anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąAI Saugumas

Realaus laiko AV duomenu nutekejimo prevencija

Kai darbuotojas iveda kliento varda i ChatGPT, duomenys akimirksniu palieka organizacijos kontrole. Vielesni DLP sprendimai sio varpo atgal nebesugraza.

June 5, 20267 min skaityti
AI data preventionChatGPT PIIreal-time anonymizationDLP alternativeChrome Extension

Realaus laiko AV prevencija: kaip sustabdyti AI duomenu nutekejima dar pries ji isstojant.

Atnaujinta 2026 m.

2023 m. kovа Samsung inzinierius ikiope savo koda i ChatGPT. Kodas paliko Samsung kontrole tos pacios akimirkos. Jokis irankis jo laiku nesustabde. Vielesni saugos sprendimai AI duomenu nutekejimo neapsaugo. Si vienas ivykis tai irode.

Aptikimo irankiai jums pasako, kas jau ivyko. Zurnylu tikrinimas, galinio tasko DLP ir audito zurnalas - visi jie veikia butoruoju laiku. AI nutekejimu atveju butuoju laiku jau per velai. Duomenys jau pasieke AI modeli.

Problemos mastas

2025 m. Cyberhaven tyrimas nagrinejo, kaip imonés naudoja AI. Radiniai buvo ispadinantys.

  • 11% visu ChatGPT uzklaususu yra privataus arba neskelbtino turinio.
  • Vidutinis darbuotojas AI irankius naudoja 14 kartu per diena.
  • Didelio naudojimo darbuotojai bendrauja 30-50 kartu diena.
  • Esant 11%, tai reiSkia 3-5 neskelbtinuosius siuntimus vienam darbuotojui per diena.

Imoveje, kurioje dirba 500 didelio aktyvumo darbuotoju, tai surenka daugiau kaip 2 000 neskelbtinuju siuntimu per diena. Kiekvienas is ju gali suzadinti BDAR 83 straipsnio pazeidimu. Gresme yra ne tik teisine. Ant kortezio - ir pasitikejimas, ir reputacija.

Dazniausiai neskelbtinas AI uzklaususu turinys buna toks:

  • Klientu vardai ir kontaktiniai duomenys.
  • Saskaitu numeriai ir mokejimo irasai.
  • Medikų pastabos apie pacientus.
  • Advokatu bylu detalés.
  • Personalo skyriaus uzrasai apie darbuotojus.
  • Vidiniai pajamu arba pardavimu prognoziu duomenys.

Tyrimas neatskiria, kas dalintasi tycia, o kas - netycia. Abu kelia toki pati teisini pavojų. Darbuotojas, pamirses pasalinti kliento varda, sukelia toki pati pazeidimu kaip ir tas, kuris ignoravo taisyklè. Ketinimas rezultato nekeicia.

Kodél aptikimas neveikia

Tinklo tikrinimas negali perskaityti HTTPS srauto be TLS blokavimo. TLS blokavimas didina apkrova ir kelia privatumo problemu. Siolaikinés narsyklés ji dazniausiai atmeta.

Galinio tasko DLP agentai stebi ikopijavimo ir klaviatūros iveda. Taciau jie veikia su velinimu. Kol agentas aptinka sablona, uzklausa jau gali buti issiuncia.

Vendoriu audito zurnalai fiksuoja, kas buvo pasidalinta, jau po to. Jie padeda reaguoti. Bet ju neapsaugo nuo nutekejimo.

Darbuotoju mokymai yra politikos priemoné, o ne technine kontrole. Cyberhaven tyrimas rodo, kad 11% uzklaususu ir toliau yra neskelbtinu duomenu imovese su aizkia politika. Mokymai nesustabdo netyciniu atskleidimo ar vykstant veiklai padaromu klaidu.

AI irankiu blokavimas panaikina produktyvumo nauda. Darbuotojai tada naudoja asmeninius irengvinius ar paskyras, kuriose darbo turinys nera pries jokios prieziuros.

Né vienas is siu metodu nesustabdo neskelbtino turinio pasiekti AI sistemas realiu laiku.

Prevencija prie ivado tasko

Vienintelis saugus gynimas - maskavimas pries iskioptant uzklausa. Kliento vardas, pakeistas i [PERSON_1] dar pries paliekant narSkyklE, AI modeliui lieka nematomas.

Stai kaip veikia tikralaikis maskavimas.

  1. Darbuotojas iveda kliento el. pasto adresa i Claude arba ChatGPT.
  2. Narsyklés papildinys realiu laiku aptinka asmeninius duomenis.
  3. Objektai pazymimi tipo zymemis: PERSON, EMAIL_ADDRESS, ACCOUNT_NUMBER.
  4. Darbuotojas perziuri pazymetusias pozicijas.
  5. Vienu paspaudimu visi objektai pakeiciami prietokomis.
  6. Uzmaskauta uzklausa issiuntiama.

