Sztuczna inteligencja w błyskawicznym tempie przenika do codziennych narzędzi pracy, obiecując większą produktywność, ale jednocześnie generując bezprecedensowe ryzyko związane z bezpieczeństwem danych. Jeszcze zanim stała się wszechobecna, zagrożenia, jakie stwarzała, stanowiły wyzwanie dla organizacji w kontekście cyberbezpieczeństwa. W cieniu technologicznej rewolucji pojawiło się nowe, rosnące zagrożenie: shadow AI.
Czym jest shadow AI?
Shadow AI to termin odnoszący się do sytuacji, w której pracownicy korzystają ze sztucznej inteligencji (AI) i narzędzi na niej opartych bez oficjalnej zgody działu IT lub zarządu. Jest to zjawisko podobne do shadow IT, czyli używania podczas pracy niezatwierdzonego oprogramowania i technologii.
Zjawisko shadow AI stanowi istotną lukę w zabezpieczeniach, która pogłębia się nie tylko dlatego, że atakujący wykorzystują zasoby sztucznej inteligencji do przeprowadzania cyberataków, ale też ponieważ pracownicy korzystają z narzędzi AI w celu usprawnienia swoich zadań, aby zaoszczędzić czas i zwiększyć wydajność. Sztuczna inteligencja umożliwia zautomatyzowanie przepływu pracy i generowanie treści, lecz to także instrument, który przekształca podstawowe aspekty działania organizacji, od zarządzania danymi po zabezpieczenia w środowiskach IT.
Łatwy dostęp do zaawansowanych narzędzi AI sprawia, że pracownicy, dążąc do zwiększenia efektywności, sięgają po nie bez formalnej autoryzacji. Presja na osiąganie lepszych wyników, a także ograniczenia w oficjalnych procesach wdrażania technologii mogą skłaniać do takich działań. Jak zauważa CEO Cyderes, Chris Schueler: „Pracownicy w wielu branżach korzystają z publicznie dostępnych narzędzi AI, takich jak chatboty, aby wspomagać różne zadania w pracy – często bez wiedzy lub zgody działów IT czy zarządu”.
Do narzędzi shadow AI należą:
generatywne modele językowe, takie jak ChatGPT czy Bard,
narzędzia do analizy danych wykorzystujące sztuczną inteligencję,
algorytmy do automatyzacji procesów decyzyjnych,
systemy AI w chmurze, które służą do przetwarzania i klasyfikacji informacji.
Co sprawia, że pracownicy sięgają po narzędzia AI bez oficjalnej autoryzacji? Powodów jest wiele. Presja na wydajność, ograniczenia w dostępnych narzędziach firmowych, a także powszechna dostępność zaawansowanych systemów AI skłaniają do samodzielnego poszukiwania rozwiązań. Sztuczna inteligencja jest wykorzystywana do automatyzacji codziennych zadań, analizy danych, generowania treści, a nawet podejmowania decyzji – często bez pełnej świadomości potencjalnych zagrożeń. Firmy, które nie monitorują wykorzystania AI w swoich strukturach, mogą wkrótce stanąć przed problemem trudnym do opanowania. Shadow AI to nie tylko kwestia technologii, lecz także problem strategiczny i organizacyjny, wymagający przemyślanej polityki zarządzania sztuczną inteligencją w miejscu pracy.
Konsekwencje związane z shadow AI
Mimo wielu zagrożeń shadow AI staje się coraz bardziej powszechna. Organizacje wdrażają transformacje cyfrowe, a co za tym idzie, integrację technologii sztucznej inteligencji, aby na nowo zdefiniować przepływy pracy i podejmowanie decyzji.
Zwiększone ryzyko utraty kontroli nad danymi
Jednym z najpoważniejszych zagrożeń z tym związanych jest utrata kontroli nad danymi firmowymi. Narzędzia sztucznej inteligencji, a szczególnie te niezatwierdzone przez działy IT mogą stanowić „czarną skrzynkę” w kontekście zarządzania informacjami. Pracownicy korzystający z narzędzi, takich jak generatywne modele językowe, chatboty czy systemy do analizy danych, mogą nie zdawać sobie sprawy z tego, jak ich dane są przechowywane, przetwarzane i udostępniane. Często takie narzędzia działają na zewnętrznych serwerach lub w chmurze, co stwarza ryzyko nieautoryzowanego dostępu do informacji wrażliwych.
Brak kontroli może spowodować ujawnienie informacji o kluczowych klientach, strategiach biznesowych czy wynagrodzeniach. Tego typu sytuacje prowadzą do poważnych naruszeń prywatności oraz zagrożeń związanych z wyciekiem danych. Ponadto wykorzystywanie niezabezpieczonych narzędzi AI, które nie są poddawane audytowi działu IT, zwiększa prawdopodobieństwo, że dane mogą zostać użyte w sposób niezgodny z polityką ochrony danych organizacji. Takie działania niosą ze sobą ryzyko związane z poważnymi konsekwencjami prawnymi oraz utratą reputacji.
