Mietityttääkö Copilot ja sen tietoturva – tietojen luokittelu varmistaa turvallisen käytön

Lukuaika 3 min

Miten tietojen luokittelun automatisointi auttaa suojautumaan tietovuodoilta ja käyttämään Copilotia tietoturvallisesti? Copilot ja sen tietoturva mietityttävät monia yrityksiä, jotka haluavat hyödyntää tekoälytyökalujen mahdollisuuksia.

Tässä blogissa kerromme miten varmistaa, että Microsoft 365 Copilot sujuvoittaa yrityksen arkea ilman yllätyksiä.

Copilotin tietoturvallinen käyttö perustuu yrityksen tietojen ajantasaisuuteen ja käyttöoikeuksiin

Tekoälyn käyttö on tietoturvallista silloin, kun riskit on huomioitu ja minimoitu alusta lähtien. Microsoft 365 Copilotin yhteydessä yrityksissä herää monesti kysymyksiä siitä, mitä tietoa Copilot oikeastaan hyödyntää.

  • Pääseekö Copilot kiinni vanhentuneeseen tietoon?
  • Voiko tekoälyn tuottamiin vastauksiin nousta tietoja, joita ei ole lupa jakaa?
  • Miten suojata tiedot, joita ei ole lupaa käsitellä?

 

Toisin kuin julkiset tekoälytyökalut, Copilot ei hae tietoa julkisista lähteistä vaan se hyödyntää yrityksen omia tietoja. Niin kauan kun yrityksen tiedot ovat ajan tasalla, Copilot ei käytä vanhentunutta tietoa.

Copilot lukee yrityksen tietoja ja tiedostoja aina loppukäyttäjän oikeuksilla. Se pääsee käsiksi vain tiedostoihin, joihin käyttäjällä on sekä lukuoikeus että oikeus kopioida tietoja ulos. Käyttöoikeuksien avulla yritys voi varmistaa, ettei tekoäly hyödynnä esimerkiksi luottamuksellisia tietoja vastauksissaan.

Yrityksille tulee kuitenkin toisinaan yllätyksenä, mihin kaikkeen käyttäjälle on jaettu pääsy. Väljästi jaetut käyttöoikeudet aiheuttavat tilanteita, joissa Copilot pääsee hyödyntämään tietoja, joiden tulisi olla rajatussa käytössä tai jopa salattuja.

Copilotin tietoturvan avain onkin tietojen oikeanlaisen luokittelun varmistaminen.

Hallittu tietojen luokittelu estää tietovuotoja

Copilotin tietoturvan varmistamiseksi yrityksissä on syytä tarkistaa huolellisesti, mihin tietoihin loppukäyttäjillä on oikeudet. Tietojen luokittelu on erinomainen keino varmistaa, että arkaluonteisen tiedon käyttäminen on rajoitettu.

Tietojen luokittelulla tarkoitetaan aineiston ryhmittelyä sen arkaluontoisuuden perusteella. Arkaluontoisen tiedon määrittelyn ja tunnistamisen jälkeen eri luokkiin voidaan tarvittaessa kytkeä teknisiä rajoituksia jakamiseen ja pääsyoikeuksiin liittyen. Sen avulla minimoidaan riskejä tahattomaan ja tahalliseen tietovuotoon sekä vahvistetaan Copilot ja sen tietoturva käytössä.

Tietojen luokittelun merkitys korostuu yrityksissä, joissa käsitellään paljon arkaluontoista dataa, esimerkiksi kuluttajien henkilötietoja. Datan luokittelu on kuitenkin tärkeää yrityksen kokoon ja toimialaan katsomatta – arkaluontoinen ja suojattava data voi tarkoittaa myös yrityksen liikesalaisuuksia, immateriaalioikeuksia tai muita GDPR-regulaatioiden alaisia tietoja.

Kolme tapaa automatisoida tietojen luokittelu Microsoftin tuotteilla

Copilot vaatii aina oikeuden sekä tiedoston lukemiseen että kopioimiseen. Kopiointioikeus sisältyy oletuksena lukuoikeuteen, mutta hallinta on mahdollista eriyttää. Käyttäjälle voidaan näin sallia tiedoston lukeminen tai muokkaaminen mutta estää tiedoston kopiointi, jolloin Copilot ei löydä tietoa.

Luokittelun avulla voidaan varmistaa, että tiedot ovat käytettävissä vain heillä, joille tieto kuuluu. Esimerkiksi jos yritys käsittelee salassa pidettäviä patenttihakemuksia, voidaan automaattinen luokittelumalli asettaa tunnistamaan tähän liittyviä elementtejä ja aktivoida sen avulla tiedoston pääsyoikeudet ainoastaan tuotekehitykseen kuuluville henkilöille. Vaikka lukuoikeudet materiaaliin olisi jaettu väljästi ja aineisto löytyisi esimerkiksi yrityksen intrasta, kopiointiluvituksen poistaminen varmistaa, että tiedot eivät ole Copilotin kautta hyödynnettävissä.

Oikeuksien hallinnointi on helpointa toteuttaa luottamuksellisuustunnisteen (sensitivity label) avulla. Microsoft 365 -työvälineillä tietojen luokittelun automatisointiin on kolme eri tapaa:

  1. Käyttäjän ohjaaminen tunnisteen valitsemiseen
    • Automatiikka tunnistaa tiedostosta arkaluontoista tietoa kuten henkilötunnuksen ja nostaa käyttäjälle tästä huomion.
    • Automatiikka suosittelee käyttäjälle tiedon luokittelua tiettyyn tunnisteeseen, esimerkiksi luottamukselliseksi.
    • Käyttäjä tekee itse lopullisen päätöksen luokittelusta.
  2. Tunnisteen valinta automaattisesti käyttäjän puolesta
    • Yritys on etukäteen määritellyt elementit, jotka luokitellaan automaattisesti käyttäjän puolesta. Esimerkiksi henkilötunnuksen liittäminen asiakirjaan johtaa sen luokitteluun luottamukselliseksi.
    • Luokittelu ei vaadi toimenpiteitä käyttäjältä.
  3. Luokittelukäytännön sitominen tiedoston sijaintiin
    • Luokittelukäytännön voi sitoa tiedoston sijaintiin. Automatiikka voi käydä läpi esimerkiksi Teams-työtilan tai Sharepoint-sivuston tiedot ja etsiä niistä tunnistettavia elementtejä.
    • Löytäessään esimerkiksi henkilötunnuksen, se määrittelee tiedon automaattisesti luottamukselliseksi.
    • Luokittelu ei vaadi toimenpiteitä käyttäjältä.

 

Yritykselle sopivan tavan valintaan vaikuttaa se, kuinka tarkka määritelmä luokittelusta on. Kevyin ja joustavin toteutus on jättää lopullinen päätäntävalta käyttäjälle. Silloin määritelmä siitä, mistä automatiikan tulee nostaa huomio, ei tarvitse olla täysin yksiselitteinen. Täyteen automatiikkaan perustuvan luokittelun taustalla täytyy olla erittäin vahva määrittely, joka ei jätä tulkinnanvaraa. Henkilötunnus on tästä hyvä esimerkki.

Suojaa kaikista tärkein tieto – älä kaikkea

Copilotin käyttöönotossa ja tietojen luokittelussa tekninen toteutus tulee vasta haastavimman työn jälkeen. Ennen kuin tekniset asetukset klikkaillaan paikalleen yrityksellä täytyy olla selkeä liiketoiminnan asettama syy ja tarve siihen, mitä tietoja halutaan rajata.

Jälkikäteen muutosten tekeminen erityisesti salattuihin tiedostoihin voi olla vaikeaa – siksi suosittelemme lähtemään liikkeelle hyvin rajatusta tarpeesta. Älä pyri automatisoimaan kaikkea tiedon luokittelua vaan keskity kaikkein kriittisimpään ja arkaluontoisimpaan dataan.

Erilaisten tietotyyppien tunnistamiseen ja määrittelyyn kannattaa varata riittävästi aikaa ja ajatusta. Mitä tietotyyppejä yrityksenne käyttää? Mikä tieto määritellään salaiseksi? Onko määritelmä yksiselitteinen?

Vasta tarkan määrittelyn jälkeen voidaan siirtyä tekniseen toteutukseen ja käytäntöön.

Ota Copilot ja tietoturva haltuun Elisan asiantuntijoiden avulla

Elisan asiantuntijat ovat käytettävissäsi, kun haluat varmistaa Copilotin tietoturvallisen käytön. Käsittelemme tekoälyn tietoturvaa myös työpajoissamme, joissa autamme tunnistamaan ensimmäiset käyttökohteet ja huolehtimaan niiden tietoturvasta.

Tuomme käyttöösi kokemuksemme käytännön toteutuksista sekä ymmärryksemme eri toteutusmalleista ja välineistä. Autamme yritystäsi

  • tunnistamaan kriittisimmät tiedot suojata
  • viemään määrittelyt käytäntöön
  • ohjeistusten tekemisessä
  • Copilotin käyttöönotossa ja käytössä tietoturvallisesti.

Lue lisää Elisan tekoälypalveluista ja ota meihin yhteyttä.


Lue myös

Palvelupyyntöjen rikastaminen tekoälyllä – näin tekoäly hoitaa taustatyöt

Tuottava tekoäly asiakaspalvelussa – katso esimerkit

Näin tuottava tekoäly muuttaa yrityskulttuuria