Whalesbook
AI मुळे डेटा लीकचा वाढता धोका: भारतीय कंपन्यांसाठी एक 'अंधुक' ठिकाण
भारतीय कंपन्या 2026 पर्यंत माहिती सुरक्षेवर (Information Security) तब्बल $3.4 अब्ज डॉलर्सची गुंतवणूक करणार आहेत, जी AI धोके आणि नियमांमुळे 11.7% ने वाढली आहे. मात्र, ही गुंतवणूक फायरवॉल आणि घुसखोरी शोधक प्रणाली (Intrusion Detection Systems) यांसारख्या बाह्य सुरक्षा यंत्रणांवर केंद्रित आहे. पण एक मोठा अंतर्गत धोका दुर्लक्षित राहिला आहे: कर्मचारी नकळतपणे सार्वजनिक AI टूल्समध्ये (Public AI Tools) संवेदनशील डेटा आणि बौद्धिक संपदा (IP) लीक करत आहेत. हा 'शॅडो डेटा ट्रान्सफर' पारंपरिक सुरक्षा यंत्रणांना बायपास करतो आणि कंपन्यांना लगेचच डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट, 2023 (DPDPA) अंतर्गत नियामक कारवाईसाठी उघडं पाडतो. रॅन्समवेअरसारख्या धोक्यांपेक्षा हा अंतर्गत डेटा लीक अनेकदा अदृश्य असतो, पण त्याचे नियामक आणि IP संबंधित परिणाम गंभीर असू शकतात.
DPDPA चे दंड आणि IP गमावण्याचा मोठा धोका
डिजिटल पर्सनल डेटा प्रोटेक्शन ऍक्ट, 2023 (DPDPA) नुसार कंपन्यांना वैयक्तिक डेटा गळती रोखण्यासाठी वाजवी सुरक्षा उपाय (Reasonable Security Measures) लागू करणे बंधनकारक आहे. असे न केल्यास ₹250 कोटींपर्यंत दंड आकारला जाऊ शकतो. याव्यतिरिक्त, कंपन्यांना कोणत्याही डेटा उल्लंघनाची (Data Breach) माहिती त्वरित डेटा संरक्षण मंडळाला (Data Protection Board of India) आणि प्रभावित व्यक्तींना देणे आवश्यक आहे, ज्यासाठी अनुपालन न केल्यास ₹200 कोटींपर्यंत दंड होऊ शकतो. जेव्हा कर्मचारी संवेदनशील माहिती सार्वजनिक AI टूल्समध्ये पेस्ट करतात, तेव्हा हा डेटा कंपनीच्या नियंत्रणाबाहेर जातो आणि थेट या तरतुदींचे उल्लंघन करतो. दंडांव्यतिरिक्त, मालकीचे अल्गोरिदम (Proprietary Algorithms) आणि व्यापार गुपिते (Trade Secrets) यांसारखी बौद्धिक संपदा कायमची धोक्यात येऊ शकते आणि प्रतिस्पर्धकांना उपलब्ध होऊ शकते. व्यावसायिक सेवा कंपन्यांना देखील अशा खुलाशांद्वारे ग्राहक गोपनीयतेच्या करारांचे (Client Confidentiality Agreements) उल्लंघन करण्याचा गंभीर धोका आहे.
AI लीक्सविरुद्ध पारंपरिक संरक्षण का अयशस्वी ठरतात?
भारतात एंटरप्राइज AI रहदारीचे (Enterprise AI Traffic) मोठे प्रमाण आहे, जिथे AI/ML व्यवहारांमध्ये (AI/ML Transactions) वर्षाला 309.9% ची आश्चर्यकारक वाढ दिसून येत आहे. अहवालानुसार, ChatGPT सारख्या सार्वजनिक टूल्समुळे डेटा लॉस प्रिव्हेंशन (Data Loss Prevention - DLP) चे लाखो उल्लंघन आधीच झाले आहेत, आणि कोडिंग असिस्टंट्स (Coding Assistants) देखील डेटा गळतीमध्ये अधिकाधिक सामील होत आहेत. ईमेल आणि यूएसबी ड्राइव्हसाठी डिझाइन केलेली पारंपरिक DLP साधने, वेब ब्राउझरद्वारे ऍक्सेस केल्या जाणाऱ्या अत्याधुनिक AI चॅटबॉट्स आणि लार्ज लँग्वेज मॉडेल्स (LLMs) चे निरीक्षण करण्यासाठी सुसज्ज नाहीत. जरी बहुतेक वापरकर्ते (79%) एंटरप्राइज-मान्यताप्राप्त AI टूल्सना प्राधान्य देत असले तरी, 15% लोक वैयक्तिक आणि कामाचे खाते यांच्यात स्विच करतात, ज्यामुळे डेटा गळतीचे कायमचे मार्ग तयार होतात. जलद उत्पादकतेला (Rapid Productivity) प्राधान्य देणारे स्टार्टअप्स आणि लहान ते मध्यम आकाराचे व्यवसाय (SMEs) विशेषतः असुरक्षित आहेत. मोठ्या कंपन्यांसाठी, अगदी थोड्या कर्मचाऱ्यांनीही असे वर्तन केल्यास मोठ्या प्रमाणात डेटा बाहेर जाऊ शकतो.
छुपी धोक्याची घंटा: AI मॉडेल्समध्ये एम्बेड झालेला डेटा
सर्वात चिंताजनक बाब म्हणजे, कर्मचाऱ्यांचा AI वापर बऱ्याच अंशी निदर्शनाशिवाय होतो. सार्वजनिक AI मॉडेल्समध्ये अपलोड केलेला डेटा अक्षरशः परत मिळवता येत नाही; तो प्रदात्यांच्या अल्गोरिदममध्ये एम्बेड होतो आणि अनेकदा प्रशिक्षणासाठी वापरला जातो. यामुळे बौद्धिक संपदेसाठी गंभीर धोका निर्माण होतो. 2021 मध्ये एअर इंडिया (Air India) किंवा 2022 मध्ये भारतपे (BharatPe) सारख्या मागील उल्लंघनांमधील डेटा चोरीच्या विपरीत, हा डेटा स्वेच्छेने, जरी नकळतपणे, शेअर केला जातो आणि तृतीय-पक्ष प्रणालींमध्ये एकत्रित केला जातो. DPDPA च्या दंड संरचनेत सुरक्षा अपयशांसाठी ₹250 कोटींपर्यंत आणि सूचना लॅप्ससाठी (Notification Lapses) ₹200 कोटींपर्यंत दंड आकारण्याची तरतूद आहे, जी प्रति गळती घटना लागू केली जाऊ शकते, ज्यामुळे दायित्व अमर्याद (Uncapped) बनते. 'वाजवी सुरक्षा उपाय' सिद्ध करणे अत्यंत कठीण आहे जेव्हा धोका एखाद्या अत्याधुनिक हल्ल्याऐवजी नियमित कर्मचाऱ्यांच्या कृतीतून येतो. अनेक संस्थांना स्पष्ट AI मॉडेल वापर इन्व्हेंटरीच्या (AI Model Usage Inventory) अभावामुळे त्यांच्या एक्सपोजरच्या व्याप्तीची जाणीव देखील नसेल.
AI डेटा लीक्सपासून संरक्षण करण्यासाठी पावले
या असुरक्षिततेचे निराकरण करण्यासाठी तांत्रिक नियंत्रणे (Technical Controls) आणि सांस्कृतिक बदलांचे (Cultural Change) एकत्रित दृष्टिकोन आवश्यक आहे. AI स्वतः गैरवापराविरुद्ध लढण्यासाठी एक साधन बनत आहे, ज्यामध्ये डेटा हाताळणीचे कठोर नियम असलेले एंटरप्राइज-ग्रेड प्लॅटफॉर्म्स (Enterprise-grade Platforms), संवेदनशील डेटा ब्लॉक करणारे ब्राउझर एक्सटेंशन (Browser Extensions), आणि AI रहदारीचे नेटवर्क मॉनिटरिंग (Network Monitoring) समाविष्ट आहे. कर्मचाऱ्यांमधील विशिष्ट धोक्यांबद्दल जागरूकता वाढवणे, मंजूर AI पर्याय (Approved AI Alternatives) प्रदान करणे आणि नवीन परिस्थितींसाठी स्पष्ट प्रक्रिया (Clear Processes) स्थापित करणे तितकेच महत्त्वाचे आहे. संस्थांना अंतर्गत प्रणालींचे ऑडिट करावे लागेल आणि उत्पादकता, सुरक्षा आणि अनुपालन यांच्यात संतुलन साधणारे सानुकूलित मार्गदर्शक तत्त्वे (Tailored Guidelines) तयार करावी लागतील. सायबर सुरक्षा गुंतवणुकीचे यशस्वी व्यवस्थापन आता या अंतर्गत AI डेटा लीकेजच्या 'अंधुक' धोक्याला (Blind Spot) दूर करण्यावर अवलंबून आहे.