The Policy-Without-Enforcement Failure
Samsung ChatGPT Politika Apríla 2024: "Zamestnanci sú zakázaní z zdieľania proprietary údajov s ChatGPT alebo Claude."
Rezultát: Zamestnanci ignoroval politiku. V Januári 2025, Samsung zverejnil Kubernetes konfigurácie cez ChatGPT. Politika bola zbytočná bez technického vynútenia.
Podobné príbeh — JPMorgan, Ford, Boeing. Polítics bez technických kontroly = nula.
Tri Vrstvy Technických Ovládacích Prvkov
Layer 1: Sieť-Level (DNS Blocking, Proxy)
Blokovať ChatGPT API domény na sieťovej úrovni:
-
DNS Blocking: Sieť DNS resolver (Cloudflare, Quad9) vracia NXDOMAIN na:
api.openai.comapi.anthropic.comchatgpt.com- Všetky ostatný LLM API domains
-
Proxy/Firewall: Proxy nablokuje HTTPS prípojení:
- Odchytávať všetky HTTPS prípojní
- Identifikovať šifrované TLS handshake na ChatGPT domains
- Blokovať
Výhody:
- Globálne blokácie — všetci zamestnanci na sieti
- Jednoduchý — zmena DNS, zmena firewall pravidlá
- Nízke náklady
Nevýhody:
- Bypassovateľný — VPN, mobilný hotspot
- Falošne pozitívy — môžete blokovať legitimný API (OpenAI API pre vlastní aplikácie)
Layer 2: Endpoint Level (Device-Level Control)
Blokovať ChatGPT na individuálnych počítačoch:
-
EDR (Endpoint Detection & Response): Tools ako CrowdStrike, Microsoft Defender:
- Monitor všetkých procesu — detekuje kedy aplikácia sa pokúša pripojiť sa na ChatGPT
- Blokovať proces alebo zariadenie
-
MDM (Mobile Device Management): Intune, MobileIron:
- Blokuj ChatGPT aplikáciu na iOS/Android
- Blokuj Safari/Chrome na ChatGPT domains
-
DLP (Data Loss Prevention): Symantec, Fortinet:
- Detekujú keď zamestnanci kopíruje proprietary text
- Keď sa pokúší vlepiť do ChatGPT, DLP automaticky blokuje
- Generuje alert — "Zamestnanci pokúšal zdieľať proprietary kód"
Príklad Workflow:
1. Zamestnanci otvorí ChatGPT
2. DLP detekuje — "ChatGPT je nebezpečný"
3. DLP blokovať — presnú webovú stránku alebo aplikácia
4. Alert → Security Team
5. Security tím — rozhovor so zamestnanci, disciplína podľa potreby
Výhody:
- Presný — detekuje konkrétny aplikácie/domény
- Unescapable — technické blokácie bez workaround
- Audit — všetko zaznamenané
Nevýhody:
- Náklady — DLP/EDR software je drahý
- Falošné pozitívy — môžete blokovať legitimný prípady
Layer 3: Application Level (Trusted Applications Only)
Povolite len whitelist aplikácií:
-
App Whitelisting: Windows AppLocker, macOS Gatekeeper:
- Pouze certifikované aplikácie môžu spustit
- Chatbot aplikácie (ChatGPT, Claude) sú blacklistované
- Všetko ostatný je zakázané
-
Code Signing: Všetkých aplikácia musí byť digitálne podpísaná
- Podpis overený — aplikácia je officiálny
- Neznáma aplikácia → zablokovaná
Výhody:
- Najsúčasnejšej — iba autorizované aplikácie
- Bezpečnosť — aj malware je zablokovaná
Nevýhody:
- Náklady — aplikácia šifrovanie je komplikované
- UX Impact — zamestnanci nemôžu inštalovať vlastný aplikácie
Implementačný Plán
Kratší Termín (1-2 týždne)
- DNS Blocking: Zmena DNS resolver, blokuj ChatGPT domains
- Aktualizovať Politika: "ChatGPT je zakázaný — technicky vynútený"
- Komunikácia: Opatrenie na zamestnancov — nový politika
Dlhší Termín (1-3 mesiacov)
- DLP Nasadenie: Investuj v DLP software
- EDR Nasadenie: Install endpoint detection — detekuje pokúšaj
- Audit: Pravidelne auditovať — kto pokúšal, koľko krát
Případ Štúdium: Samsung
Poučenie: Samsung mal politiku bez DLP. Bez DLP, zamestnanci ignoroval politika a zdieľali Kubernetes. Podľa novej politiky (2025):
- DNS Blocking — OpenAI domain je blokovaný na sieti
- DLP Software — detekuje ChatGPT API prípojní, kopie proprietary kódu
- EDR Monitoring — sleduje všetkých procesu, alerting na ChatGPT
- Training — zamestnanci sú vidiť — ChatGPT je zakázaný
Výsledok: Nula Chatgpt úniku do konca roka.