Šešėlinis DI: kai darbuotojai DI įrankius naudoja slapta

Šešėlinis DI – tai dirbtinio intelekto įrankių naudojimas darbe be įmonės žinios, leidimo ar kontrolės. Tai reiškia, kad jūsų darbuotojai jau dabar greičiausiai kopijuoja klientų laiškus į ChatGPT, generuoja sutarčių juodraščius nemokamame DI įrankyje ar prašo dirbtinio intelekto perrašyti vidinę ataskaitą – tik jūs apie tai nežinote. Tyrimai rodo, kad daugumoje organizacijų realus DI naudojimas yra kelis kartus didesnis, nei mano vadovai. Mikroįmonėje, kurioje dirba 1–30 žmonių, tai itin aktualu: nėra IT skyriaus, kuris filtruotų srautą, todėl kiekvienas darbuotojas pats sprendžia, į kokį įrankį suvesti įmonės duomenis.

Šis reiškinys nėra blogų ketinimų rezultatas. Darbuotojai naudoja DI, nes jis padeda greičiau atlikti darbą. Problema ta, kad nekontroliuojamas DI naudojimas sukuria duomenų nutekėjimo, teisinės atsakomybės ir kokybės rizikas, kurių įmonė net nemato. Smulkiai Lietuvos įmonei svarbiausia ne aklai uždrausti įrankius, o aiškiai sutvarkyti, kas leidžiama, kas draudžiama ir kas už tai atsako.

Kas yra šešėlinis DI ir kuo jis skiriasi nuo įprasto IT?

Sąvoka „šešėlinis IT" (shadow IT) sektoriuje žinoma seniai – tai bet kokia programinė įranga ar paslauga, kurią darbuotojai naudoja be oficialaus įmonės pritarimo. Šešėlinis DI yra šio reiškinio atmaina, susijusi būtent su dirbtinio intelekto įrankiais.

Skirtumas esminis: kai darbuotojas neoficialiai įsidiegia failų tvarkyklę, blogiausiu atveju ji tiesiog neveikia. Kai darbuotojas suveda konfidencialią informaciją į nemokamą DI pokalbių robotą, ta informacija dažnai keliauja į trečiosios šalies serverius ir gali būti panaudota modelio mokymui. Duomenų nebeatšauksi.

Tipiški šešėlinio DI pavyzdžiai mikroįmonėje:

Veiksmas	Įrankis	Pavojus
Klientų sąrašo „valymas" ir analizė	ChatGPT, Gemini	Asmens duomenų perdavimas be teisinio pagrindo
Sutarties juodraščio generavimas	Nemokamas DI teisininkas	Klaidingos sąlygos, prarastas konfidencialumas
Kodo rašymas ir derinimas	Copilot, Cursor	Kodo ar API raktų nutekėjimas į promptus
Sąskaitų ar finansų suvedimas	DI lentelių asistentas	Buhalterinių duomenų nutekėjimas
Marketingo tekstų ir vaizdų kūrimas	Įvairūs generatoriai	Autorių teisių ir prekės ženklo rizikos

Svarbu suprasti: pati DI naudojimo praktika nėra problema. Problema yra tai, kad ji vyksta be taisyklių, be apmokymo ir be apskaitos.

Kodėl darbuotojai naudoja DI slapta?

Dauguma vadovų klysta manydami, kad darbuotojai slepia DI naudojimą dėl tinginystės ar nesąžiningumo. Realios priežastys kur kas paprastesnės:

• Nėra aiškios politikos. Jei įmonė niekada nepasakė, ką galima ir ko negalima daryti su DI, darbuotojas pats spręs – ir greičiausiai pasirinks patogiausią, ne saugiausią variantą.
• Baimė atrodyti tingiu. Kai kurie darbuotojai bijo, kad pripažinę DI naudojimą atrodys mažiau kompetentingi, todėl tiesiog tyli.
• Patogumas viršija riziką. Nemokamas įrankis veikia per dvi sekundes, o oficialaus įrankio prašymas gali užtrukti savaites – todėl pasirenkamas greitis.
• Trūksta DI raštingumo. Darbuotojas tiesiog nesupranta, kad suvedęs klientų duomenis į pokalbių robotą pažeidžia BDAR. Tai viena iš dažniausių DI raštingumo klaidų, kurią sprendžia ne draudimai, o mokymai.

