Загроза Shadow AI для безпеки підприємств

Оскільки технологія штучного інтелекту стрімко розвивається, організації стикаються з новою загрозою безпеки: тіньовими додатками AI. Ці непомітні додатки, розроблені співробітниками без контролю ІТ або відділу безпеки, поширюються по компаніях і часто залишаються непоміченими, як підкреслено в недавній статті на VentureBeat.

VentureBeat пояснює, що хоча багато з цих додатків не є навмисно шкідливими, вони створюють серйозні ризики для корпоративних мереж, що варіюються від порушень безпеки даних до порушень відповідності.

Додатки Shadow AI часто створюються співробітниками, які намагаються автоматизувати рутинні завдання або оптимізувати роботу, використовуючи AI моделі, навчені на власних даних компанії.

Ці додатки, які часто залежать від генеративних AI інструментів, таких як ChatGPT від OpenAI або Google Gemini, не мають необхідних захисних заходів, що робить їх вкрай вразливими до загроз безпеки.

За словами Ітамара Голана, генерального директора Prompt Security, “близько 40% цих систем за замовчуванням навчаються на будь-яких даних, які ви їм подаєте, що означає, що ваше інтелектуальне майно може стати частиною їхніх моделей”, як повідомляє VentureBeat.

Привабливість тіньового AI очевидна. Співробітники, що перебувають під постійним тиском для виконання вузьких термінів і обробки складних завдань, звертаються до цих інструментів для підвищення продуктивності.

Вініт Арора, CTO в WinWire, зазначає для VentureBeats, “Відділи стрибають на несанкціоновані рішення AI, тому що негайні переваги занадто спокусливі, щоб їх ігнорувати.” Однак, ризики, які ці інструменти вводять, є глибокими.

Голан порівнює тіньовий AI з препаратами, що підвищують продуктивність у спорті, говорячи: “Це як допінг на Тур де Франс. Люди хочуть мати перевагу, не розуміючи довготривалих наслідків,” як повідомляє VentureBeats.

Незважаючи на їхні переваги, додатки тіньового AI відкривають організації для цілого ряду вразливостей, включаючи випадкові витоки даних та атаки за допомогою вставки команд, які традиційні заходи безпеки не можуть виявити.

Масштаб проблеми приголомшує. Голан розкриває для VentureBeats, що його компанія щодня каталогізує 50 нових додатків AI, з понад 12 000, які вже використовуються. “Ви не можете зупинити цунамі, але можете побудувати човен”, – радить Голан, вказуючи на те, що багато організацій були здивовані масштабом використання тіньового AI в їхніх мережах.

Одна фінансова компанія, наприклад, виявила 65 незаконних AI-інструментів під час 10-денного аудиту, що значно перевищило очікування їхньої служби безпеки, котра очікувала виявити менше 10 інструментів, як повідомляє VentureBeats.

Небезпеки тіньового AI особливо гострі для регульованих секторів. Як тільки власні дані потрапляють у публічну AI-модель, їх важко контролювати, що може призвести до потенційних проблем з дотриманням нормативів.

Голан попереджає: “Майбутній закон ЄС про ШІ може перевершити навіть GDPR у штрафах”, тоді як Арора акцентує увагу на загрозі витоку даних та штрафах, які організації можуть зазнати за нездатність захистити конфіденційну інформацію, як повідомляє VentureBeats.

Щоб впоратися зі зростаючою проблемою тіньового AI, експерти рекомендують багатоаспектний підхід. Арора пропонує організаціям створити централізовані структури управління AI, проводити регулярні аудити та впроваджувати контрольні заходи безпеки, що сприймають AI, які можуть виявляти зломи, що керуються AI.

Додатково, бізнес повинен надавати співробітникам попередньо затверджені AI-інструменти та чіткі правила використання, щоб зменшити спокусу користуватися несхваленими рішеннями.