Este Shadow AI mai rău decât Shadow IT?

Un birou liniștit poate părea inofensiv. Rafturi de monitoare scăldate în lumină, căști care acoperă conversațiile și zumzetul muncii continuă fără niciun semn că ceva sinistru se ascunde dedesubt. Dar din ce în ce mai mult, există tehnologii accidentale, nesancționate — un folder personal în cloud aici și un chatbot AI nesancționat acolo. În curând, organizația va trebui să gestioneze toate aceste noi riscuri neanticipate. Dar shadow IT a fost doar primul val de amenințări ascunse. Shadow AI a ridicat miza.

Ce este Shadow AI și de ce crește

O extensie a shadow IT, shadow AI implică utilizarea de către angajați a tehnologiei neaprobate. Shadow IT se referă de obicei la tehnologia de consum, cum ar fi aplicațiile de partajare a fișierelor sau dispozitivele personale. Shadow AI implică de obicei sisteme rapide, flămânde de date, al căror comportament poate fi imprevizibil.

\ Conform cercetărilor efectuate de Gartner, 80% dintre organizații se confruntă cu lacune în guvernanța datelor. Aceste lacune facilitează omiterea comportamentului generat de AI. Multe echipe nu trec evaluările de pregătire pentru securitatea cibernetică. Riscul asociat cu AI este crescut de angajații care adoptă noi instrumente mai repede decât echipele lor le pot revizui adecvat. Deoarece 30% din breșele de date provin de la furnizori sau furnizori, cunoașterea instrumentelor pe care le folosește o echipă este o componentă critică a securizării activelor digitale ale unei companii.

\ Shadow AI a câștigat tracțiune deoarece angajații văd conținutul generat de AI ca pe o modalitate mai rapidă de a crea conținut, de a rezuma informații complexe și de a rezolva probleme tehnice. Reduce fricțiunea în munca zilnică, dar introduce riscuri nevăzute anterior cu preocupările shadow IT, inclusiv expunerea datelor, riscul de conformitate și riscurile la nivel de model.

Shadow AI versus Shadow IT

Shadow IT a fost mult timp blamat pentru vulnerabilitățile necunoscute. Un procent ridicat din breșele anterioare s-au datorat instrumentelor SaaS nesemnate sau stocării personale. Instrumentele AI schimbă complet ecuația. Scara și viteza cu care lucrează, împreună cu opacitatea lor, creează riscuri care sunt mai dificil de detectat și de conținut.

\ Cu 78% din organizații utilizând AI în producție, unele breșe se datorează acum expunerii tehnologice negestionate. Modelul IT mai mare contează în continuare, dar AI introduce o nouă dimensiune pentru a lărgi suprafața de atac.

Diferențe cheie între Shadow AI și Shadow IT

Shadow AI este similar cu shadow IT în sensul că ambele provin din dorința unui angajat de a fi mai productiv, dar diferă în ceea ce privește locul în care rezidă riscul.

• Instrumentele Shadow IT au o logică fixă, ceea ce face comportamentul previzibil. Prognozarea comportamentului instrumentelor shadow AI este mai complexă deoarece modelele pot fi modificate și reantrenate continuu.
• Riscurile Shadow IT includ stocarea sau mutarea datelor fără autorizație. Riscurile Shadow AI includ inversarea modelului, otrăvirea datelor și antrenarea modelului.
• Shadow IT este determinist, în timp ce instrumentele AI pot avea halucinații, generaliza slab și produce cu încredere exagerată rezultate incorecte.

\ Shadow AI apare și în contextul viitoarelor reglementări, cum ar fi Legea Inteligenței Artificiale a UE, care ar putea crește controlul de reglementare.

Riscuri de securitate care fac Shadow AI mai urgent

Shadow AI poate duce la probleme în inginerie, marketing și finanțe. Pe măsură ce deciziile sunt luate pe baza rezultatelor AI, datele proprietare pot fi scurse, iar procesele interne de afaceri pot fi manipulate fără ca nimeni să observe.

\

• Manipularea modelului: Atacatorii pot crea date care denaturează rezultatele.
• Expunerea la injecția de prompt: Un prompt creat poate fi utilizat pentru a extrage informații private dintr-un model.
• Lacune în linia de date: Instrumentele AI pot genera și stoca date în moduri pe care echipele de securitate nu le pot urmări.
• Derivă de conformitate: Instrumentele AI se schimbă, iar planurile de guvernanță în evoluție pot deveni irelevante.

\ Îngrijorarea crește odată cu apariția AI generativ. Un chatbot care răspunde la întrebarea unui furnizor sau un rezumat AI generativ poate părea inofensiv, dar riscă să dezvăluie date sensibile de utilizare sau proprietate intelectuală valoroasă. Universitatea Carnegie Mellon a constatat că modelele de limbaj mari sunt mult mai vulnerabile la prompturi adversariale decât sistemele bazate pe reguli. Problema crește atunci când angajații pot utiliza instrumentele fără supraveghere.

