ShadowAI – kako prevazići najbrže rastući bezbednosni izazov

Dok kompanije definišu strategije za digitalnu transformaciju, zaposleni često samoinicijativno koriste VI alate u svakodnevnom radu, često bez znanja i odobrenja IT sektora.

Kada zaposleni izvrše upload internih dokumenata, finansijskih izveštaja ili delova izvornog koda u javne VI alate, ti podaci prestaju da budu pod potpunom kontrolom kompanije.

 Problem nastaje onog trenutka kada podaci napuste kontrlisano okruženje kompanije, jer tada više ne postoji jasan uvid gde se ti podaci nalaze, kako se obrađuju i ko im može pristupiti.

„Svi podaci uneti u alate kao što su ČetGPT, Klaud ili Džeminaj obrađuju se i skladište na infrastrukturi provajdera. Često završavaju na serverima u različitim jurisdikcijama, što dodatno komplikuje pitanje kontrole nad tim informacijama”, kaže stručnjak kompanije Pulsec, specijalizovane za sajber bzbednost.

Iluzija privatnosti

U praksi, sve se češće detektuju upravo ovakvi obrasci ponašanja, zaposleni koriste VI kako bi ubrzali svakodnevni rad, bilo da skraćuju interne izveštaje ili traže pomoć u rešavanju tehničkih izazova.

Treba biti svestan činjenice da internet pamti, uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje inkognito prozora na browseru ne spašava stvar.

Mnogi korisnici veruju da aktiviranjem opcija za privatnost ili „isključivanjem treniranja VI modela“ postaju potpuno zaštićeni. Ipak, detaljna analiza uslova korišćenja pokazuje da provajderi zadržavaju određena prava nad podacima, uključujući njihovo čuvanje i potencijalnu buduću upotrebu.

Čak i kod komercijalnih enterprajz verzija, određeni nivoi obrade i zadržavanja metapodataka ostaju prisutni, zbog čega nijedna opcija nije u potpunosti bez rizika.

Kako se kompanije mogu zaštititi

Ključ je u proaktivnom upravljanju rizicima. Definišite politiku upotrebe. Jasno propisivanje koji su VI alati dozvoljeni i u koje svrhe, uz striktnu zabranu unošenja poverljivih informacija kao što su lozinke ili podaci o klijentima.

Klasifikacija podataka je korak u kom uvodite sistem podele na Public, Iternal i Confidential podatke, pri čemu je za potonju kategoriju korišćenje VI servisa strogo zabranjeno.

Ljudska verifikacija kao standard podrazumeva da nijedan tekst ili tehnička dokumentacija generisani uz pomoć VI ne smeju napustiti kompaniju bez stručne ljudske verifikacije, s obzirom na poznati problem „halucinacija“ i netačnih informacija.

Edukacija zaposlenih i redovne obuke o opasnostima ShadowAI-a i primerima iz prakse pomažu u izgradnji kulture digitalne odgovornosti su primat.

Princip najmanjih privilegija je pristup naprednim VI alatima koji treba da bude limitiran potrebama radnog mesta.

Potpuna zabrana VI alata u praksi često ne daje rezultat. Zaposleni će, naročito ako vide da im tehnologija olakšava posao, pronaći način da je koriste. Zato je efikasniji pristup da kompanije uvedu jasna pravila, edukuju zaposlene i definišu odobrene alate.

ShadowAI postaje jedan od najvažnijih izazova savremenog poslovanja. Upravo zato što ne dolazi spolja, kroz klasičan hakerski napad, već iznutra, kroz svakodnevne navike zaposlenih koji žele da budu brži i efikasniji.

Zato se borba protiv ovog rizika ne dobija samo tehnologijom. Dobija se kombinacijom jasnih pravila, edukacije, tehničkih kontrola i kulture odgovornog korišćenja podataka.