Rosnące ryzyko związane z nieautoryzowanym wykorzystywaniem narzędzi AI w pracy
W miarę jak narzędzia sztucznej inteligencji (AI) stają się coraz bardziej dostępne, pracownicy zaczynają je przyjmować bez formalnej zgody ze strony zespołów IT i bezpieczeństwa. Choć mogą one zwiększać wydajność, automatyzować zadania czy wypełniać luki w istniejących procesach pracy, jednocześnie funkcjonują poza zasięgiem wzroku zespołów bezpieczeństwa, przełamując kontrolę i tworząc nowe „ciemne pola” w obszarze znanym jako shadow AI.
Podobnie jak w przypadku zjawiska shadow IT, shadow AI wykracza poza użycie nieautoryzowanego oprogramowania, obejmując systemy, które przetwarzają, generują oraz potencjalnie przechowują dane wrażliwe. Efektem tego jest powstanie nowej kategorii ryzyka, z którym wiele organizacji nie jest jeszcze w stanie sobie poradzić: niekontrolowane ujawnienie danych, rozszerzone powierzchnie ataku oraz osłabione zabezpieczenia tożsamości.
Czy shadow AI zyskuje na znaczeniu?
Shadow AI szybko się rozwija w organizacjach, ponieważ jest łatwy do zaadoptowania i od razu przydatny, a przy tym w dużej mierze nieuregulowany. W przeciwieństwie do tradycyjnego oprogramowania korporacyjnego, większość narzędzi AI wymaga niewiele lub wręcz żadnego setupu, co pozwala pracownikom na ich natychmiastowe użycie. Zgodnie z badaniem Salesforce z 2024 roku, 55% pracowników zadeklarowało korzystanie z narzędzi AI, które nie zostały zatwierdzone przez ich organizację.
Wiele organizacji nie ma jasno określonych zasad dotyczących korzystania z AI, co sprawia, że pracownicy muszą samodzielnie podejmować decyzje o wyborze narzędzi, niekoniecznie rozumiejąc związane z tym implikacje bezpieczeństwa.
Niebezpieczeństwa związane z użyciem AI w codziennych zadaniach
Pracownicy mogą używać narzędzi generatywnych AI, takich jak ChatGPT czy Claude, w codziennych zadaniach. Choć może to zwiększyć wydajność, może również skutkować nieautoryzowanym udostępnieniem danych wrażliwych na zewnątrz. To, czy dostawca AI wykorzysta te dane do treningu modeli, zależy od platformy i rodzaju konta, ale w każdym przypadku dane te opuściły granice bezpieczeństwa organizacji.
Na poziomie działów shadow AI może pojawiać się, gdy zespoły integrują API AI lub modele zewnętrznych dostawców do aplikacji bez formalnej kontroli bezpieczeństwa. Takie integracje mogą narazić dane wewnętrzne na ryzyko and otworzyć nowe drogi ataku, które są poza widocznością zespołów bezpieczeństwa.
„Zamiast próbować całkowicie wyeliminować shadow AI, organizacje muszą aktywnie zarządzać ryzykiem, które ono generuje.”
Dlaczego zarządzanie tożsamością i dostępem staje się kluczowe?
Shadow AI często postrzegane jest jako problem zarządzania, ale w istocie jest problemem bezpieczeństwa. W przeciwieństwie do tradycyjnego shadow IT, gdzie pracownicy używają nieautoryzowanego oprogramowania, shadow AI angażuje systemy, które aktywnie przetwarzają i przechowują dane poza zasięgiem zespołów bezpieczeństwa, przekształcając niesankcjonowane korzystanie z AI w szersze ryzyko ujawnienia danych oraz niewłaściwego dostępu.
Pracownicy mogą dzielić się danymi klientów, informacjami finansowymi lub wewnętrznymi dokumentami biznesowymi z narzędziami AI, aby wykonać zadania w sposób bardziej efektywny. Deweloperzy, którzy napotykają problemy z kodem, mogą nieświadomie wklejać skrypty zawierające twardo zakodowane klucze API, dane logowania do baz danych czy tokeny dostępu, co prowadzi do ujawnienia wrażliwych danych. W momencie, gdy dane trafią na platformę AI, organizacje tracą kontrolę nad ich przechowywaniem i wykorzystaniem, co może prowadzić do niekontrolowanego transferu danych.
Jak radzić sobie z shadow AI?
Aby zredukować ryzyko związane z shadow AI, organizacje powinny rozważyć kilka kluczowych kroków:
- Ustanowić jasne zasady korzystania z AI: Określić, jakie narzędzia AI są dozwolone oraz jakie dane mogą być udostępniane.
- Zapewnić zatwierdzone alternatywy AI: Oferowanie zatwierdzonych, bezpiecznych rozwiązań AI, które spełniają wymagania organizacyjne, zmniejsza potrzebę korzystania z shadow AI.
- Poprawić widoczność wzorców użycia AI: Organizacje powinny monitorować ruch sieciowy, dostęp uprzywilejowany oraz aktywność API, aby lepiej zrozumieć, jak pracownicy korzystają z AI.
- Edukować pracowników o ryzyku związanym z bezpieczeństwem AI: Szkolenie w zakresie bezpiecznego korzystania z AI i obsługi danych może dramatycznie zmniejszyć niezamierzone ujawnienia.
Korzyści z zarządzania shadow AI
Organizacje, które proaktywnie zarządzają shadow AI, zyskują większą kontrolę nad sposobem, w jaki AI jest wykorzystywane w ich środowiskach. Efektywne zarządzanie shadow AI przynosi szereg korzyści, takich jak:
- Pełna widoczność narzędzi AI w użytkowaniu oraz danych, do których mają dostęp.
- Zredukowane ryzyko regulacyjne w ramach takich ram jak GDPR, HIPAA, czy unijna ustawa o AI.
- Szybsza i bezpieczniejsza adopcja AI z zatwierdzonymi narzędziami i dokładnymi wytycznymi.
- Wyższy wskaźnik korzystania z zatwierdzonych narzędzi AI, co zmniejsza zależność od niebezpiecznych alternatyw.
W miarę jak adopcja AI staje się coraz bardziej normą w miejscu pracy, pracownicy nadal będą poszukiwać narzędzi, które pomagają im pracować wydajniej. Biorąc pod uwagę łatwość dostępu do narzędzi AI oraz rzadkie dostosowanie zasad użytkowania do tempa adopcji, pewien stopień shadow AI w każdej dużej organizacji jest nieunikniony. Zamiast próbować całkowicie blokować narzędzia AI, organizacje powinny skupić się na umożliwieniu ich bezpiecznego użycia przez zwiększenie widoczności działalności AI oraz zapewnienie odpowiedniego zarządzania tożsamością zarówno ludzi, jak i maszyn.
Firma Keeper® wspiera takie podejście, pomagając organizacjom kontrolować uprzywilejowany dostęp do systemów, z którymi interagują narzędzia AI, egzekwując zasady minimalnego dostępu dla wszystkich tożsamości, w tym użytkowników i agentów AI, oraz utrzymując pełny rejestr aktywności w krytycznej infrastrukturze.
Jak AI staje się coraz powszechniejsze w codziennych zadaniach, zarządzanie tożsamościami i ścieżkami dostępu staje się tak samo ważne, jak zarządzanie samymi narzędziami.
