Kun politiikka kohtaa ihmiskäyttäytymisen
Hallituksen urakoitsija, joka oli aikarajoitteinen käsittelemään FEMA:n tulvahuoltohakemuksia, liitti katastrofihakijoiden nimet, osoitteet, yhteystiedot ja terveystiedot ChatGPT:hen käsitelläkseen tietoja nopeammin. Aikomus ei ollut paha — se oli tuottavuuspäätös, joka tehtiin paineen alla. Tulos oli hallituksen tutkimus, julkinen paljastus ja dokumentoitu tapaus, joka havainnollistaa politiikkaa ainoastaan koskevan AI-hallinnan ydinhäiriötilaa.
77% yritysten työntekijöistä jakaa arkaluontoista työinformaatiota AI-työkalujen kanssa vähintään viikoittain huolimatta politiikoista, jotka kieltävät sen (eSecurity Planet/Cyberhaven 2025). 77% luku ei heijasta politiikan rikkojia, vaan todellisuutta siitä, miten AI-työkaluja on otettu käyttöön: tuottavuustyökaluina, joita työntekijät käyttävät refleksinomaisesti kohdatessaan aikapaineita, toistuvia tehtäviä tai monimutkaisia analyysivaatimuksia.
Cyberhavenin Q4 2025 analyysi havaitsi, että 34.8% kaikista ChatGPT-syötteistä sisältää luottamuksellista liiketoimintadataa. Tämä luku sisältää työntekijöitä, jotka ovat tietoisia AI:n käyttöpolitiikoista eivätkä aio rikkoa niitä — he eivät yksinkertaisesti luokitelleet liittämääänsä dataa "luottamukselliseksi" liittämisen hetkellä.
Politiikan noudattamisen ongelma
AI:n käyttöpolitiikoilla on sisäinen valvontakuilu. Toisin kuin pääsynhallintapolitiikoilla (joita voidaan teknisesti valvoa autentikoinnin kautta) tai dataluokittelupolitiikoilla (joita voidaan valvoa DLP:n kautta sähköposti/tallennuskerroksessa), AI:n käyttöpolitiikat riippuvat ihmisen arvostelusta datan syöttämisen hetkellä.
Se hetki, jolloin työntekijä päättää liittää asiakastietoja ChatGPT:hen, on sekunnin murto-osa käyttäytymisratkaisu. Työntekijä ei ehkä muista politiikkaa, on saattanut laskea, että tehokkuushyöty ylittää koetun riskin, tai ei yksinkertaisesti tunnista tietoja politiikan alaisiksi. Politiikkakoulutus vähentää tämän päätöksen esiintymistiheyttä, mutta ei voi poistaa sitä laajassa mittakaavassa.
FEMA-tapaus havainnollistaa arkkityyppiä: urakoitsija, joka kohtaa suuren määrän hakemuksia, määräajan ja pääsyn tehokkaaseen tiivistystyökaluun. Politiikan noudattaminen edellytti manuaalisen käsittelyn valitsemista AI-avun sijaan. Aikarajoitteessa työkalu voitti.
Teknisiä kontrolloita sovelluskerroksessa
Ainoa hallintatapa, joka käsittelee tätä häiriötilaa, toimii teknisellä tasolla eikä politiikkatasolla. Chrome-laajennus sieppaa leikepöydän sisällön ennen kuin se saavuttaa minkään verkkopohjaisen AI-käyttöliittymän — ChatGPT:n, Geminin, Claude.ai:n, Perplexityn tai muiden. Sieppaus on automaattista; se ei riipu käyttäjän muistamisesta soveltaa politiikkaa.
Kun FEMA-urakoitsija kopioi hakijoiden nimet ja osoitteet tapausten hallintajärjestelmästä ja liittää ne ChatGPT:hen, laajennus havaitsee PII:n leikepöydän sisällössä, anonymisoi sen ja lähettää anonymisoidun version. Urakoitsija näkee esikatselun, joka näyttää, mitä tullaan korvaamaan ennen lähettämistä. AI vastaanottaa anonymisoitua dataa ja voi silti suorittaa tiivistystehtävän. Hakijan nimi, osoite ja terveystiedot eivät koskaan saavuta ChatGPT:n palvelimia.
Organisaatioille, joiden AI-hallintahuolenaiheet keskittyvät koodausvälineisiin (Cursor, GitHub Copilot), MCP-palvelin tarjoaa vastaavan kontrollin sovelluskerroksessa. AI-mallin kontekstiin liitetty koodi siepataan, tunnistetiedot ja omat tunnisteet korvataan tokeneilla, ja AI vastaanottaa anonymisoidun version. Molemmat kanavat — selainpohjainen AI ja IDE-pohjainen AI — voidaan suojata teknisillä kontrollilla, jotka toimivat riippumatta käyttäjän käyttäytymisestä.
FEMA-urakoitsijan skenaario olisi saanut erilaisen lopputuloksen, jos tekniset kontrollit olisivat olleet paikalla. Urakoitsija olisi voinut käsitellä hakemuksia tehokkaasti; hakijatiedot eivät olisi koskaan saavuttaneet ChatGPT:tä; tutkimusta ei olisi käynnistetty. Politiikkakoulutus ei estänyt tapausta. Tekninen sieppauskerros olisi estänyt sen.
Lähteet: