Розрив між політикою та поведінкою
LayerX Enterprise GenAI Security Report 2025:
- 77% корпоративних ШІ-користувачів ділилися конфіденційними даними незважаючи на заборонні політики
- 82% цього відбувалося через некеровані особисті облікові записи
- 14 копіювань на день на співробітника через особисті облікові записи ШІ
Чому навчання не запобігає цьому:
- Звичка: Користувачі розробляють відповіді руху до ChatGPT
- Терміновість: Під дедлайном тиском ярлики стають звичкою
- Недооцінка ризику: Більшість не розуміє, де зберігається їхній чат
- Довіра: «ChatGPT безпечний — усі ним користуються»
Технічні контролі, що дійсно запобігають витокам
Chrome Extension підхід
Коли користувач починає вводити або вставляти:
- Розширення виявляє наявність PII
- PII анонімізується перед відправленням
- Користувач може надіслати безпечно
- Ніякого навчання не потрібно — захист відбувається автоматично
Мenlo Security виявив: 94% зниження інцидентів витоку PII при технічних контролях браузера.
Вимога HIPAA Security Rule
Запропоноване правило HHS від березня 2025 року включає:
-
Щорічні аудити шифрування та технічних засобів захисту
-
Документовані технічні контролі, що запобігають несанкціонованому розкриттю PHI
-
«Policies» самі по собі більше не будуть задовольняти 164.312 вимогу технічних гарантій
Джерела: