Tekoälyaikakaudella todennäköisin kyberuhka tulee talon sisältä

Deepfake-videot, keinotekoiset henkilöhahmot ja tekoälyllä tehtävä sosiaalinen manipulointi kehittyvät jatkuvasti. Myös epävakaa maailmanpoliittinen tilanne ruokkii entisestään ulkoisia kyberuhkia. Deloitten Tech Trends -tutkimuksen mukaan suurimmat riskit löytyvät kuitenkin yhä useammin organisaation sisältä. Varjotekoälystä on tullut lähes jokaisen organisaation sisällä piilevä uhka.

Varjotekoäly tarkoittaa työntekijöiden omatoimisesti käyttöön ottamia tekoälytyökaluja ja -sovelluksia, jotka eivät ole organisaation turvallisuuskontrollien piirissä. ”Organisaatiot kannustavat henkilöstöään tekoälyn käyttöön, mutta monesti työpaikan työkalut eivät ole yhtä toimivia tai helppokäyttöisiä kuin kuluttajille suunnatut ratkaisut. Tämän vuoksi työntekijöillä on kiusaus siirtyä kuluttajapalveluihin ja jakaa niissä luottamuksellista tietoa”, selventää Antti Pirinen, johtava asiantuntija Deloitten kyberpalveluista.

Tekoälyn laajempi käyttöönotto lisää entisestään vaaraa varjotekoälyn lisääntyvälle käytölle. Deloitten globaalin selvityksen mukaan yli puolet työntekijöistä jakaa arkaluontoisia yritystietoja julkisiin tekoälypalveluihin ilman työnantajan lupaa.

”Olemme toteuttaneet väärinkäyttötutkimuksia myös Suomessa, joissa on selvitetty työntekijöiden julkisiin tekoälymalleihin jakamia luottamuksellisia tietoja. Havainnot ovat linjassa globaalien tutkimustulosten kanssa. Teknisillä ratkaisuilla voidaan lievittää ongelmaa, mutta tärkeämpää on kehittää omia tekoälysovelluksia, niiden kontrolleja ja käyttöpolitiikkoja paremmiksi sekä kouluttaa henkilöstöä tietoturva-asioissa”, korostaa Pirinen.

Agentti ei ymmärrä, mikä on normaalia tai sallittua

Myös tekoälyagenttien käyttöönotto lisää organisaatioiden sisäisiä kyberuhkia. Suurimpia riskejä ovat agenttien liiallisista käyttöoikeuksista aiheutuvat vaarat, hallitsemattomat ketjureaktiot ja tietovuodot.

Organisaatiot kokevat voimakasta painetta ottaa tekoälypohjaisia agentteja käyttöön, mutta usein ymmärrys niiden vaikutuksista ja merkityksestä puuttuu. ”Monet perinteiset tietoturvaratkaisut eivät sovellu yhtä hyvin tekoälyjärjestelmiin, sillä kielimallien toiminta on osin ennustamatonta ja sama syöte voi tuottaa erilaisia tuloksia. Tästä syystä perinteinen tietoturvatestaus ei aina ole riittävän tehokasta”, Pirinen kertoo.

Perinteisessä tietojenkäsittelyssä data ja laskenta ovat erillisiä, joten hyökkäyksen kohde on selkeästi joko data tai infrastruktuuri. Tekoälyssä nämä ovat tiiviisti kytkeytyneet, ja hyökkäys vaikuttaa usein molempiin samanaikaisesti. Tekoälyagentit eivät vielä ymmärrä, mikä on normaalia ja sallittua kussakin organisaatiossa. Ne pyrkivät toteuttamaan tehtävänsä hyödyntäen kaikkia saatavilla olevia keinoja huomioimatta päätösten sivuvaikutuksia.

”Agenttien käytössä on liiketoiminnalle valtava potentiaali, mutta organisaatioiden on tärkeää ennakoida tietoturvahaasteita ja kehittää suojausratkaisuja, jotka huomioivat tekoälyn erityispiirteet”, Pirinen sanoo.

_______________

Tutkimuksesta:
Deloitten vuosittainen Tech Trends -raportti perustuu Deloitten johtavien teknologia-asiantuntijoiden näkemyksiin, 500 yhdysvaltalaisen ja globaalin teknologiajohtajan ja innovatiivisten startup-yritysten teknologiajohtajien haastatteluihin sekä Deloitten tutkimuksiin. Se valottaa teknologiatrendejä, joiden odotetaan vakiintuvan normaalikäytännöiksi seuraavien 18–24 kuukauden aikana.

Lisätietoja:

Antti Pirinen
Johtava asiantuntija, kyberpalvelut, Deloitte
antti.pirinen@deloitte.fi
+358 (0)50 528 3894