இந்திய கம்பெனிகளுக்கு AI ஆபத்து! ஊழியர்களின் அலட்சியத்தால் ₹250 கோடி வரை அபராதம் - முக்கிய ரிஸ்க் என்ன?

சைபர் செக்யூரிட்டி முதலீடும், AI டேட்டா லீக் ஆபத்தும்

இந்திய நிறுவனங்கள் 2026-க்குள் சைபர் செக்யூரிட்டியில் $3.4 பில்லியன் வரை முதலீடு செய்ய திட்டமிட்டுள்ளன. AI சார்ந்த அச்சுறுத்தல்கள் மற்றும் புதிய சட்டங்களால் இந்த முதலீடு 11.7% அதிகரிக்கும் என எதிர்பார்க்கப்படுகிறது. ஆனால், இந்த முதலீடுகள் பெரும்பாலும் ஃபயர்வால்கள் (Firewalls) போன்ற வெளிப்படையான பாதுகாப்பு நடவடிக்கைகளுக்குச் செல்கின்றன. ஊழியர்கள், நிறுவனத்தின் ரகசிய தகவல்களையும், அறிவுசார் சொத்துக்களையும் (IP) பொதுவான AI டூல்களில் (Public AI Tools) பதிவேற்றுவதன் மூலம், தங்களுக்குத் தெரியாமலேயே லீக் செய்யும் பெரிய உள் ஆபத்தை (Internal Risk) யாரும் கண்டுகொள்ளவில்லை.

DPDPA சட்டமும், அறிவுசார் சொத்து இழப்பும்

டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் 2023 (DPDPA) படி, நிறுவனங்கள் தனிநபர் தரவைப் பாதுகாக்க நியாயமான பாதுகாப்பு நடவடிக்கைகளை எடுக்க வேண்டும். இதை மீறினால், ஒவ்வொரு விதிமீறலுக்கும் ₹250 கோடி வரை அபராதம் விதிக்கப்படலாம். மேலும், ஏதேனும் டேட்டா பிரீச் (Data Breach) ஏற்பட்டால், அதை உடனடியாக டேட்டா பாதுகாப்பு வாரியத்திற்கும் (Data Protection Board of India) பாதிக்கப்பட்டவர்களுக்கும் தெரிவிக்க வேண்டும். இதில் தவறும் பட்சத்தில் ₹200 கோடி வரை அபராதம் விதிக்கப்படலாம். ஊழியர்கள் சாட்ஜிபிடி (ChatGPT) போன்ற பொது AI கருவிகளில் நிறுவனத்தின் முக்கிய தகவல்களைப் பதிவேற்றும்போது, அந்தத் தரவு நிறுவனத்தின் கட்டுப்பாட்டை விட்டு வெளியேறுகிறது. இது சட்ட விதிமுறைகளை நேரடியாக மீறுகிறது. அபராதங்கள் மட்டுமல்லாமல், நிறுவனத்தின் பிரத்யேக அல்காரிதம்கள் (Proprietary Algorithms), வர்த்தக ரகசியங்கள் (Trade Secrets) போன்ற அறிவுசார் சொத்துக்களும் நிரந்தரமாக பாதிக்கப்பட்டு, போட்டியாளர்களுக்குக் கிடைக்கக்கூடும்.

ஏன் வழக்கமான பாதுகாப்பு முறைகள் AI லீக்குகளுக்கு உதவாது?

இந்தியாவில், எண்டர்பிரைஸ் AI (Enterprise AI) பயன்பாடு மிகப்பெரிய அளவில் உள்ளது. AI/ML பரிவர்த்தனைகளில் மட்டும் ஆண்டுக்கு 309.9% வளர்ச்சி காணப்படுகிறது. ChatGPT போன்ற பொது AI டூல்கள் ஏற்கனவே பல லட்சம் டேட்டா இழப்பு தடுப்பு (Data Loss Prevention) விதிமீறல்களுக்குக் காரணமாகியுள்ளன. குறிப்பாக, கோடிங் அசிஸ்டன்ட்கள் (Coding Assistants) டேட்டா லீக் சம்பவங்களில் அதிகம் சிக்கியுள்ளன. மின்னஞ்சல்கள் மற்றும் USB டிரைவ்களுக்காக உருவாக்கப்பட்ட வழக்கமான டேட்டா லாஸ் பிரிவென்ஷன் (DLP) கருவிகள், இணைய உலாவி (Web Browser) மூலம் அணுகப்படும் AI சாட்போட்கள் மற்றும் LLM-களைக் கண்காணிக்க போதுமானவை அல்ல. பெரும்பாலான பயனர்கள் (79%) நிறுவனத்தின் ஒப்புதலுடன் கூடிய AI டூல்களை விரும்பினாலும், 15% பேர் தனிப்பட்ட மற்றும் வேலை கணக்குகளுக்கு இடையில் மாறி மாறிப் பயன்படுத்துகிறார்கள். இதனால், தொடர்ந்து டேட்டா லீக் ஆகிறது. ஸ்டார்ட்அப்கள் (Startups) மற்றும் சிறு, நடுத்தர வணிகங்கள் (SMEs) இதில் மிகவும் பாதிக்கப்படக்கூடியவை.

மறைமுக ஆபத்து: AI மாடல்களில் பதிவாகும் டேட்டா

மிகவும் கவலையளிக்கும் விஷயம் என்னவென்றால், இந்த ஊழியர்களின் AI பயன்பாடு பெரும்பாலும் யாருடைய கண்ணுக்கும் தெரியாமல் நடக்கிறது. பொது AI மாடல்களில் பதிவேற்றப்படும் தரவுகளை கிட்டத்தட்ட மீட்டெடுக்க முடியாது. அவை AI மாடல்களைப் பயிற்றுவிக்கப் பயன்படுத்தப்பட்டு, அந்த நிறுவனத்தின் அல்காரிதம்களில் பதிவாகிவிடுகின்றன. இது அறிவுசார் சொத்துக்களுக்கு (IP) பெரும் ஆபத்தை ஏற்படுத்துகிறது. ஏர் இந்தியா (2021) அல்லது பாரத்பே (2022) போன்ற பழைய டேட்டா திருட்டு சம்பவங்களைப் போலல்லாமல், இந்த டேட்டா மனமுவந்து, ஆனால் அறியாமலேயே பகிரப்பட்டு, மூன்றாம் தரப்பு அமைப்புகளில் ஒருங்கிணைக்கப்படுகிறது. DPDPA-வின் அபராத அமைப்பு, பாதுகாப்பு தோல்விகளுக்கு ₹250 கோடி வரையிலும், தகவல் அறிவிப்பு தாமதங்களுக்கு ₹200 கோடி வரையிலும் அபராதம் விதிக்க அனுமதிக்கிறது. இது ஒவ்வொரு லீக்கிற்கும் தனித்தனியாக விதிக்கப்படலாம். ஊழியர்களின் சாதாரண செயல்பாடு மூலம் இந்த அச்சுறுத்தல் வருவதால், "நியாயமான பாதுகாப்பு ஏற்பாடுகளை" (Reasonable Security Safeguards) நிரூபிப்பது மிகவும் கடினமாகிறது. பல நிறுவனங்களுக்கு, AI மாடல்களின் பயன்பாடு குறித்த தெளிவான கணக்கு இல்லாததால், தங்களுக்கு எவ்வளவு ஆபத்து இருக்கிறது என்பதே தெரியாமல் இருக்கலாம்.

AI டேட்டா லீக்குகளைத் தடுக்க என்ன செய்யலாம்?

இந்த பாதிப்பைக் குறைக்க, தொழில்நுட்பக் கட்டுப்பாடுகள் மற்றும் நிறுவன கலாச்சார மாற்றங்கள் இரண்டையும் இணைக்க வேண்டும். எண்டர்பிரைஸ்-கிரேட் AI தளங்கள், டேட்டாவை பாதுகாப்பாக கையாளும் கருவிகள், முக்கிய தரவுகளைத் தடுக்கும் பிரவுசர் எக்ஸ்டென்ஷன்கள் (Browser Extensions) மற்றும் AI டிராஃபிக்கைக் கண்காணிக்கும் நெட்வொர்க் கருவிகள் போன்ற தொழில்நுட்பங்கள் உதவியாக இருக்கும். அதே சமயம், ஊழியர்களுக்கு AI-ன் குறிப்பிட்ட ஆபத்துக்கள் குறித்துக் கல்வி கற்பிப்பது, அங்கீகரிக்கப்பட்ட AI மாற்று வழிகளை வழங்குவது, மற்றும் புதிய சூழ்நிலைகளுக்கான தெளிவான செயல்முறைகளை அமைப்பது மிக முக்கியம். நிறுவனங்கள் உள் அமைப்புகளை தணிக்கை செய்து, உற்பத்தித்திறன், பாதுகாப்பு மற்றும் இணக்கத்தன்மை (Compliance) ஆகியவற்றை சமநிலைப்படுத்தும் வகையில் தனிப்பயனாக்கப்பட்ட வழிகாட்டுதல்களை உருவாக்க வேண்டும். இப்போது சைபர் செக்யூரிட்டி முதலீடுகளின் வெற்றி, இந்த உள் AI டேட்டா லீக் கண்மூடித்தனமான ஆபத்தை (Blind Spot) சரிசெய்வதிலேயே தங்கியுள்ளது.