De la scurgeri neintenționate de date până la cod cu erori – iată de ce ar trebui să vă preocupe utilizarea neautorizată a inteligenței artificiale în compania dvs.

Shadow IT  (AI utilizat pe ascuns) a fost mult timp un punct nevralgic pentru echipele de securitate corporate. Până la urmă, nu poți gestiona sau proteja ceea ce nu vezi. Însă lucrurile s-ar putea înrăutăți considerabil. Amploarea, sfera de acțiune și puterea inteligenței artificiale fac din shadow AI un motiv serios de îngrijorare pentru orice manager IT sau de securitate.

Riscul cibernetic crește în zonele neclare dintre politicile de utilizare acceptabilă. Dacă nu ați făcut-o deja, ar putea fi un moment bun să aduceți în discuție poate cel mai problematic punct orb cu care vă confruntați în materie de securitate.

Ce este shadow AI și de ce este important tocmai acum?

Instrumentele bazate pe AI fac parte din infrastructura IT corporate de ceva vreme. Încă din anii 2000, au ajutat echipele de securitate să detecteze activități neobișnuite și să filtreze amenințări precum spam-ul. Dar de data aceasta este diferit. După succesul răsunător al instrumentului ChatGPT dezvoltat de OpenAI în 2023, când chatbotul a atras 100 de milioane de utilizatori în primele două luni, angajații au fost impresionați de potențialul GenAI de a le simplifica munca. Din păcate, companiile au fost mai lente în a adopta aceste soluții.

Situația a creat un vid pe care utilizatorii nerăbdători s-au grăbit să îl umple. Deși este imposibil de măsurat cu exactitate un fenomen care, prin natura sa, se desfășoară „în umbră”, Microsoft estimează că 78% dintre utilizatorii de AI își aduc dispozitivele personale la locul de muncă. Nu este o coincidență faptul că 60% dintre managerii IT sunt îngrijorați de lipsa unui plan clar, la nivel executiv, pentru implementarea oficială a acestei tehnologii.

Chatboți populari precum ChatGPT, Gemini sau Claude pot fi folosiți cu ușurință și/sau descărcați pe un dispozitiv personal (BYOD) sau pe un laptop folosit pentru lucrul de acasă. Pentru unii angajați, este tentantă perspectiva de a reduce volumul de muncă, de a respecta mai ușor termenele și de a le permite să se concentreze pe activități cu valoare adăugată mai mare.

Dincolo de modelele publice de inteligență artificială

Aplicațiile de sine stătătoare, precum ChatGPT, constituie o mare parte a provocării numite shadow AI. Însă ele nu reflectă întreaga amploare a problemei. Tehnologia se poate infiltra în cadrul unei companii și prin extensii de browser sau chiar prin funcții integrate în aplicații de business legitime, pe care utilizatorii le activează fără știrea echipei IT.

Apoi, există AI-ul de tip agentic: noul val de inovație AI centrat pe agenți autonomi, concepuți să lucreze independent pentru a finaliza sarcini specifice, trasate de oameni. Fără măsurile de control și protecție adecvate, aceștia ar putea accesa baze de date sensibile și executa acțiuni neautorizate sau malițioase. Iar până când cineva își dă seama, s-ar putea să fie prea târziu.

Care sunt riscurile asociate cu shadow AI?

Toate acestea generează riscuri majore de securitate și conformitate pentru organizații. În primul rând, trebuie luată în considerare utilizarea neautorizată a modelelor publice de AI. Cu fiecare comandă trimisă, există riscul ca angajații să partajeze date sensibile și/sau supuse reglementărilor. Poate fi vorba despre notițe din ședințe, proprietate intelectuală, cod sursă sau informații de identificare personală (PII) ale clienților ori angajaților. Tot ceea ce este introdus în sistem va fi folosit pentru antrenarea modelului și, prin urmare, ar putea fi reprodus ulterior pentru alți utilizatori. De asemenea, datele sunt stocate pe servere ale unor terți, posibil în jurisdicții care nu respectă aceleași standarde de securitate și confidențialitate ca ale organizației dvs.

O situație de acest fel nu va fi bine primită de autoritățile de protecție a datelor (de exemplu, GDPR, CCPA etc.). În plus, expune organizația, deoarece angajați ai dezvoltatorului de chatbot ar putea avea acces la informațiile dvs. sensibile. Datele ar putea fi, de asemenea, divulgate sau compromise, așa cum s-a întâmplat în cazul furnizorului chinez DeepSeek.

Chatboții pot conține vulnerabilități software și/sau backdoor-uri care expun organizația, fără să știe, la amenințări țintite. Iar orice angajat dispus să descarce un chatbot în scop de serviciu poate instala accidental o versiune malițioasă, concepută să sustragă secrete de pe dispozitivul său. Există numeroase instrumente false de inteligență artificială generativă (GenAI) create explicit în acest scop.

Riscurile se extind dincolo de expunerea datelor. Utilizarea neautorizată a instrumentelor pentru a genera cod, de exemplu, ar putea introduce bug-uri ce pot fi exploatate în soluțiile destinate clienților, dacă rezultatul nu este atent verificat. Chiar și utilizarea instrumentelor de analiză bazate pe AI poate fi riscantă dacă modelele au fost antrenate pe date părtinitoare sau de calitate scăzută, ceea ce duce la luarea unor decizii eronate.

Agenții AI pot, de asemenea, să genereze conținut fals sau cod cu erori ori să deruleze acțiuni neautorizate fără ca utilizatorii umani să fie conștienți. Conturile pe care acești agenți le folosesc pentru a funcționa ar putea deveni, de asemenea, ținte pentru deturnare (hijacking), dacă identitățile lor digitale nu sunt gestionate în siguranță.

Unele dintre aceste riscuri sunt încă teoretice, altele nu. Totuși, IBM afirmă că, anul trecut, 20% dintre organizații au suferit deja o breșă cauzată de incidente de securitate implicând shadow AI. Pentru organizațiile cu un nivel ridicat de shadow AI, costurile suplimentare ar putea ajunge la aproximativ 670.000 USD peste media obișnuită a costurilor unei breșe. Breșele legate de shadow AI pot provoca daune financiare și de imagine considerabile, inclusiv amenzi pentru neconformitate. Însă deciziile de business luate pe baza unor rezultate eronate sau corupte pot fi la fel de dăunătoare, dacă nu chiar mai mult, mai ales că, cel mai probabil, acestea trec neobservate.

Clarificări necesare cu privire la shadow AI

Orice măsură ați lua pentru a gestiona astfel de riscuri, simpla adăugare pe o „listă de interdicții” a fiecărui nou instrument shadow AI descoperit nu este suficientă. Devine esențial să recunoașteți că aceste tehnologii sunt utilizate, să înțelegeți cât de mult și în ce scopuri, și apoi să creați o politică realistă de utilizare acceptabilă. Aceasta ar trebui să fie însoțită de teste interne și verificări riguroase ale furnizorilor de AI, pentru a identifica unde există riscuri de securitate și conformitate asociate anumitor instrumente.

Nicio organizație nu este identică cu alta. Așadar, construiți politicile în funcție de gradul dvs. de risc. Acolo unde anumite instrumente sunt interzise, oferiți alternative tentante pentru utilizatori. Gândiți, de asemenea, un proces simplu prin care angajații să poată solicita acces la noi instrumente pe care încă nu le-ați identificat.

Completați acest demers cu instruirea utilizatorilor finali. Informați angajații despre riscurile la care se expun prin utilizarea shadow AI. Breșele grave de date pot duce uneori la inerție corporativă, blocarea transformării digitale și chiar pierderi de locuri de muncă. Luați în considerare, de asemenea, adoptarea unor instrumente de monitorizare a rețelei și de securitate pentru a diminua riscurile de scurgere a datelor și pentru a îmbunătăți vizibilitatea asupra utilizării AI în organizație.

Securitatea cibernetică a constituit dintotdeauna un echilibru între reducerea riscurilor și creșterea productivității. Provocarea shadow AI nu face excepție. O parte importantă a rolului dvs. este să mențineți organizația sigură și conformă cu reglementările, dar și să sprijiniți dezvoltarea afacerii. În anii următori, pentru multe organizații, această creștere va fi alimentată de inteligența artificială.