הירשמו
  1. ראשי
  2. קריירה
אובדן כושר עבודה. צילום: נוצר ע"י בינה מלאכותית
אובדן כושר עבודה. צילום: נוצר ע"י בינה מלאכותית

העובד משתמש ב-AI בעבודה, אבל אף אחד לא באמת בודק איך

מדיניות בינה מלאכותית בארגון נשמעת טוב במצגות, עד שמגלים שבשטח כל צוות עושה מה שנוח לו

מירב ארד |
נושאים בכתבה בינה מלאכותית

מנהלת לשעבר מגלה שעובד שהיה תחתיה ממשיך להשתמש בכלי AI גנרטיביים לכתיבת קוד, מסמכים ותוצרים מקצועיים. הבעיה היא לא עצם השימוש. בחברה דווקא קיימת מדיניות ברורה יחסית: מותר לעבוד עם כלי פנימי ומאושר, אסור להזין מידע רגיש לכלים חיצוניים, וצריך לבדוק את התוצרים לפני שמשתמשים בהם. הבעיה מתחילה כשהיא מבינה שאף אחד לא באמת בודק אם הכללים האלה מתקיימים בפועל. היא כבר לא המנהלת הישירה שלו. היא עברה לצוות אחר, חזרה לתפקיד מקצועי, ועדיין עובדת איתו על פרויקט משותף. לפי האופן שבו הקוד והטקסטים נראים, היא מעריכה שהוא ממשיך להשתמש בכלי AI, וייתכן שלא תמיד בכלי המאושר של החברה. היא מעבירה את החשש למנהלים החדשים שלו, אך לא ברור אם מישהו מדבר איתו או בודק את העניין לעומק.

במקביל, היא מגלה שגם בצוותי טכנולוגיה אחרים משתמשים בכלים שלא אמורים להיות בשימוש, אף שהארגון מצהיר אחרת. זו כבר אינה דילמה נקודתית של עובד אחד או צוות אחד. זה אחד האתגרים הגדולים של מקומות עבודה בשנתיים האחרונות. מצד אחד, AI משפר תפוקה, מקצר תהליכים ועוזר לעובדים לכתוב, לתכנת, לנתח ולסכם מהר יותר. מצד שני, שימוש לא מבוקר יכול לחשוף קוד, מידע על לקוחות, נתונים עסקיים, מסמכים פנימיים ותוכניות עבודה. גם בלי כוונה רעה, עובד שמדביק מידע בכלי חיצוני עלול ליצור סיכון משפטי, אבטחתי ותפעולי.

לפי מקינזי, השימוש הארגוני בבינה מלאכותית כבר הפך לנפוץ מאוד: רוב גדול של הארגונים מדווחים על שימוש קבוע ב-AI לפחות בחלק מהפעילות. אבל אותה תמונה חושפת גם פער גדול בין שימוש לבין שליטה. הרבה חברות כבר עברו את שלב ההתנסות, אך עדיין לא בנו תהליכים ברורים שמגדירים מתי מותר להשתמש בכלי AI, מי בודק את הפלט, מי אחראי לטעות, ואיך מונעים זליגת מידע רגיש.

כשהשימוש ב-AI עובר מתחת לרדאר

התופעה הזו קיבלה בעולם העבודה את התואר Shadow AI. הכוונה היא לשימוש בכלי בינה מלאכותית שלא אושרו על ידי מחלקת הטכנולוגיה, אבטחת המידע או ההנהלה. זה יכול להיות עובד שמעלה קוד לכלי חיצוני כדי לקבל תיקון מהיר, מחלקת שיווק שמייצרת מצגת בכלי שלא נבדק, או מנהל שמסכם מסמכים פנימיים בצ'אטבוט ציבורי כי זה פשוט נוח יותר. הנתונים בעולם מצביעים על כך שמדובר בתופעה רחבה. סקר של WalkMe, שנרכשה על ידי SAP, מצא כי 78% מהעובדים הודו שהשתמשו בכלי AI שלא אושרו על ידי המעסיק. יותר ממחצית מהעובדים דיווחו על הנחיות סותרות לגבי השימוש ב-AI, ורק שיעור קטן מאוד אמר שקיבל הכשרה מקיפה.  כפי שניתן לראות, העובדים רצים קדימה, אבל הארגונים מתקשים להדביק את הקצב.

