Konfigurace Microsoft Purview pro ochranu dat v LLM třetích stran

Konfigurace Microsoft Purview pro ochranu dat v LLM třetích stran

  1. února 2026

Úvod: Výzva správy dat v éře externích LLM

Do roku 2026 se přijetí velkých jazykových modelů (LLM) a generativních nástrojů umělé inteligence (AI) stalo v mnoha organizacích realitou. Zatímco nativní řešení, jako je Microsoft 365 Copilot, nabízejí zabezpečenou integraci a správu dat, mnoho společností také využívá řadu dalších LLM třetích stran, které jsou přístupné prostřednictvím webu nebo rozhraní API. Toto rozšíření externích nástrojů umělé inteligence, i když je přínosné pro inovace a produktivitu, přináší značné riziko: neúmyslné nebo zlomyslné vystavení citlivých dat [1].

Zaměstnanci mohou ve snaze o efektivitu nebo zvědavost neúmyslně vložit obchodní tajemství, informace o zákaznících, finanční údaje nebo duševní vlastnictví do veřejných chatovacích rozhraní AI nebo LLM třetích stran, které nemají stejné záruky zabezpečení a soukromí jako podniková řešení. Toto chování může vést k masivním únikům dat, porušení předpisů a vážnému poškození reputace. Riziko, že zaměstnanci „trénují“ veřejné modely umělé inteligence s citlivými firemními daty, je jedním z největších problémů v oblasti bezpečnosti dat a správy v roce 2026 [2].

Aby se vypořádal s touto výzvou, Microsoft Purview v roce 2026 výrazně rozšířil své schopnosti Data Loss Prevention (DLP). Purview nyní funguje jako „bezpečnostní brána AI“, která v reálném čase monitoruje a blokuje odesílání citlivých dat neautorizovaným externím nástrojům AI. Kontroluje odchozí provoz, identifikuje vzorce citlivých dat a prosazuje zásady zabraňující exfiltraci, čímž zajišťuje, že inovace AI neohrozí bezpečnost dat a dodržování předpisů [3].

Účelem tohoto technického a vzdělávacího článku je pomoci správcům dodržování předpisů, bezpečnostním analytikům a vedoucím pracovníkům IT porozumět rizikům spojeným s LLM třetích stran a konfigurovat obranu Microsoft Purview pro ochranu citlivých dat. Probereme základní principy, předpoklady a podrobného průvodce krok za krokem pro implementaci konkrétních zásad DLP pro služby AI.

Rizika LLM třetích stran a potřeba řízení

Snadný přístup a výkon LLM třetích stran může být dvojsečná zbraň. I když nabízejí výhody, představují také podstatná rizika pro bezpečnost podnikových dat:

  • Neúmyslná exfiltrace dat: Zaměstnanci mohou bez zlého úmyslu kopírovat a vkládat citlivá data do externích výzev LLM za účelem shrnutí, analýzy nebo generování obsahu, aniž by si uvědomovali, že tato data mohou být uložena nebo použita k trénování modelu AI, zpřístupnění veřejnosti nebo zpřístupnění třetím stranám.

  • ** Exfiltrace škodlivých dat**: Zaměstnanec se zlými úmysly by mohl použít LLM třetí strany jako kanál k exfiltraci citlivých dat a obejít tradiční bezpečnostní kontroly.

  • Porušení předpisů: Odesílání regulovaných dat (jako jsou PII, PHI, PCI) externím LLM může porušovat zákony na ochranu osobních údajů (GDPR, LGPD) a předpisy specifické pro odvětví, což má za následek vysoké pokuty a poškození pověsti.

  • Duševní vlastnictví: Obchodní tajemství, proprietární zdrojové kódy a obchodní plány mohou být odhaleny, pokud jsou vloženy do LLM třetích stran.

  • Nedostatek viditelnosti a kontroly: Bez vhodných nástrojů nemají organizace přehled o tom, které LLM třetích stran jsou používány, jaká data jsou sdílena a zda tyto služby splňují interní bezpečnostní zásady.

Microsoft Purview řeší tato rizika rozšířením svých schopností DLP do domény služeb AI. Umožňuje organizacím identifikovat, monitorovat a řídit tok citlivých dat do těchto služeb a zajišťuje, že zásady správy dat jsou uplatňovány konzistentně v celém digitálním ekosystému [4].

Principy ochrany dat pro AI v Microsoft Purview

Efektivní ochrana citlivých dat v LLM třetích stran v Microsoft Purview je založena na následujících principech:

  1. Zjišťování a klasifikace umělé inteligence: Identifikujte, ke kterým službám umělé inteligence třetích stran se v síti přistupuje, a klasifikujte jejich úroveňrizika. To umožňuje, aby byly zásady DLP cílené a efektivní.

