員工用 AI 很方便,但客戶資料被貼上去怎麼辦
從 AI 使用規範、資料分級、防火牆控管、DLP、EDR 到雲端應用管理,協助企業降低員工誤貼資料造成的外洩風險。
文章重點摘要
為什麼企業會有 AI 資料外洩風險
很多員工使用 AI 的出發點其實很單純,可能只是想把資料整理得更清楚,或是請 AI 協助修改文字。但從資安角度來看,只要內容包含客戶資訊、報價金額、合約條款、系統設定、內部 IP、帳密、個資或原始碼,就已經有外洩風險。
尤其是會議紀錄、報價單、設備清單、網路架構圖、合約內容,表面上看起來只是日常工作資料,但裡面其實可能已經包含很多敏感資訊。
常見風險情境
可能包含客戶需求、預算、內部弱點與競爭資訊。
可能外洩合作對象、合約條款、金額與商業條件。
可能外洩產品成本、折扣、客戶名稱與採購策略。
可能曝光內部 IP、設備型號、防火牆與 VPN 架構。
可能外洩原始碼、API Key、Token 或內部邏輯。
捷誠建議
AI 不是不能用,真正需要管理的是資料有沒有被分類、工具有沒有被控管、員工行為有沒有被教育與稽核。企業要做的不是單純禁止,而是讓 AI 使用行為進入公司可管理的範圍。
第一步:建立 AI 使用規範
企業要先把規則講清楚,不要只寫一句不得洩漏公司機密,而是要直接告訴員工哪些 AI 工具可以用,哪些 AI 工具不能用,哪些資料不能貼。
核准使用
公司版 Copilot、Gemini、ChatGPT Team、ChatGPT Enterprise 或內部 AI 平台。可使用,但需登入公司帳號。
限制使用
免費版 ChatGPT、Claude、Gemini 個人版、Perplexity 等工具。可查詢一般資料,但禁止貼機密資料。
禁止使用
來路不明 AI 網站、瀏覽器外掛、檔案上傳型 AI 工具。建議透過防火牆、DNS 或端點控管限制。
第二步:做好資料分級
很多企業沒有資料分級,所以員工很難判斷什麼可以貼,什麼不能貼。捷誠建議企業至少把資料分成四個等級。
資料分級建議
官網內容、公開型錄、已發布新聞稿。可以使用。
不含敏感資訊的 SOP、一般流程說明。可摘要後使用。
客戶名單、報價、合約、架構圖、內部設定。不可直接貼。
個資、帳密、API Key、憑證、原始碼、財務資料。嚴禁貼上。
建議列為禁止貼給 AI 的資料
客戶名稱與聯絡資料、客戶合約、報價單、內部成本、折扣資訊、防火牆設定、VPN 帳號密碼、系統架構圖、伺服器 IP、員工個資、薪資資料、程式原始碼、API Key、Token、財務報表與營運資料。
第三步:用防火牆與 DNS 管控 AI 網站
如果企業內部已經有防火牆,這會是最容易開始的第一步。透過 Fortinet FortiGate 防火牆,可以針對 AI 網站、雲端服務、未知網站做分類控管,並記錄員工存取行為。
封鎖高風險 AI 網站
避免員工使用來路不明的 AI 工具。
建立 AI 工具白名單
只允許公司核准的 AI 平台。
記錄 AI 網站存取紀錄
可追蹤誰在什麼時間使用哪些工具。
阻擋不明檔案上傳網站
降低文件外流機率。
第四步:導入 DLP 資料外洩防護
DLP 是資料外洩防護,也是 AI 使用管理裡非常重要的一塊。企業真正擔心的不是員工有沒有打開 AI 網站,而是員工有沒有把不該貼的資料貼出去。
DLP 可偵測的內容
身分證字號、電話、Email、地址。
銀行帳號、信用卡號、財報數字。
合約、報價、客戶名單。
IP、VPN 設定、系統帳密、API Key。
適合 Microsoft 365 環境的企業
如果企業已經使用 Exchange Online、Teams、SharePoint、OneDrive,可以考慮 Microsoft Purview DLP、Microsoft Defender for Endpoint、Microsoft Intune、Microsoft Defender for Cloud Apps,從文件、Email、端點、雲端應用一起納入控管。
第五步:端點也要管
現在員工使用 AI 不一定都從公司網路出去。可能是在筆電上、手機上、外出連線時、家裡網路,甚至透過瀏覽器外掛或桌面工具使用。所以端點防護也很重要。
端點防護建議
適合需要端點防護、EDR 偵測、異常行為分析的企業。
適合已經使用 Microsoft 365 生態系的企業。
適合需要雲端化端點防護與集中管理的企業。
適合已使用 FortiGate,想整合 VPN、ZTNA、端點控管的企業。
捷誠建議的解決方案
從基礎控管到企業級治理,依照企業現況分階段導入
捷誠會依照企業規模、現有環境與預算,規劃不同層級的 AI 使用安全管理方案,不需要一開始就導入一大包,分階段落地才是最實際的做法。
AI 使用基礎控管方案
適合小型企業,或剛開始想管理 AI 使用風險的公司。
先從 AI 使用規範、資料分級、防火牆網站控管與 DNS 安全過濾做起,降低員工亂用不明 AI 工具的風險。
建議產品與品牌:Fortinet FortiGate、FortiGuard Web Filtering、Cloudflare Gateway、Kaspersky、ESET、WithSecure。
AI 使用與資料外洩防護方案
適合已使用 Microsoft 365、Google Workspace、雲端硬碟與協作工具的企業。
導入 DLP、Endpoint DLP、雲端應用控管與端點防護,針對個資、報價、合約、帳密、機密文件進行偵測與阻擋。
建議產品與品牌:Microsoft Purview DLP、Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps、Microsoft Intune、Google Workspace DLP、Kaspersky Next EDR、FortiClient EMS。
企業級 AI 治理與零信任防護方案
適合中大型企業、跨據點、遠端工作或高敏感產業。
整合 SASE、SSE、ZTNA、CASB、進階 DLP、SIEM、Log、EDR、XDR 與備份架構,打造完整 AI 使用治理與資料保護機制。
建議產品與品牌:Fortinet FortiGate、FortiSASE、FortiClient EMS、FortiAnalyzer、Microsoft Purview、Microsoft Defender XDR、Microsoft Intune、Kaspersky Next EDR、Synology 不可變備份。
捷誠建議的導入順序
先說清楚哪些工具可以用,哪些不能用,哪些資料不能貼。
透過防火牆、DNS、Web Filtering,先阻擋高風險 AI 網站與不明工具。
偵測員工是否把敏感資料傳出去,而不是只看連線網站。
把筆電、外出使用、雲端硬碟、SaaS 與 AI 工具納入管理。
員工教育要講白一點
技術可以擋掉很多風險,但員工教育還是不能少。捷誠建議企業用白話方式宣導,不要只講資安名詞。
可以這樣用 AI
寫 Email 時,不放客戶真實名稱與合約內容。
整理會議紀錄前,先移除客戶名稱、金額與內部資訊。
做簡報大綱時,只提供產業與需求,不提供機密資料。
詢問一般技術概念,不貼真實設定檔。
不建議這樣用 AI
直接貼客戶合約、報價單或採購預算。
上傳內部網路架構圖、防火牆設定或 VPN 資訊。
貼員工薪資、個資、人資考核資料。
使用來路不明的 AI 網站或瀏覽器外掛。
常見問題
企業一定要完全禁止員工使用 AI 嗎
不一定。完全禁止通常很難落實,員工仍可能透過手機、個人帳號或外部網路使用。比較實際的做法,是建立核准工具、使用規範、資料分級與技術控管。
防火牆可以完全防止資料被貼到 AI 嗎
防火牆可以協助控管員工連到哪些 AI 網站,也可以封鎖高風險網站,但如果要判斷內容是否包含個資、帳密、合約或報價,仍建議搭配 DLP 與端點控管。
Microsoft 365 用戶要怎麼開始做 AI 資料保護
可以先從 Microsoft Purview DLP、Defender for Endpoint、Defender for Cloud Apps、Intune 開始評估,針對 Email、SharePoint、OneDrive、Teams、端點與雲端應用進行整體控管。
想知道公司現在使用 AI 有沒有資料外洩風險
捷誠資訊可協助企業進行 AI 工具使用現況盤點、AI 使用規範建立、防火牆與 DNS 控管、DLP、EDR、與 Microsoft 365 安全設定,以及員工教育訓練。