ShadowAI – како превазићи најбрже растући безбедносни изазов

Док компаније дефинишу стратегије за дигиталну трансформацију, запослени често самоиницијативно користе ВИ алате у свакодневном раду, често без знања и одобрења ИТ сектора.

Kада запослени изврше уплоад интерних докумената, финансијских извештаја или делова изворног кода у јавне ВИ алате, ти подаци престају да буду под потпуном контролом компаније.

 Проблем настаје оног тренутка када подаци напусте контрлисано окружење компаније, јер тада више не постоји јасан увид где се ти подаци налазе, како се обрађују и ко им може приступити.

„Сви подаци унети у алате као што су ЧетГПТ, Kлауд или Џеминај обрађују се и складиште на инфраструктури провајдера. Често завршавају на серверима у различитим јурисдикцијама, што додатно компликује питање контроле над тим информацијама”, каже стручњак компаније Пулсец, специјализоване за сајбер бзбедност.

Илузија приватности

У пракси, све се чешће детектују управо овакви обрасци понашања, запослени користе ВИ како би убрзали свакодневни рад, било да скраћују интерне извештаје или траже помоћ у решавању техничких изазова.

Треба бити свестан чињенице да интернет памти, унети подаци неће магично нестати, већ се негде складиште и обрађују, и да отварање инкогнито прозора на броwсеру не спашава ствар.

Многи корисници верују да активирањем опција за приватност или „искључивањем тренирања ВИ модела“ постају потпуно заштићени. Ипак, детаљна анализа услова коришћења показује да провајдери задржавају одређена права над подацима, укључујући њихово чување и потенцијалну будућу употребу.

Чак и код комерцијалних ентерпрајз верзија, одређени нивои обраде и задржавања метаподатака остају присутни, због чега ниједна опција није у потпуности без ризика.

Kако се компаније могу заштитити

Kључ је у проактивном управљању ризицима. Дефинишите политику употребе. Јасно прописивање који су ВИ алати дозвољени и у које сврхе, уз стриктну забрану уношења поверљивих информација као што су лозинке или подаци о клијентима.

Kласификација података је корак у ком уводите систем поделе на Public, Iternal и Confidential податке, при чему је за потоњу категорију коришћење ВИ сервиса строго забрањено.

Људска верификација као стандард подразумева да ниједан текст или техничка документација генерисани уз помоћ ВИ не смеју напустити компанију без стручне људске верификације, с обзиром на познати проблем „халуцинација“ и нетачних информација.

Едукација запослених и редовне обуке о опасностима ShadowAI-а и примерима из праксе помажу у изградњи културе дигиталне одговорности су примат.

Принцип најмањих привилегија је приступ напредним ВИ алатима који треба да буде лимитиран потребама радног места.

Потпуна забрана ВИ алата у пракси често не даје резултат. Запослени ће, нарочито ако виде да им технологија олакшава посао, пронаћи начин да је користе. Зато је ефикаснији приступ да компаније уведу јасна правила, едукују запослене и дефинишу одобрене алате.

ShadowAI постаје један од најважнијих изазова савременог пословања. Управо зато што не долази споља, кроз класичан хакерски напад, већ изнутра, кроз свакодневне навике запослених који желе да буду бржи и ефикаснији.

Зато се борба против овог ризика не добија само технологијом. Добија се комбинацијом јасних правила, едукације, техничких контрола и културе одговорног коришћења података.