Что такое теневой ИИ?

Теневой ИИ — это несанкционированное использование любого  инструмента или приложения искусственного интеллекта  (ИИ) сотрудниками или конечными пользователями без официального одобрения или надзора со стороны  отдела информационных технологий (ИТ) .

Распространенным примером теневого ИИ является несанкционированное использование  приложений генеративного ИИ  (gen AI), таких как ChatGPT от OpenAI, для автоматизации таких задач, как редактирование текста и анализ данных. Сотрудники часто обращаются к этим инструментам для повышения производительности и ускорения процессов. Однако, поскольку ИТ-отделы не знают об использовании этих приложений, сотрудники могут неосознанно подвергать организацию значительным рискам, касающимся  безопасности данных , соответствия требованиям и репутации компании.

Для CIO и CISO разработка надежной стратегии ИИ, включающей инициативы по управлению и безопасности ИИ, является ключом к эффективному  управлению рисками ИИ . Придерживаясь политик ИИ, которые подчеркивают важность соответствия и  кибербезопасности , лидеры могут  управлять рисками  теневого ИИ, используя преимущества технологий ИИ.

Теневые ИТ против теневого ИИ

Чтобы понять последствия теневого ИИ, полезно отличать его от теневых ИТ.

Теневые ИТ

Shadow IT  относится к развертыванию любого программного обеспечения, оборудования или информационных технологий в корпоративной сети без одобрения, знаний или контроля со стороны ИТ-отдела или CIO. Сотрудники могут обратиться к несанкционированной технологии ИИ, когда они считают существующие решения недостаточными или считают, что одобренные варианты слишком медленные. Распространенными примерами являются использование персональных  облачных  сервисов хранения данных или несанкционированных инструментов управления проектами.

Теневые ИИ

В то время как теневой ИТ фокусируется на любом несанкционированном приложении или сервисе, теневой ИИ фокусируется на специфичных для ИИ инструментах, платформах и вариантах использования. Например, сотрудник может использовать  большую языковую модель  (LLM) для быстрого создания отчета, не осознавая рисков безопасности. Ключевое отличие заключается в характере используемых инструментов: теневой ИИ касается несанкционированного использования искусственного интеллекта, что вносит уникальные проблемы, связанные с  управлением данными , выходными данными модели и принятием решений.

Каковы риски теневого ИИ?

С 2023 по 2024 год внедрение приложений генеративного ИИ сотрудниками предприятий выросло с 74% до 96%, поскольку организации приняли технологии ИИ. 1  Наряду с этим ростом наблюдался рост теневого ИИ. Сегодня более трети (38%) сотрудников признают, что делятся конфиденциальной рабочей информацией с инструментами ИИ без разрешения своих работодателей. 2

Теневой ИИ может подвергнуть компании ряду рисков, включая утечку данных, штрафы за несоблюдение требований и серьезный ущерб репутации:

Утечки данных и уязвимости безопасности

Одним из главных рисков, связанных с теневым ИИ, является потенциальная возможность  утечки данных . При отсутствии контроля за использованием ИИ сотрудники могут непреднамеренно раскрыть конфиденциальную информацию, что приведет к  проблемам с конфиденциальностью данных  . Согласно недавнему опросу руководителей служб информационной безопасности, каждая пятая компания Великобритании столкнулась с утечкой данных из-за сотрудников, использующих ИИ-технологии. 3  Повышенный риск утечки данных может объяснить, почему 3 четверти респондентов также заявили, что инсайдеры представляют большую опасность для организации, чем внешние угрозы. 4

Несоблюдение правил

Во многих отраслях соответствие нормативным требованиям не подлежит обсуждению. Использование теневого ИИ может привести к проблемам с соответствием, особенно в отношении  защиты данных  и  конфиденциальности . Организации могут быть обязаны соблюдать такие правила, как  Общий регламент по защите данных  (GDPR). Штрафы за несоблюдение GDPR могут быть существенными: серьезные нарушения (например, обработка данных в незаконных целях) могут стоить компаниям более 20 000 000 евро или 4% от мирового дохода организации за предыдущий год — в зависимости от того, что больше. 

Репутационный ущерб

Использование несанкционированных  моделей ИИ  может повлиять на качество принятия решений. Без надлежащего управления результаты, полученные с помощью этих моделей, могут не соответствовать целям организации или  этическим стандартам .  Предвзятые  данные,  переобучение  и  дрейф моделей  — вот несколько примеров рисков ИИ, которые могут привести к неудачному стратегическому выбору и нанести ущерб репутации компании. 

Несанкционированное использование ИИ также может противоречить стандартам качества компании и подорвать доверие потребителей. Вспомните негативную реакцию, когда Sports Illustrated был уличен в публикации статей, написанных авторами, созданными с помощью ИИ, или когда Uber Eats был вызван в использование изображений еды, созданных с помощью ИИ.

Причины появления теневого ИИ

Несмотря на риски, теневой ИИ становится все более распространенным явлением по нескольким причинам. Организации принимают цифровую трансформацию и, как следствие, интеграцию технологий ИИ для переосмысления рабочих процессов и принятия решений. 