הבעיה היא שעובדים אינם עושים זאת בהכרח כדי לעקוף את הארגון. לעיתים הם עושים זאת כי הכלי המאושר איטי, מוגבל או לא מתאים לצורך שלהם. לפעמים אין להם בכלל כלי מאושר. לפעמים המדיניות כתובה בצורה משפטית או טכנית כל כך, שאיש לא באמת מבין מה מותר ומה אסור. וכשיש לחץ לעמוד בדדליין, עובד יבחר בדרך הקצרה ביותר - גם אם היא לא הדרך הבטוחה ביותר.

כאן נוצרת הסתירה המרכזית. ארגונים רוצים שהעובדים יהיו חדשניים, מהירים ויעילים, אבל הם גם רוצים שליטה מלאה על המידע. אם הם אוסרים שימוש ב-AI בלי לתת חלופה טובה, העובדים ימצאו פתרונות לבד. אם הם מאפשרים שימוש בלי כללים ברורים, הם מגדילים את הסיכון. לכן השאלה אינה אם העובדים ישתמשו ב-AI. הם כבר משתמשים. השאלה היא האם הארגון ינהל את השימוש הזה, או יגלה אותו רק אחרי שתהיה תקלה.

הסיכון אינו רק דליפת מידע

 כשמדברים על AI בעבודה, קל לחשוב רק על דליפת מידע. זה אכן סיכון מרכזי, אך הוא לא היחיד. שימוש לא מבוקר ב-AI עלול להכניס לארגון קוד לא בטוח, מסמך עם טעויות, ניתוח עסקי שגוי, התחייבות משפטית בעייתית או תשובה שנראית משכנעת אך מבוססת על מידע לא מדויק. 

הבעיה חמורה במיוחד משום שתוצרים של AI נראים לעיתים מלוטשים ומקצועיים, גם כשהם שגויים. מקינזי מצאה כי אחד הסיכונים המרכזיים שמעסיקים ארגונים הוא חוסר דיוק של מערכות AI, לצד סיכוני סייבר. המשמעות פשוטה: גם אם העובד לא הזין מידע רגיש לכלי חיצוני, עדיין צריך לבדוק מה הכלי יצר. 

קוד שנכתב בעזרת AI חייב לעבור סקירה. מסמך משפטי או פיננסי חייב להיבדק על ידי אדם שמבין את התחום. סיכום של פגישה או לקוח חייב להיבחן לפני שהוא הופך להחלטה עסקית. גם גופי אבטחת מידע מדגישים את הסיכון. 

OWASP, אחד הגופים המרכזיים בעולם בתחום אבטחת יישומים, מציין בין הסיכונים של יישומי שפה גדולים גם חשיפה של מידע רגיש, הזרקת הנחיות זדוניות ופלט לא בטוח. המשמעות מבחינת ארגון היא שכלי AI אינו רק "עוזר כתיבה" או "עוזר קוד". ברגע שהוא מחובר למידע פנימי, למערכות עבודה או לתהליכי החלטה, הוא הופך לחלק ממשטח הסיכון של החברה. לכן מדיניות AI שאומרת רק "לא להזין מידע רגיש" אינה מספיקה. צריך להגדיר מה נחשב מידע רגיש, באילו כלים מותר להשתמש, אילו שימושים דורשים אישור, ואילו תוצרים חייבים בדיקה אנושית לפני שהם נכנסים למערכת, לקוד, למצגת ללקוח או למסמך רשמי.

הכלל הפשוט: לא לרדוף אחרי העובד, אלא אחרי התהליך

במקרה כזה, הפתרון אינו להפוך לעוקבים אחרי עובד מסוים. אם המנהלת כבר לא אחראית עליו, היא לא צריכה לנהל חקירה פרטית ולא לאסוף הוכחות מרמזים בלינקדאין, בקוד או במסמכים. היא כן צריכה לתעד דוגמאות ענייניות מהעבודה המשותפת, בלי השערות אישיות ובלי האשמות, ולהעביר אותן למנהל הרלוונטי או לגורם שאחראי על מדיניות AI בארגון. הניסוח צריך להיות יבש ומקצועי: "בפרויקט האחרון עלו סימנים לשימוש בכלי AI לצורך יצירת קוד ותוכן. מאחר שיש לנו מדיניות שמגבילה שימוש לכלים מאושרים, כדאי לוודא שכל הצוות מבין מה מותר ומה אסור, ואיך מתעדים בדיקה של תוצרים". זה לא מאשים אדם מסוים, אבל כן מעלה סיכון אמיתי שצריך לטפל בו.