Iš šių priežasčių aišku viena: šešėlinį DI sukuria taisyklių vakuumas, ne piktavališki darbuotojai. Užpildę šį vakuumą, didžiąją dalį rizikos pašalinsite.

Kokią žalą šešėlinis DI daro smulkiai įmonei?

Nekontroliuojamas DI naudojimas mikroįmonei gali kainuoti brangiau nei didelei korporacijai – paprasčiausiai todėl, kad mažas verslas neturi teisinių ir finansinių rezervų atlaikyti incidentą.

Pagrindinės rizikos:

1. Duomenų apsaugos pažeidimai. Klientų vardai, sutarčių sąlygos ar sveikatos duomenys, suvesti į nemokamą DI įrankį, gali būti BDAR pažeidimas. Principas paprastas: be teisinio pagrindo perduoti asmens duomenis trečiajai šaliai negalima.
2. Konfidencialios informacijos nutekėjimas. Verslo paslaptys, kainodara, dar nepaskelbti produktai – visa tai gali patekti į išorinį modelį.
3. Kokybės ir patikimumo rizika. DI „haliucinuoja" – sugalvoja faktus, kurie atrodo įtikinamai. Be patikros tokia informacija gali patekti į klientui siunčiamą dokumentą.
4. Atitikties spragos. ES DI aktas (angl. AI Act), Reglamentas (ES) 2024/1689, reikalauja, kad įmonė užtikrintų darbuotojų DI raštingumą – ši prievolė taikoma nuo 2025-02-02. Jei nežinote, kokius įrankius naudoja darbuotojai, negalite įrodyti, kad jie tinkamai apmokyti.

Būtent dėl šios paskutinės priežasties šešėlinis DI nėra vien IT saugumo klausimas – tai ir atitikties klausimas. Negalite parodyti ES DI akto 4 straipsnio atitikties, jei net nežinote, kas vyksta jūsų įmonėje.

Kaip aptikti šešėlinį DI savo įmonėje?

Pirmas žingsnis – ne bausti, o sužinoti. Mikroįmonėje tai padaryti paprasta, nes komanda nedidelė ir komunikacija tiesioginė.

Praktiniai aptikimo būdai:

• Atviras pokalbis komandoje. Pasakykite tiesiai: „Mes norime, kad naudotumėte DI – tik saugiai. Pasakykite, kokius įrankius jau naudojate." Be baudų. Sąžiningas atsakymas yra vertingesnis nei tobula tyla.
• Trumpa anoniminė apklausa. Klausimai: kokius DI įrankius naudojate? kokiems uždaviniams? ar suvedate įmonės ar klientų duomenis?
• Naršyklės ir prenumeratų peržiūra. Patikrinkite, ar įmonės kortelėmis apmokėtos kokios nors DI prenumeratos, apie kurias nežinojote.
• Dokumentų metaduomenys. Kartais DI sugeneruoti tekstai turi atpažįstamą stilių ar struktūrą.

Surinktą informaciją reikia kažkur fiksuoti. Čia praverčia DI įrankių registras – paprastas sąrašas, kuriame nurodyta, kokie įrankiai naudojami, kam, kokie duomenys į juos patenka ir kas atsakingas. Be tokio registro „šešėlis" niekada nevirsta matoma, valdoma praktika.

Kaip suvaldyti šešėlinį DI nedraudžiant?

Didžiausia klaida – uždrausti DI visiškai. Draudimas neveikia: darbuotojai tiesiog naudos įrankius dar slapčiau, o jūs prarasite paskutinę kontrolės galimybę. Vietoj draudimo reikia sukurti aiškias, paprastas taisykles ir suteikti saugią alternatyvą.