\ Un arbore de decizie activat de AI poate fi mai părtinitor decât un arbore de decizie convențional. Shadow AI primește adesea informații incomplete de antrenament introduse în instrumente terțe. Supravegherea structurată a sistemelor AI ar asigura integritatea actualizărilor. Când echipele trec cu vederea acest lucru, datele și comportamentul modelului derivă.

Cum pot echipele de securitate reduce expunerea Shadow AI

Deși shadow AI prezintă numeroase riscuri, organizațiile pot atenua multe dintre ele combinând vizibilitatea cu politici și controale tehnice, găsind un echilibru care protejează productivitatea angajaților fără a-i împovăra cu check-in-uri consumatoare de timp sau site-uri blocate. Echipele de securitate beneficiază de tratarea shadow AI ca o problemă de guvernanță mai degrabă decât o problemă de pedeapsă. Strategiile de atenuare vor trebui inevitabil să evolueze pe măsură ce angajații utilizează instrumente AI pentru a-și îmbunătăți productivitatea.

1. Construiți un cadru clar de guvernanță AI

Un plan de guvernanță ar trebui să specifice ce instrumente AI să aprobe, ce tipuri de date pot utiliza angajații, cum să revizuiască rezultatele modelului înainte de a lua decizii cu miză mare și ce să facă atunci când apare un comportament imprevizibil al modelului. Ultimul element include cine revizuiește comportamentul, cine investighează cauzele și care sunt consecințele.

\ Cu supravegherea în vigoare, organizațiile pot trata AI ca orice alt activ al întreprinderii, supus acelorași responsabilități de trasabilitate, auditabilitate, securitate și conformitate ca și alte sisteme moștenite ale întreprinderii.

2. Furnizați instrumente AI aprobate

Echipele cu acces la instrumente AI verificate și centralizate sunt mai puțin susceptibile să se îndrepte către AI-uri publice neaprobate pentru a ocoli blocajele. Pe măsură ce locurile de muncă devin mai automatizate, personalul va depune mai mult efort în diverse modele. Lucrătorii petrec deja aproximativ 4,6 ore săptămânal folosind AI la locul de muncă, depășind timpul mediu de utilizare personală de 3,6 ore pe săptămână. AI de la terți, fără monitorizare adecvată, ar putea fi deja mai comun decât instrumentele întreprinderii care sunt verificate și aprobate. Companiile ar trebui să ia măsuri imediate pentru a-și aplica politicile.

\ Cu un mediu gestionat, organizațiile pot monitoriza utilizarea prin instrumente, pot seta permisiuni în baze de date și pot aplica guvernanța datelor în toate departamentele. Acest lucru îmbunătățește productivitatea angajaților, protejând în același timp integritatea datelor și conformitatea afacerii.

3. Monitorizați mișcarea datelor și utilizarea modelului

Instrumentele de vizibilitate care semnalează comportamentul anormal — cum ar fi creșteri bruște ale utilizării AI, încărcarea datelor către puncte finale neobișnuite sau accesarea modelului într-un interval scurt de timp cu date sensibile — pot ajuta echipele de securitate să identifice utilizarea greșită și scurgerile de date. Rapoartele indică că în ultimul an, până la 60% dintre angajați au utilizat instrumente AI neaprobate, iar 93% au recunoscut că au introdus date ale companiei fără autorizație.

\ Detectarea acestor modele timpuriu poate permite remedierea, reeducarea, reconfigurarea permisiunilor sau terminarea procesului înainte de a duce la scurgeri de date sau încălcări de conformitate.

4. Instruiți angajații cu privire la riscurile specifice AI

Instruirea în securitate cibernetică în general nu este suficientă. AI poate avea halucinații interpretând greșit intenția din spatele prompturilor și poate genera conținut aparent autoritar, fals sau părtinitor. În plus, lucrătorii trebuie să înțeleagă că utilizarea AI diferă de utilizarea software-ului sau a serviciilor. Utilizarea sigură necesită schimbarea modelelor mentale, înțelegerea riscurilor de prompt și gestionarea datelor personale.

\ Utilizatorii cu alfabetizare de bază în domeniul mașinilor vor verifica rezultatele și vor fi mai puțin susceptibili să partajeze excesiv date personale. Ei vor trata instrumentele ca pe copiloți valoroși, dar acestea trebuie utilizate sub supraveghere umană.

Protejarea organizațiilor împotriva Shadow AI

Shadow AI crește mai repede și este mai greu de identificat decât shadow IT. Deși scara și complexitatea riscurilor diferă, implicarea ajutorului angajaților poate identifica ambele mai eficient. Politicile de guvernanță pot ajuta companiile să găsească echilibrul potrivit. Echipele de securitate ar trebui să-și reevalueze expunerea, să rămână vigilente pentru amenințările emergente și să acționeze prompt înainte ca instrumentele nevăzute bazate pe AI să ia decizii pivotale în aplicațiile de afaceri.