allur aðgangur fer í gegnum miðlæga innskráningu (SSO) og lokast um leið og fólk hættir.
- Sjálfvirk gervigreindarkerfi hafa mjög afmörkuð réttindi og allar aðgerðir eru skráðar.
- Það er skýrt hver á listann yfir leyfð verkfæri og svarar spurningunni: „Er þetta tól í lagi?“
Gagnastýringar-gátlisti fyrir fyrirtæki
Ítarlegri, prentvæn útgáfa til að taka með í áhættumat eða vinnustofu teymis. Þú sérð hann strax á skjánum og ég sendi þér afrit í tölvupósti.
Ekki viss hvar þú stendur?
Það er eðlilegt að vera ekki viss um hvar þú stendur í gervigreindarmálum. Sem fyrrverandi tæknistjóri (CTO) hjálpa ég teymum að komast að því hvar þau standa, hvaða hættur liggja fyrir og hver næstu skref eru í innleiðingu gervigreindar. Ef þú vilt hjálp, bókaðu ókeypis kynningarfund að neðan og ég skal hjálpa þér.