Veiksmų planas mikroįmonei:

1. Parenkite DI naudojimo politiką. Tai pagrindinis dokumentas, kuris nurodo, kuriuos įrankius galima naudoti, kokius duomenis griežtai draudžiama suvesti ir kada būtina žmogaus patikra. Kaip tai padaryti praktiškai, aprašome straipsnyje DI naudojimo politika įmonėje.
2. Patvirtinkite „baltąjį sąrašą" įrankių. Vietoj „nieko negalima" pasakykite „šiuos tris įrankius naudoti galima, kitus – tik suderinus".
3. Apibrėžkite, kokie duomenys yra tabu. Pavyzdžiui: jokių klientų asmens duomenų, jokių neviešintų sutarčių, jokių prisijungimo duomenų.
4. Apmokykite komandą. Žmonės laikosi taisyklių, kurias supranta. Trumpi DI raštingumo mokymai paaiškina, kodėl ChatGPT promptas nėra privatus. Saugaus naudojimo principus aptariame ir straipsnyje ChatGPT naudojimas įmonėje.
5. Fiksuokite ir atnaujinkite. Registrą ir politiką peržiūrėkite bent kartą per pusmetį – DI įrankių rinka keičiasi greitai.

Šis požiūris paverčia šešėlinį DI matomu, valdomu DI. Darbuotojai nebebijo prisipažinti, o įmonė gauna ir produktyvumą, ir saugumą.

Kaip šešėlinis DI susijęs su ES DI akto reikalavimais?

ES DI akto 4 straipsnis įpareigoja organizacijas užtikrinti pakankamą su DI dirbančių darbuotojų raštingumą. Ši prievolė galioja nuo 2025-02-02. Bendrosios paskirties DI taisyklės įsigaliojo 2025-08-02, o didžioji dalis likusių reglamento prievolių taikoma nuo 2026-08-02.

Praktinė problema: negalite įrodyti atitikties, jei nekontroliuojate DI naudojimo. Jei darbuotojai slapta naudoja įrankius, jūs neturite nei registro, nei politikos, nei mokymų įrašų – o būtent šie dokumentai sudaro atitikties pagrindą. Šešėlinio DI suvaldymas ir ES DI akto atitiktis yra du to paties darbo aspektai.

Štai kodėl šešėlinio DI tvarkymą verta sieti su pilnu atitikties paketu. Platforma nebedirbam.lt automatiškai parengia visus reikiamus dokumentus – DI naudojimo politiką, DI įrankių registrą, atitikties įrašą ir darbuotojų DI vadovą – už fiksuotą €290 kainą, be teisininkų ir be žmogaus įsikišimo. Į paketą įeina ir DI raštingumo mokymai su žinių patikra bei pažymėjimais, todėl turėsite dokumentinį įrodymą, kad komanda apmokyta. Jei norite pirma tik išbandyti mokymus, yra ir nemokami DI raštingumo mokymai.

Oficialų reglamento tekstą galima rasti EUR-Lex portale (eur-lex.europa.eu), o praktinę informaciją apie įgyvendinimą – Europos Komisijos skaitmeninės strategijos puslapyje (digital-strategy.ec.europa.eu).

Trumpa santrauka

Šešėlinis DI – tai neišvengiamas šiuolaikinio darbo realybės ženklas, ne anomalija. Jūsų darbuotojai naudoja DI, nes jis veikia. Užduotis nėra tai sustabdyti, o paversti slaptą, nekontroliuojamą naudojimą atviru ir saugiu.

• Šešėlinis DI atsiranda dėl taisyklių vakuumo, ne dėl blogų ketinimų.
• Didžiausios rizikos – duomenų nutekėjimas, BDAR pažeidimai ir atitikties spragos.
• Draudimas neveikia; veikia aiški politika, saugūs įrankiai ir mokymai.
• DI naudojimo registras ir politika yra ir saugumo, ir ES DI akto atitikties pagrindas.

Daugiau praktinių patarimų smulkiai įmonei rasite visų straipsnių sąraše. Pradėkite nuo paprasto žingsnio: paklauskite komandos, kokius DI įrankius jie jau naudoja. Tikėtina, kad atsakymas jus nustebins – ir tai bus pirmas žingsnis nuo šešėlio link kontrolės.