  2. Detekce citlivých dat v reálném čase: Zkontrolujte odchozí provoz v reálném čase a zjistěte přítomnost citlivých informací (jako jsou čísla kreditních karet, čísla sociálního pojištění, zdravotní údaje) předtím, než se dostanou do externího LLM.

  3. Řízení přístupu a blokování: Použijte zásady pro blokování nebo upozornění na pokusy o sdílení citlivých dat s neautorizovanými LLM, čímž zajistíte, že budou používány pouze schválené kanály.

  4. Povědomí uživatelů: Poskytněte uživatelům okamžitou zpětnou vazbu o porušování zásad, poučte je o bezpečném používání nástrojů umělé inteligence a rizicích spojených se sdílením citlivých dat.

  5. Audit a hlášení: Udržujte podrobné záznamy o všech pokusech o porušení zásad a poskytujte zprávy pro analýzu a neustálé zlepšování stavu zabezpečení.

Předpoklady pro implementaci

Ke konfiguraci ochrany Microsoft Purview pro LLM třetích stran budete potřebovat následující prvky:

  • Licencování Microsoft 365 E5 nebo Microsoft Purview Compliance Suite: Tyto plány zahrnují požadované pokročilé funkce DLP a AI governance.

  • Administrativní přístup: Účty s oprávněními Compliance Administrator, Security Administrator nebo Global Administrator na portálu shody Microsoft Purview (compliance.microsoft.com).

  • Znalost datových zásad: Seznámení s citlivými datovými typy vaší organizace a interními zásadami dodržování předpisů.

  • Nasazení agenta DLP: Pro monitorování koncových bodů musí být na zařízeních uživatelů nasazeni agenti Microsoft Purview DLP.

Podrobný průvodce: Konfigurace zásad DLP pro AI v Microsoft Purview

Nastavení ochrany proti odesílání citlivých dat do LLM třetích stran zahrnuje identifikaci rizikových aplikací AI a vytváření cílených zásad DLP.

Krok 1: Identifikace rizikových aplikací AI

Prvním krokem je získat přehled o tom, ke kterým službám umělé inteligence třetích stran se ve vaší síti přistupuje, a posoudit jejich riziko.

  1. Vstupte na portál Microsoft Purview Compliance Portal: Otevřete prohlížeč a přejděte na compliance.microsoft.com. Přihlaste se pomocí účtu, který má potřebná oprávnění správce.

  2. Přejít do centra AI: V levém navigačním panelu přejděte na AI Hub > Discovery. AI Hub je nová sekce představená v roce 2026 pro správu zabezpečení a dodržování předpisů AI.

  3. Zkontrolujte objevené služby AI: Purview zobrazí seznam všech webových stránek a služeb AI třetích stran, které byly zpřístupněny ve vaší síti. Každé službě přidělí "Skóre rizika" na základě faktorů, jako je pověst poskytovatele, známé zásady ochrany osobních údajů, umístění dat a typ dat, které služba zpracovává. To vám pomůže určit, které LLM třetích stran představují pro vaši organizaci největší riziko.

  4. Klasifikace aplikací: Na základě skóre rizika a interních zásad klasifikujte aplikace AI jako „schválené“, „sledované“ nebo „neautorizované“.

Krok 2: Vytvoření zásad blokování DLP pro LLM třetích stran

S identifikovanými rizikovými aplikacemi AI můžete vytvářet zásady DLP pro řízení toku citlivých dat.

  1. Vytvořte novou zásadu DLP: Na portálu pro dodržování předpisů Microsoft Purview přejděte na Data Loss Prevention > Zásady. Klikněte na + Vytvořit zásady.

  2. Vyberte šablonu nebo Přizpůsobte: Můžete začít s již existující šablonou (např. „Finanční údaje“, „Údaje o zdraví“) nebo vytvořit vlastní zásady. Pro LLM třetích stran nabízí vlastní politika větší flexibilitu.

  3. Set Locations: V sekci Locations vyberte "AI Services and Chatbots". Toto je nová možnost představená v roce 2026, která vám umožňuje zacílit zásady konkrétně pro interakce s LLM třetích stran. Můžete také zahrnout další umístění, jako jsou koncové body, pro sledování kopírování/vkládání.

  4. Definujte podmínky: Nakonfigurujte podmínky, které spustí zásady. To často zahrnuje detekci specifických typů citlivých informací (SIT), jako jsou:

  5. Finanční údaje: Čísla kreditních karetřekl, bankovní účty.

  6. Osobní údaje: CPF, identifikační čísla, firemní e-mailové adresy.

  7. Duševní vlastnictví: Zdrojový kód, dokumenty se specifickými štítky citlivosti (např. „Důvěrné“).

  8. Podmínky můžete upřesnit tak, aby zahrnovaly klíčová slova nebo regulární výrazy, které označují vlastnická data.

  9. Nastavte akce: U neautorizovaných nebo vysoce rizikových LLM třetích stran nastavte akci na „Blokovat s tipem na zásady“. Tip na politiku informuje uživatele o tom, že akce byla zablokována a proč, a poučí je o bezpečnostní politice. U monitorovaných LLM si můžete vybrat „Audit“ nebo „Blokovat s přepsáním uživatelem“ (umožňující uživateli zdůvodnit a pokračovat).

  10. Uložit a aktivovat zásady: Zkontrolujte zásady a aktivujte je. Zásady DLP mohou nějakou dobu trvat, než se plně uplatní v celém vašem prostředí.

Krok 3: Monitorování a průběžné vzdělávání

Monitorování je nezbytné pro zajištění účinnosti politik DLP a pro identifikaci oblastí, které potřebují další vzdělávání.

  1. Používejte AI Hub Reports: V Microsoft Purview AI Hub najdete podrobné zprávy o porušení zásad DLP souvisejících s LLM třetích stran. Tyto přehledy zobrazí:

  2. Které LLM třetích stran se používají: Identifikujte nejoblíbenější služby a ty, které představují největší riziko.

  3. Jaká citlivá data jsou sdílena: Pochopte typy informací, které se uživatelé snaží odeslat externím LLM.

  4. Kteří uživatelé/oddělení porušují zásady: Identifikujte oblasti, které potřebují další školení nebo povědomí.

  5. Incident Investigation: Použijte Activity Explorer v Purview k podrobnému prozkoumání incidentů DLP, včetně uživatele, souboru, příslušné služby AI a obsahu, který byl blokován.

  6. Vzdělávání a povědomí: Využijte údaje z přehledů k podpoře školení v oblasti povědomí o bezpečnosti AI. Vysvětlete zaměstnancům rizika sdílení citlivých dat s LLM třetích stran a propagujte používání společností schválených nástrojů umělé inteligence.

  7. Pravidelná kontrola zásad: Krajina umělé inteligence se neustále vyvíjí. Pravidelně kontrolujte své zásady DLP pro LLM třetích stran, abyste zajistili, že zůstanou relevantní a účinné proti novým hrozbám a vznikajícím službám AI.

Další úvahy a osvědčené postupy

  • Klasifikace dat: Robustní klasifikace dat je základem účinných zásad DLP. Použijte štítky citlivosti k automatické nebo ruční klasifikaci citlivých dat.

  • Jasná komunikace: Jasně sdělte zaměstnancům zásady používání AI. Vysvětlete, co je povoleno a co ne, a rizika spojená s používáním neautorizovaných LLM.

  • Fázový přístup: Zvažte implementaci zásad DLP ve fázích, počínaje režimem auditu, abyste pochopili chování uživatelů před použitím pevných bloků.

  • Integrace SIEM/SOAR: Integrujte výstrahy Microsoft Purview DLP se svým systémem SIEM (jako je Microsoft Sentinel) pro centralizovaný pohled na bezpečnostní incidenty a organizujte automatizované reakce.

  • Hodnocení AI Vendor Assessment: Při zvažování použití LLM třetích stran proveďte přísné posouzení bezpečnosti a soukromí dodavatelů, abyste zajistili, že splňují vaše požadavky na shodu.

Závěr

Ochrana citlivých dat ve světě, kde jsou LLM třetích stran široce dostupné, je kritickou výzvou v oblasti zabezpečení informací v roce 2026. Microsoft Purview se svými vylepšenými funkcemi DLP a AI governance nabízí robustní řešení pro zmírnění rizik úniku dat a porušení předpisů. Implementací cílených zásad DLP, identifikací rizikových aplikací AI a vzděláváním uživatelů mohou organizace využít výhod umělé inteligence, aniž by ohrozily bezpečnost svých nejcennějších aktiv. Efektivní konfigurace Microsoft Purview pro ochranu dat v LLM třetích stran není jen technickým opatřením, ale základním pilířem komplexní a proaktivní bezpečnostní strategie AI.

Reference

[1] Microsoft Data Security Index 2026." Prozkoumatbudoucnost zabezpečení dat, včetně nových inovací a strategií, plus doporučení a osvědčené postupy." Dostupné na: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Blog zabezpečení společnosti Microsoft. "Čtyři priority pro zabezpečení identity a přístupu k síti založené na AI v roce 2026." Dostupné na: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Plán Microsoft 365. "Cestovní mapa Microsoft 365 poskytuje odhadovaná data vydání a popisy komerčních funkcí." Dostupné na: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Zabezpečení společnosti Microsoft. "Posílit zabezpečení identity pomocí AI." Dostupné na: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id