admin 
Antradienį paskelbtoje ataskaitoje „Shadow AI“ – AI įrankių naudojimas pagal IT departamentų radarą – nerimauja dėl informacinių technologijų direktorių ir vadovų.
Ataskaita, remiantis 200 IT direktorių ir JAV įmonių organizacijų, turinčių 1000 ar daugiau darbuotojų, apklausą, nustatė, kad beveik pusė IT privalumų (46%) „labai jaudinosi“ dėl šešėlio AI, ir beveik visi jie (90%) buvo susirūpinę dėl IT privatumo ir saugumo požiūriu.
„Kaip nustatė mūsų apklausa,„ Shadow AI “sukelia apčiuopiamus rezultatus. Beveik 80% IT vadovų teigia, kad dėl to atsirado neigiami incidentai, tokie kaip neskelbtinų duomenų nutekėjimas į genų AI įrankius, klaidingi ar netikslūs rezultatai ir teisinė rizika, susijusi su autorių teisių informacija“.
„Nerimą kelia 13% teigia, kad„ Shadow AI “padarė žalą finansinei ar reputacijai jų organizacijoms“, – sakė ji „Technewsworld“.
„Subramanian“ pridūrė, kad „Shadow AI“ kelia daug didesnę problemą nei „Shadow IT“, kuri daugiausia dėmesio skiria departamentų energijos vartotojams, perkantiems debesų egzempliorius ar „SaaS“ įrankius, negavus jo patvirtinimo.
„Dabar mes turime neribotą skaičių darbuotojų, naudojančių tokius įrankius kaip„ ChatGpt “ar„ Claude AI “, kad galėtume atlikti darbą, tačiau nesuprasdami galimo rizikos, kuria jie kelia savo organizacijas, netyčia pateikdami įmonės paslaptis ar klientų duomenis į pokalbių raginimą“, – aiškino ji.
„Duomenų rizika yra didelė ir auga vis dar nenumatytais būdais dėl PG kūrimo ir priėmimo tempo ir dėl to, kad daug ką nežinome apie tai, kaip AI veikia“, – tęsė ji. „Visą laiką jis tampa humanistinis ir gali savarankiškai priimti sprendimus“.
„Shadow Ai“ pristato aklųjų saugumo vietas
„Shadow AI“ yra kitas žingsnis po „Shadow It“ ir yra didėjanti rizika, pažymėjo Jamesas McQuiggan'as, saugumo informavimo gynėjas „Knowbe4“ – saugumo informavimo mokymo teikėjas Clearwater mieste, FLA.
„Vartotojai naudoja AI įrankius turiniui, vaizdams ar programoms ir apdoroti neskelbtinus duomenis ar įmonės informaciją be tinkamų saugumo patikrinimų“, – sakė jis „Technewsworld“. „Dauguma organizacijų turės privatumo, atitikties ir duomenų apsaugos politiką, o„ Shadow AI “pristato aklus organizacijos duomenų praradimo prevencijos vietas.“
„Didžiausia„ Shadow AI “rizika yra ta, kad AI programa nepraėjo per saugumo analizę, kaip galėjo būti patvirtintos AI įrankiai“, – aiškino Melissa Ruzzi, „SaaS“ saugumo valdymo programinės įrangos įmonės „Appomni“ direktorė San Mateo, Kalifornijoje.
„Kai kurios AI programos gali būti mokymo modeliai, naudojant jūsų duomenis, gali nesilaikyti atitinkamų taisyklių, kurių jūsų įmonė privalo laikytis, ir net neturi duomenų saugumo saugumo lygio, kurio, jūsų manymu, reikia, kad jūsų duomenys būtų atskleisti“, – sakė ji „Technewsworld“. „Ta rizika yra aklosios galimų šešėlių AI saugumo pažeidžiamumų dėmės“.
Krišna Vishnubhotla, Dalase įsikūrusios mobiliųjų saugumo įmonės „Zimperium“ produktų strategijos viceprezidentė, pažymėjo, kad „Shadow AI“ apima ne tik nepatvirtintas programas ir apima įterptus AI komponentus, kurie gali apdoroti ir skleisti neskelbtinus duomenis nenuspėjamai.
„Skirtingai nuo tradicinio„ Shadow IT “, kuris gali būti apribotas neteisėta programine įranga ar aparatine įranga,„ Shadow AI “gali veikti darbuotojų mobiliuosiuose įrenginiuose už organizacijos perimetro ir valdymo ribų“, – sakė jis „Technewsworld“. „Tai sukuria naują saugumo ir atitikties riziką, kurią sunkiau sekti ir sušvelninti“.
„Višnubhotla“ pridūrė, kad šešėlinio AI finansinis poveikis skiriasi, tačiau neteisėtos AI priemonės gali lemti dideles reguliavimo baudas, duomenų pažeidimus ir intelektinės nuosavybės praradimą. „Atsižvelgiant į agentūros mastą ir atskleistų duomenų jautrumą, išlaidos gali svyruoti nuo milijonų iki potencialiai milijardų žalos dėl atitikties pažeidimų, ištaisymo pastangų ir žalos reputacijai“, – sakė jis.
„Ypač pažeidžiamos federalinės agentūros, tvarkančios didžiulę neskelbtiną ar įslaptintą informaciją, finansų įstaigos ir sveikatos priežiūros organizacijos“, – sakė jis. „Šie sektoriai renka ir analizuoja daugybę didelės vertės duomenų, todėl AI įrankiai tampa patrauklūs. Tačiau, jei netinkamai tikrinamu, šias priemones būtų galima lengvai išnaudoti“.
