Shadow AI, czyli sztuczna inteligencja w cieniu. Czym jest, jakie niesie zagrożenia i jak ją ograniczyć?

Sztuczna inteligencja zmienia sposób, w jaki nie tylko zdobywamy informacje, ale też pracujemy. Pracownicy coraz powszechniej korzystają z narzędzi AI w ramach wykonywania swoich obowiązków. Często nikogo o tym nie informując. Co grozi firmom, które nie rozwiążą problemu shadow AI?

Czym jest shadow AI?

Shadow AI to termin odnoszący się do nieautoryzowanego użycia i wdrażania narzędzi AI w organizacjach bez wiedzy i zgody działów IT lub bezpieczeństwa. Co to oznacza w praktyce? Na przykład wykorzystywanie przez pracowników platform generatywnej sztucznej inteligencji (GenAI) lub dużych modeli językowych (LLM), takich jak ChatGPT, do wykonywania codziennych zadań, w tym pisania kodu, redagowania tekstów czy tworzenia grafik.

-Na pierwszy rzut oka takie działania mogą wydawać się nieszkodliwe. Jednak ponieważ działy IT nie są świadome tego, że pracownicy używają sztucznej inteligencji, nie są też w stanie monitorować sposobu wykorzystania AI w organizacji. A to może narazić ją na zwiększone ryzyko wycieku danych czy problemów prawnych – mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Zagrożenia związane z shadow AI

Shadow AI może stanowić zagrożenia dla organizacji, dlatego muszą one brać pod uwagę potencjalne konsekwencje nieautoryzowanego użycia AI przez pracowników.

• Problemy ze zgodnością z regulacjami. Firmy podlegają różnym regulacjom dotyczącym AI (między innymi ogólnemu rozporządzeniu o ochronie danych Unii Europejskiej, czyli RODO). Shadow AI może potencjalnie naruszać polityki i regulacje. Nawet jeśli pracownicy nie łamią prawa umyślnie, mogą narazić firmę na nieprzewidziane kary, konsekwencje prawne czy utratę reputacji. Problemy ze zgodnością pojawiają się również w kontekście polityk prywatności narzędzi AI. Pracownicy nie zawsze zapoznają się z politykami prywatności narzędzi, z których korzystają, oraz z ich aktualizacjami. A to może skutkować oskarżeniem o naruszenie regulacji.
• Niezamierzone ujawnienie poufnych informacji. Podczas korzystania z chatbotów AI pracownicy mogą nieświadomie ujawnić wrażliwe dane nieautoryzowanym modelom, co otwiera drzwi do przejęcia informacji przez niepowołane do tego osoby. To z kolei zwiększa ryzyko cyberataków lub wycieków danych.
• Brak właściwej oceny zagrożeń przez zespoły IT. Jeśli działy IT i bezpieczeństwa są nieświadome nieautoryzowanego użycia AI w firmach, nie mogą odpowiednio ocenić zagrożeń ani podjąć niezbędnych kroków w celu ich ograniczenia. Jednym z ryzyk, z jakimi się mierzą, jest nieumyślne włączanie przez pracowników nieprawdziwych lub fałszywych informacji wygenerowanych przez AI do swojej pracy.
• Zwiększone ryzyko cyberataków. Programista może przypadkowo stworzyć złośliwy kod, używając sztucznej inteligencji. Jeden błąd w kodzie generowanym przez AI może stworzyć lukę, którą wykorzystają cyberprzestępcy do przeprowadzenia ataku.

Jak ograniczyć wpływ shadow AI na organizację?

Aby ograniczyć ewentualny negatywny wpływ sztucznej inteligencji na funkcjonowanie przedsiębiorstwa czy instytucji, warto:

• Ustalić polityki i zasady dotyczące AI. Aby ograniczyć shadow AI, organizacje mogą stworzyć zbiór jasnych wytycznych dotyczących wdrażania AI w całej firmie. To pomoże z w zapewnieniu zgodności z wewnętrznymi i zewnętrznymi regulacjami. Dodatkowo działy IT powinny przeglądać i zatwierdzać projekty związane z AI. Wszystko po to, by spełniały one standardy określone w przepisach.
• Podnosić świadomość pracowników. Wprowadzenie szkoleń tłumaczących zagrożenia i konsekwencje stosowania shadow AI pomoże pracownikom zrozumieć wagę tego problemu. Wyedukowane zespoły będą chętniej stosować się do wewnętrznych wymagań firmy.
• Wdrożyć kontrolę dostępu. Narzędzia monitoringu i kontroli dostępu ułatwią zespołom IT wykrywanie przypadków shadow AI. Pozwolą też wprowadzać ograniczenia dotyczące platform AI i ich nieautoryzowanego użycia w miejscach pracy.

– Nowe technologie, takie jak sztuczna inteligencja, mogą wspierać firmy i ich pracowników w codziennej pracy. Jednak wdrażane bez kontroli przyczyniają się także do nieoczekiwanych problemów. Znamy to zjawisko doskonale. Organizacje mierzą się bowiem ciągle z wyzwaniami związanymi z shadow IT, czyli z korzystaniem przez pracowników z aplikacji lub oprogramowania, które nie zostało zatwierdzone ani nie jest nadzorowane przez dział IT. Każde przedsiębiorstwo musi zdać sobie sprawę, że pracownicy coraz częściej korzystają z AI podczas wykonywania codziennych zadań, oraz rozważyć, jakie konsekwencje niesie takie zachowanie. Świadomość – i zarządów, i pracowników – jest kluczem do zminimalizowania potencjalnych zagrożeń – podsumowuje Mateusz Ossowski z Barracuda Networks.