Naruszenie regulacji prawnych
Nieautoryzowane wykorzystywanie Al stanowi istotne zagrożenie w kontekście zgodności z regulacjami prawnymi. Przepisy takie jak RODO (GDPR) w Unii Europejskiej czy CCPA w Stanach Zjednoczonych wymagają, aby organizacje miały kontrolę nad danymi osobowymi i zapewniały ich odpowiednią ochronę. Jeśli pracownicy używają niezatwierdzonych systemów Al, dane mogą być przechowywane w miejscach, które nie spełniają wymogów prawnych, co zwiększa ryzyko naruszeń przepisów.
Niedopełnienie obowiązków w zakresie ochrony informacji osobowych prowadzi do poważnych konsekwencji, w tym wysokich kar finansowych nakładanych przez organy regulacyjne. Dodatkowo w przypadku wycieku lub niewłaściwego wykorzystania danych organizacja naraża się na przykre konsekwencje. Wdrożenie procedur kontrolujących dostęp do narzędzi Al staje się kluczowym elementem strategii zarządzania ryzykiem.
Zwiększona podatność na cyberzagrożenia
Shadow Al to też istotne zagrożenie z perspektywy cyberbezpieczeństwa. Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję do przeprowadzania ataków, takich jak phishing, deepfake czy analiza luk w systemach zabezpieczeń. Jeśli pracownicy korzystają z nieautoryzowanych narzędzi Al, wrażliwe informacje mogą zostać przechwycone i użyte do przeprowadzenia ataków na infrastrukturę organizacji.
Ponadto aplikacje Al działające poza kontrolą firmowych działów IT mogą nie spełniać standardów bezpieczeństwa, co czyni je podatnymi na infiltrację złośliwego oprogramowania. Brak regularnych audytów oraz mechanizmów zabezpieczeń powoduje, że niezatwierdzone narzędzia stają się słabym ogniwem w systemie ochrony danych. Organizacje, które nie wdrażają skutecznych procedur monitorowania wykorzystywania Al, ryzykują poważne incydenty, w tym ataki ransomware, które mogą blokować dostęp do systemu komputerowego czy kradzież własności intelektualnej.
W kwietniu 2023 r. media obiegła informacja o pracowniku Samsung Electronics, który udostępnił wrażliwy kod źródłowy przez ChatGPT, prosząc o jego optymalizację. To pokazuje, jak łatwo jest naruszyć bezpieczeństwo danych w dobrej wierze, chcąc jedynie zwiększyć efektywność swojej pracy.
Zniekształcenie procesów decyzyjnych i spadek jakości analiz
Przed wdrożeniem nowego systemu sztucznej inteligencji organizacje zazwyczaj przeprowadzają testy mające na celu ocenę jego skuteczności i bezpieczeństwa. W przypadku shadow Al proces ten jest pominięty, co zwiększa ryzyko uzyskania błędnych wyników analiz.
Modele Al niekiedy generują treści oparte na niepełnych lub niewiarygodnych danych, co skutkuje zniekształceniem rzeczywistego obrazu sytuacji. Decyzje podejmowane na podstawie niezweryfikowanych informacji mogą prowadzić do nieefektywnego alokowania zasobów, błędnych strategii biznesowych lub problemów w zarządzaniu ryzykiem. W szczególności sektor finansowy i medyczny są podatne na negatywne skutki wynikające z niewłaściwego użycia Al, ponieważ błędne prognozy mogą skutkować poważnymi konsekwencjami dla klientów i pacjentów.
Rozwój shadow AI odzwierciedla potrzebę przedsiębiorstw w zakresie wdrażania bardziej elastycznych i innowacyjnych rozwiązań technologicznych. Jednak, aby w pełni wykorzystać potencjał sztucznej inteligencji, konieczne jest zrównoważenie innowacyjności z odpowiedzialnym zarządzaniem i nadzorem. Tylko wtedy organizacje będą mogły czerpać korzyści z AI, minimalizując jednocześnie związane z nią ryzyka.
Jak zapobiegać ryzyku shadow AI?
W celu minimalizowania zagrożenia, związanego z shadow AI, organizacje powinny wdrożyć kompleksowe polityki zarządzania AI. Obejmują one:
zatwierdzanie aplikacji AI przed ich wdrożeniem,
definiowanie procedur ochrony danych,
edukację pracowników na temat ryzyka związanego z nieautoryzowanym użyciem AI,
regularne audyty zgodności.
Równowaga między produktywnością a bezpieczeństwem
Sztuczna inteligencja jest potężnym narzędziem, które może przynieść ogromne korzyści biznesowe. Natomiast jej niekontrolowane użycie staje się poważnym zagrożeniem dla organizacji. W dobie cyfrowej transformacji firmy muszą znaleźć sposób na wykorzystanie AI w sposób bezpieczny. Regulacja użycia AI, edukacja i inwestowanie w odpowiednie narzędzia zabezpieczające powinny stać się priorytetem dla każdej organizacji, która chce zachować kontrolę nad swoimi danymi i uniknąć konsekwencji wycieku informacji.
Źródła:
Samsung Bans ChatGPT, Google Bard, Other Generative AI Use by Staff After Leak - Bloomberg
Shadow AI: Balancing Innovation And Data Security In The Workplace
Samsung Bans ChatGPT Among Employees After Sensitive Code Leak