במקביל, הארגון צריך להפסיק להסתפק במסמכי מדיניות. דרישה מעובדים לענות על שבע שאלות אחרי כל שימוש ב-AI היא כנראה מתכון לכך שאף אחד לא יתעד כלום. הכללים צריכים להיות קצרים, ברורים וישימים: באילו כלים מותר להשתמש, איזה מידע אסור להזין, מי בודק קוד שנוצר בעזרת AI, מתי חייבים אישור מנהל, ומתי צריך לערב את אבטחת המידע או הייעוץ המשפטי.

יש גם את הצד הניהולי. אם מנהלים עצמם משתמשים בכלים לא מאושרים, המדיניות מאבדת תוקף. עובדים מבינים מהר מאוד את הפער בין מה שמותר על הנייר לבין מה שקורה בפועל. לכן אכיפה לא יכולה להתחיל מהעובד הזוטר שנתפס משתמש בכלי חיצוני. היא צריכה להתחיל מהמנהלים ומהצוותים הטכנולוגיים, שהם אלה שמעצבים בפועל את התרבות הארגונית.

מדיניות טובה צריכה להיות קצרה, שימושית ואכיפה

 מדיניות AI טובה אינה חייבת להיות מסמך ארוך. להפך, ככל שהיא ארוכה ומסובכת יותר, כך גדל הסיכוי שאף אחד לא יקרא אותה. עובדים צריכים לדעת במהירות מה מותר, מה אסור, ומה עושים במקרה של ספק. למשל: מותר להשתמש בכלי המאושר של החברה לכתיבה ראשונית, סיכום מסמכים לא רגישים וטיוטות פנימיות. אסור להזין קוד מקור, נתוני לקוחות, מסמכים משפטיים, מידע פיננסי לא פומבי או פרטים אישיים לכלים חיצוניים. כל קוד שנוצר בעזרת AI חייב לעבור ביקורת קוד רגילה. כל מסמך שמופץ החוצה חייב להיבדק על ידי אדם. זה נשמע בסיסי, אבל בהרבה ארגונים גם הבסיס הזה עדיין לא קיים.

קיראו עוד ב"קריירה"

IBM מצאה כי 63% מהארגונים חסרים מדיניות ממשל AI שנועדה לנהל שימוש בבינה מלאכותית ולמנוע התפשטות של Shadow AI. זהו נתון שמסביר מדוע עובדים רבים מרגישים שהם נאלצים להחליט לבד. כשהארגון לא נותן תשובות ברורות, השטח מייצר תשובות משלו. מדיניות טובה צריכה לכלול גם מנגנון דיווח לא מאיים. עובד שגילה כי השתמש בטעות בכלי לא מאושר לא צריך לחשוש מיד מעונש. 

הארגון צריך לעודד דיווח מוקדם, כדי שאפשר יהיה לטפל בסיכון לפני שהוא הופך לאירוע אבטחה או תקלה עסקית. במקום לחפש אשמים, נכון יותר להגדיר רמות סיכון.

העובדים צריכים הכשרה, לא רק אזהרות

הכשרה בסיסית ב-AI כבר אינה מותרות. היא צריכה לכלול שימוש נכון בפרומפטים, בדיקת תוצרים, זיהוי מידע שאסור להזין, הבנה של מגבלות הכלים, וכללים ברורים לגבי שימוש בקוד ובמסמכים פנימיים. ההכשרה צריכה להיות מותאמת לתפקידים שונים: מפתחים, אנשי שיווק, מכירות, כספים, משפטים ומשאבי אנוש לא מתמודדים עם אותם סיכונים.

גם כאן הנתונים בעולם ברורים. יותר ויותר עובדים משתמשים ב-AI, אך שיעור ההכשרה נותר נמוך בהרבה. זה פער מסוכן: ארגון שלא מכשיר את העובדים שלו, אבל מצפה מהם להשתמש ב-AI בזהירות, בעצם מעביר אליהם אחריות בלי לתת להם כלים.

לכן חשוב להפנים: ה- AI לא ייעלם ממקומות העבודה. להפך, הוא ייכנס לעוד תהליכים, לעוד צוותים ולעוד מערכות. הארגונים שיצליחו לא יהיו אלה שיכתבו את המדיניות הארוכה ביותר, אלא אלה שיצליחו להפוך אותה להרגל עבודה פשוט: כלים מאושרים, גבולות ברורים, בדיקה אנושית, הכשרה רצינית ואחריות ניהולית.

הוספת תגובה

תגובות לכתבה:

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה