Shadow AI kao bezbednosni izazov savremenih kompanija
Svaki put kada zaposleni ubaci interni dokument, deo koda ili poslovnu strategiju u AI alat, kompanija potencijalno gubi kontrolu nad tim podacima.
Upravo taj fenomen, poznat kao Shadow AI, postaje jedan od najbrže rastućih bezbednosnih izazova u savremenom poslovanju.
Šta je „Shadow AI“ i zašto je opasniji nego što mislite?
Dok kompanije definišu strategije za digitalnu transformaciju, zaposleni često samoinicijativno koriste AI alate u svakodnevnom radu, često bez znanja i odobrenja IT sektora.
Kada zaposleni izvrše upload internih dokumenata, finansijskih izveštaja ili delova izvornog koda u javne AI alate, ti podaci prestaju da budu pod potpunom kontrolom kompanije.
„Problem nastaje onog trenutka kada podaci napuste kontrolisano okruženje kompanije, jer tada više ne postoji jasan uvid gde se ti podaci nalaze, kako se obrađuju i ko im može pristupiti.” ističu stručnjaci iz PULSEC-a.
„Svi podaci uneti u alate kao što su ChatGPT, Claude ili Gemini obrađuju se i skladište na infrastrukturi provajdera.
Često završavaju na serverima u različitim jurisdikcijama, što dodatno komplikuje pitanje kontrole nad tim informacijama.”
U praksi se sve češće detektuju upravo ovakvi obrasci ponašanja: zaposleni koriste AI kako bi ubrzali svakodnevni rad, bilo da skraćuju interne izveštaje ili traže pomoć u rešavanju tehničkih izazova.
„Treba biti svestan činjenice da internet pamti - uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje „incognito” prozora u brauzeru ne spašava stvar”, navode stručnjaci iz kompanije PULSEC.
Iluzija privatnosti
Mnogi korisnici veruju da aktiviranjem opcija za privatnost ili „isključivanjem treniranja AI modela“ postaju potpuno zaštićeni.
Ipak, detaljna analiza uslova korišćenja pokazuje da provajderi zadržavaju određena prava nad podacima, uključujući njihovo čuvanje i potencijalnu buduću upotrebu.
Čak i kod komercijalnih enterprise verzija, određeni nivoi obrade i zadržavanja metapodataka ostaju prisutni, zbog čega nijedna opcija nije u potpunosti bez rizika.
Kako se kompanije mogu zaštititi?
PULSEC savetuje kompanijama da proaktivno upravljaju rizicima kroz sledeće korake:
• Definišite politiku upotrebe: Jasno propisivanje koji su AI alati dozvoljeni i u koje svrhe, uz striktnu zabranu unošenja poverljivih informacija kao što su lozinke ili podaci o klijentima.
• Klasifikacija podataka: Uvedite sistem podele na Public, Internal i Confidential podatke, pri čemu je za potonju kategoriju korišćenje AI servisa strogo zabranjeno.
• Ljudska verifikacija kao standard: Nijedan tekst ili tehnička dokumentacija generisani uz pomoć AI ne smeju napustiti kompaniju bez stručne ljudske verifikacije, s obzirom na poznati problem „halucinacija“ i netačnih informacija.
• Edukacija zaposlenih: Redovne obuke o opasnostima Shadow AI-a i primerima iz prakse pomažu u izgradnji kulture digitalne odgovornosti.
• Princip najmanjih privilegija: Pristup naprednim AI alatima treba da bude limitiran potrebama radnog mesta.
Potpuna zabrana AI alata u praksi često ne daje rezultat.
Zaposleni će, naročito ako vide da im tehnologija olakšava posao, pronaći način da je koriste.
Zato je efikasniji pristup da kompanije uvedu jasna pravila, edukuju zaposlene i definišu odobrene alate.
Za organizacije koje zahtevaju maksimalnu sigurnost, PULSEC sugeriše korišćenje izolovane cloud infrastrukture ili lokalno pokretanje AI modela unutar sopstvene mreže, čime se eliminiše slanje podataka eksternim servisima.
Shadow AI postaje jedan od najvažnijih izazova savremenog poslovanja, upravo zato što ne dolazi spolja, kroz klasičan hakerski napad, već iznutra – kroz svakodnevne navike zaposlenih koji žele da budu brži i efikasniji.
Zato se borba protiv ovog rizika ne dobija samo tehnologijom. Dobija se kombinacijom jasnih pravila, edukacije, tehničkih kontrola i kulture odgovornog korišćenja podataka.
