A mesterséges intelligencia alapú eszközök az utóbbi időben egyre több ember számára változtatják meg és segítik a munkavégzést, de egyben olyan új biztonsági problémákat is generálnak, amelyekkel a hagyományos módszerek nem tudnak megbirkózni. A legújabb fenyegetés, amivel sok szervezetnek meggyűlhet a baja, a Shadow AI – a nem engedélyezett AI-alkalmazások használata a vállalati rendszerekben.
Az AI-eszközök használata egyre gyorsabban terjed, mivel segítik a munkavégzés hatékonyságát. Azonban a gyors alkalmazás gyakran nem veszi figyelembe a biztonsági kockázatokat, hiszen sok esetben a csapatok az eszközök bevezetése előtt nem mérlegelik azok lehetséges hatásait. A problémát tovább súlyosbítja, hogy ezek az eszközök esetenként nem az előírt, adott szervezet jogszabályi megfeleléséhez szükséges módon tárolják és használják fel a felhasználói adatokat, vagy az adatok tárolásának és felhasználásának folyamata nem kellőképpen transzparens.
Shadow AI-jelenségnek nevezzük azt, amikor az alkalmazottak AI-eszközöket használnak bizonyos feladatokra vagy részfeladatokra, miközben az IT-osztály nem tud róla, vagy nem hagyja jóvá a használatát. Mivel az AI-eszközök adatokat gyűjtenek és tárolnak, hatalmas biztonsági kockázatot jelenthetnek. Gondoljunk bele, milyen veszélyekkel járhat, ha egy munkavállaló a szervezet számára érzékeny információkat oszt meg – mindezt szabályozatlan módon, bármiféle dokumentáció készítése nélkül. Az ilyen típusú eszközök amellett, hogy adatokat gyűjtenek, képesek más rendszerekhez is csatlakozni, ezáltal könnyen kiszivárogtathatják a szervezet számára fontos, bizalmas információkat.
A Shadow AI-alkalmazások egy új, nehezen észlelhető fenyegetést jelentenek. A legtöbb AI-modell úgynevezett „felhő alapú” SaaS (Software-as-a-Service) alkalmazások formájában működik. Ilyen esetben az adott szoftver közvetlenül a szolgáltató szerveréről futtatható, és a felhasználó gépére telepített kliensprogram vagy egy böngészőprogram segítségével bármikor és bárhonnan online elérhető és használható. Ezt azonban a szervezetek IT-részlege gyakran nem képes megfelelő módon követni vagy ellenőrizni, mivel ez a felhasználási mód gyakran kívül esik a hagyományos biztonsági kontrollokon.
Az AI-eszközök tehát adatokat gyűjtenek, és olyan információkat tárolhatnak, amelyek visszaélésre adnak lehetőséget – ezek lehetnek például üzleti titkok vagy munkavállalók, vezetők személyes adatai is. Kontrollálatlan használatuk számos súlyos problémát szülhet, adatszivárgást okozhat és biztonsági réseket nyithat, melynek következtében sérülhet a cég reputációja vagy jogszabályi megfelelése. Az ilyen jellegű történések sok fejfájást okozhatnak, mivel komoly anyagi kárt, illetve pénzbírságot is vonhatnak maguk után.
Kép forrása: Freepik
Mit tehetünk a Shadow AI veszélyeinek minimalizálása érdekében? Az innováció biztonságos bevezetésének, megvalósításának kulcsa, hogy ne csak technikai megoldásokkal, hanem kulturális változásokkal is készüljünk fel. Technikai szempontból a cégeknek érdemes olyan rendszereket kialakítaniuk, amelyek nemcsak a Shadow AI észlelésére, hanem a fenyegetés kezelésére is képesek. Még fontosabb, kritikusabb kérdés az alkalmazottak edukációja, tudatosságuk növelése. Jó gyakorlat lehet emellett egy AI-alkalmazásokkal kapcsolatos szabályzat létrehozása, valamint betartásának folyamatos ellenőrzése. Ezen összetevők tehát mind elengedhetetlenek egy biztonságos munkakörnyezet fenntartásához olyan jellegű új megoldások, eszközök bevezetésekor, mint a mesterségesintelligencia-modellek vállalaton belüli alkalmazása.
Fontos, hogy az AI-alkalmazásokat ne csak engedélyezett eszközként kezeljük, hanem folyamatosan kövessük nyomon azok használatát. A legjobb stratégia egy olyan „AI-pozitív biztonsági kultúra” kialakítása, ahol az innováció és a biztonság kéz a kézben jár – miközben a kockázatokat folyamatosan monitorozzuk és kezeljük. A Shadow AI tehát nem csupán egy újabb, „hagyományos” biztonsági kihívás, hanem egy olyan összetett problémakör, amely minden vállalat számára új megközelítést kíván. Az eddig ismert és alkalmazott biztonsági modellek mellett az új AI-eszközökkel kapcsolatos tudatosság, a megfelelő képzés és a folyamatos nyomon követés mind szükségesek ahhoz, hogy minimálisra csökkenjenek a kockázatok.
Kiemelt kép: Freepik