Šešėlis AI visur ir lengvai naudojamas
Nicole Carignan, SVP saugumo ir AI strategijai „DarkTrace“, pasaulinėje kibernetinio saugumo AI bendrovėje, prognozuoja įrankių, kuriuose naudojama AI ir generatyvinė AI įmonėse ir darbuotojų naudojamuose įrenginiuose, sprogimą.
„Be to, kad valdys Integruotus AI įrankius, saugos komandos matys esamų įrankių, turinčių naujų AI funkcijų ir įterptų galimybių, padidėjimą, taip pat padidės šešėlių AI“,-sakė ji „Technewsworld“. „Jei antplūdis liks nepažymėtas, tai kelia rimtų klausimų ir susirūpinimą dėl duomenų praradimo prevencijos, taip pat dėl atitikties susirūpinimo, kai pradeda įsigyti naujų taisyklių.“
„Tai padidins AI turto atradimo poreikį – galimybę įmonėms nustatyti ir sekti AI sistemų naudojimą visoje įmonėje“, – sakė ji. „Būtina, kad CIO ir CISO gilinasi į naujus AI saugos sprendimus, užduodami išsamius klausimus apie prieigą prie duomenų ir matomumo“.
„Shadow AI“ tapo toks siaučiantis, nes jis yra visur ir lengvai pasiekiamas naudodamiesi nemokamais įrankiais, prižiūrint Komprise subramanietišką. „Viskas, ko jums reikia, yra interneto naršyklė“, – sakė ji. „Įmonių vartotojai gali netyčia dalytis įmonės kodo fragmentais ar įmonės duomenimis, naudodamiesi šiais„ Gen AI “įrankiais, kurie galėtų sukelti duomenų nutekėjimą“.
„Šios priemonės auga ir keičiasi eksponentiškai“, – tęsė ji. „Tai tikrai sunku neatsilikti. Kaip IT lyderis, kaip jūs tai stebite ir nustatote riziką? Vadovai gali atrodyti kitaip, nes jų komandos tampa vis daugiau. Jums gali prireikti mažiau rangovų ir nuolatinių darbuotojų. Bet aš manau, kad įrankių rizika nėra gerai suprantama.”
„Maža arba kai kuriais atvejais neegzistuojanti mokymosi kreivė, susijusi su„ Gen AI Services “naudojimu, paskatino greitai priimti, nepaisant išankstinės patirties su šiomis paslaugomis“,-pridūrė Satyam Sinha, „Acuvity“, „Acuvity“, „Acuvity“, „Acuvity“, „Acuvity“ įkūrėjas, „Sunnyvale“, Kalifornijoje.
„Nors„ Shadow IT “buvo sutelktas į konkretų iššūkį konkrečiems darbuotojams ar departamentams,„ Shadow AI “sprendžia kelis iššūkius keliems darbuotojams ir departamentams. Taigi, tuo didesnis patrauklumas“, – sakė jis. „Gausų AI paslaugų gausa ir greita plėtra taip pat reiškia, kad darbuotojai gali rasti tinkamą sprendimą (akimirksniu). Žinoma, visi šie bruožai turi tiesioginį poveikį saugumui.“
AI įrankių uždraudimo uždraudimas
Siekdamos palaikyti inovacijas, tuo pačiu sumažindama „Shadow AI“ grėsmę, įmonės privalo laikytis trijų krypčių požiūrio, tvirtino Kris Bondi, „Mimoto“, „Mimoto“, grėsmės aptikimo ir reagavimo bendrovės San Fransiske generalinis direktorius ir įkūrėjas. Jie privalo mokyti darbuotojus apie nepalaikomų, nemonuotų AI įrankių pavojų, sukurti įmonės protokolus, kurie nėra priimtini neleistinų AI įrankių naudojimas, ir, svarbiausia, pateikti sankcionuojamų AI įrankių.
„Paaiškinusi, kodėl vienas įrankis yra sankcionuotas, o kita – labai padidina atitiktį“, – sakė ji „Technewsworld“. „Nelabas, kad įmonė turėtų nulinio naudojimo mandatą. Tiesą sakant, dėl to padidėja slaptas„ Shadow AI “naudojimas“.
Artimiausiu metu vis daugiau programų pasitelks įvairių formų AI, todėl „Shadow AI“ realybė bus labiau nei bet kada anksčiau, pridūrė „Appomni Ruzzi“. „Geriausia strategija yra darbuotojų mokymas ir AI naudojimo stebėjimas“, – sakė ji.
„Labai svarbu turėti galingą„ SaaS “saugos įrankį, kuris gali ne tik nustatyti tiesioginį pokalbių programų AI naudojimą, kad būtų galima aptikti AI naudojimą, susijusį su kitomis programomis“, – tęsė ji, „leisdama išankstiniam atradimui, tinkamam rizikos vertinimui ir izoliacijai sumažinti galimas neigiamas pasekmes“.
„Šešėlis AI yra tik pradžia“, – pridūrė „Knowbe4“ „McQuiggan“. „Kai daugiau komandų naudojasi AI, rizika auga“.
Jis rekomendavo įmonėms pradėti mažus, nustatyti, kas naudojama, ir kurti iš ten. Jie taip pat turėtų dalyvauti teisiniame, HR ir atitiktyje.
„Padarykite AI valdymą savo platesnės saugumo programos dalimi“, – sakė jis. „Kuo greičiau pradėsite, tuo geriau galėsite valdyti tai, kas bus toliau“.