AI gauna tokia uzklausa: "Klientas [PERSON_1] adresu [EMAIL_1] turi saskaita [ACCOUNT_1]."

AI apdoroja prasyma. Jis niekada nemato tikru vardu ar numeriu. Darbuotojas zinoma tikra klienta is konteksto.

Sis metodas turi aizkiu pranasumu:

  • Asmens duomenys netenka iSorinèse AI sistemose.
  • Klientu duomenys netraukiami i AI mokymo duomenu rinkinius.
  • Darbuotojai toliau naudoja AI irankius. Produktyvumas islieka aukStas.

Jis nesustabdo tyciniu atskleidimo, jei darbuotojas apeina irankus. Failų ikėlimas reikalauja atskiro darbo eigoso. Nè viena kontrolé nera ideali. Taciau tikralaikis maskavimas pasalina netyciniu klaidu grupe, is kurios ir kyla daugiausia incidentu. Rizika zenkliai krinta nekeidziant kasdienes darbo eigos.

Teisines istaigos atvejo tyrimas

Teisines istaigos darbuotojai naudojo Claude sutarties pastaboms renggti. Metodas: kopijuoti sutarties skyrius, iklioti i Claude, prasyti santraukos.

Pries Chrome papildinys naudojima - pirmas 6 ménesiai:

  • Per perziura rasti 3 klientu duomenu incidentai.
  • Kiekviename incidente: uzklausa matesi kliento vardas ir bylos nuorodas numeris.
  • Visi 3 buvo netyciniai.

Po Chrome papildinio naudojimo - kiti 6 ménesiai:

  • Nulas klientu duomenu incidentu.
  • Darbuotojai gavo realiu laiku ispejimus iklijuojant skyrius su klientu vardais.
  • Vienas paspaudimas pakeitė "Johnson Controls Matter 2024-0347" i "[PERSON_1] Matter [REFERENCE_1]".
  • Metodas isliko tas pats.

Valdantysis partneris sake: "Musu darbuotojai zinojo politika dar pries gaunant papildini. Papildinys padaré, kad laikymasis butu paprasciausias kelias."

Kitus atvejus zr. musu atvejo tyrimuose. Valdikliai apzvelgiami saugumo apzvelgoje.

BDAR irasai atitikties komandoms

Imones, naudojancios narsykléje pagrista AI maskavima, privalo ji dokumentuoti kaip technine kontrole.

Tvarkymo irasai (ROPA): Nurodyti, kad AI uzklaususos pries pasiekdamos vendorus issiuntiamos per kliento pusés maskavima. Itraukti objektu tipus, variklio versija ir diegimo zurnalus kaip irodyma.

Duomenu tvarkymo sutartys: Kai jokie asmens duomenys nepasiekia AI vendoro, DPA pareigas paprastos. Jūsu turimi asmens duomenys niekada nepalieka jusu sistemos.

Audito zurnalai: Papildinio zurnalai fiksuoja objektu skaiciaus vienam seansui, maskavimo lygio ir objektu tipu duomenis. Sios metrikos naudojamos atitikties ataskaitose.

BDAR taisykles AI irankiams zr. musu teisines atitikties vadove ir zodyne. Dazniausiai uzduodami klausimai - musu DUK.

ISvada

Samsung incidentas parodé, kad AI nutekejimai ivyksta greiciau negu bet koks vielesnis valdiklis gali reaguoti. Cyberhaven tyrimas tai kiekybizavo: 11% uzklaususu, daug kartu per darbuotoja, kasdien.

Tikralaikis maskavimas pries siuntima eliminuoja saktines priezasty. Kai asmens duomenys niekada nepasiekia AI, nera ko aptikti, fiksuoti ar valyti. Darbuotojai toliau naudoja AI irankius. Imonés issaugo atitikties statusa.

Aptikimas pasako, kada prevencija nepavyko. AI duomenu nutekejimams gedimo kaina - baudos, reputacijos smukimas, pasitikejimo praradimas - pateisina pirmiausia prevencija.

Suzinokite kainas jusu imonei. Skaitykite musu ĮkurEjo pareiSkima apie tai, kodél prevencija yra pirminè musu projektavimo principas.

Saltiniai

  • Cyberhaven: AI duomenu atskleidimo tyrimas 2025 - cyberhaven.com.
  • Samsung ChatGPT duomenu pazeidimas, 2023 m. kovas - Bloomberg.
  • BDAR 4 ir 32 straipsniai: Asmens duomenys ir techninés priemonés - gdpr-info.eu.

Susiję Straipsniai

AI Saugumas

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Saugumas

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Saugumas

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.