Распространение удобных для пользователя инструментов ИИ означает, что сотрудники могут легко получить доступ к передовым решениям ИИ для расширения своих возможностей. Многие приложения ИИ доступны в виде  программного обеспечения как услуги  (SaaS), что позволяет людям быстро внедрять эти инструменты без необходимости привлечения ИТ-отделов или служб безопасности. Благодаря демократизации ИИ сотрудники находят новые способы:

  • Повышение производительности:  сотрудники часто используют инструменты теневого ИИ для повышения производительности и обхода неэффективности работы. Используя приложения ИИ поколения, люди могут автоматизировать повторяющиеся задачи, быстро генерировать контент и оптимизировать процессы, которые в противном случае заняли бы гораздо больше времени.
  • Ускорение инноваций:  Shadow AI может способствовать развитию культуры инноваций, позволяя командам экспериментировать с новыми инструментами ИИ, не дожидаясь официального одобрения. Такая гибкость может привести к креативным решениям и улучшению рабочих процессов, давая организациям конкурентное преимущество на быстро меняющихся рынках.
  • Оптимизация решений:  часто теневой ИИ позволяет командам решать проблемы в режиме реального времени. Сотрудники могут быстро находить специальные решения, используя доступные инструменты ИИ, а не полагаться на традиционные, более медленные методы. Такая отзывчивость может улучшить обслуживание клиентов и повысить эффективность работы.

Примеры теневого ИИ

Теневой ИИ проявляется по-разному в организациях, часто движимый потребностью в эффективности и инновациях. Распространенными примерами теневого ИИ являются чат-боты на базе ИИ, модели машинного обучения для анализа данных, инструменты автоматизации маркетинга и инструменты визуализации данных.

Чат-боты на базе искусственного интеллекта

В сфере обслуживания клиентов команды могут обращаться к неавторизованным  чат-ботам ИИ  для генерации ответов на запросы. Например, представитель службы поддержки клиентов может попытаться ответить на вопрос клиента, попросив чат-бота дать ответы вместо того, чтобы просмотреть одобренные материалы своей компании. Это может привести к непоследовательным или ложным сообщениям, потенциальному недопониманию с клиентами и рискам безопасности, если вопрос представителя содержит конфиденциальные данные компании.

Модели машинного обучения для анализа данных

Сотрудники могут использовать внешние  модели машинного обучения  для анализа и поиска закономерностей в данных компании. Хотя эти инструменты могут давать ценную информацию, несанкционированное использование служб ИИ может создавать уязвимости безопасности . Например, аналитик может использовать модель предиктивного поведения, чтобы лучше понять поведение клиентов из собственного набора данных, неосознанно раскрывая конфиденциальную информацию в процессе.

Инструменты автоматизации маркетинга

Маркетинговые команды могут стремиться оптимизировать кампании с помощью инструментов теневого ИИ, которые могут автоматизировать усилия по email-маркетингу или анализировать данные о вовлеченности в социальных сетях. Использование этих инструментов может привести к улучшению маркетинговых результатов. Однако отсутствие управления может привести к несоблюдению стандартов защиты данных, особенно если данные клиентов обрабатываются неправильно.

Инструменты визуализации данных

Многие организации используют инструменты визуализации данных на базе ИИ   для быстрого создания тепловых карт, линейных диаграмм, столбчатых диаграмм и многого другого. Эти инструменты могут помочь усилить  бизнес-аналитику  , отображая сложные взаимосвязи данных и выводы в простой для понимания форме. Однако ввод данных компании без одобрения ИТ может привести к неточностям в отчетности и потенциальным проблемам безопасности данных.

Как управлять рисками теневого ИИ

Для управления рисками теневого ИИ организации могут рассмотреть несколько подходов, которые поощряют  ответственное  использование ИИ, признавая при этом необходимость гибкости и инноваций:

Подчеркните важность сотрудничества

Открытый диалог между ИТ-отделами, группами безопасности и бизнес-подразделениями может способствовать лучшему пониманию возможностей и ограничений ИИ. Культура сотрудничества может помочь организациям определить, какие инструменты ИИ являются полезными, а также обеспечить соответствие протоколам защиты данных.

Разработать гибкую структуру управления

Рамки управления  могут учитывать стремительный характер внедрения ИИ, сохраняя при этом меры безопасности. Эти рамки могут включать четкие указания о том, какие типы систем ИИ могут использоваться, как следует обрабатывать конфиденциальную информацию и какое обучение необходимо сотрудникам в отношении  этики  и соответствия ИИ.

Установить ограждения

Ограничения вокруг использования ИИ могут обеспечить защитную сетку, помогая гарантировать, что сотрудники используют только одобренные инструменты в рамках определенных параметров. Ограничения могут включать политики относительно внешнего использования ИИ, среды-песочницы для тестирования приложений ИИ или брандмауэры для блокировки несанкционированных внешних платформ.

Мониторинг использования ИИ

Устранить все случаи теневого ИИ может оказаться невозможным. Поэтому организации могут внедрить инструменты мониторинга сети для отслеживания использования приложений и установить контроль доступа для ограничения несанкционированного программного обеспечения. Регулярные аудиты и активный мониторинг каналов связи также могут помочь определить, используются ли и как используются несанкционированные приложения.

Повторить риски

Ландшафт теневого ИИ постоянно развивается, представляя новые вызовы для организаций. Компании могут наладить регулярные коммуникации, такие как информационные бюллетени или ежеквартальные обновления, чтобы информировать сотрудников о теневом ИИ и связанных с ним рисках.

Повышая осведомленность о последствиях использования несанкционированных инструментов ИИ, организации могут способствовать формированию культуры ответственного использования ИИ. Такое понимание может побудить сотрудников искать одобренные альтернативы или консультироваться с ИТ-отделом перед развертыванием новых приложений.

Источник

Сноски

 Риски обмена конфиденциальными данными возросли из-за всплеска GenAI , журнал Infosecurity, 17 июля 2024 г.

 Более трети сотрудников тайно делятся рабочей информацией с ИИ , журнал Infosecurity, 26 сентября 2024 г.

 Пятая часть руководителей служб информационной безопасности признала утечку данных сотрудников через GenAI,  журнал Infosecurity, 24 апреля 2024 г.

 Статья 99: Штрафы , Закон ЕС об искусственном интеллекте.

Hi, I’m admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *