Šta je Shadow AI i kako ugrožava bezbednost firmi?

Stručnjaci upozoravaju da zaposleni masovno koriste napredne sisteme veštačke inteligencije bez zvaničnog odobrenja svojih IT menadžera.

Najveći problem leži u činjenici da se uneti podaci koriste za dalje treniranje globalnih modela veštačke inteligencije, što praktično znači da bi neka konkurentska firma mogla kroz običnu pretragu da dobije pristup vašim tajnim podacima. Stručnjaci navode primere gde su programeri ubacivali delove softverskog koda kompanije u aplikacije kako bi brže pronašli greške.

Pored softverskih inženjera, ovaj sistem najviše koriste zaposleni u sektorima marketinga, ljudskih resursa i finansijske administracije. Oni u polja za unos teksta ubacuju cele biografije kandidata za posao sa svim ličnim podacima. Na taj način dolazi do ozbiljnog kršenja evropskih zakona o zaštiti podataka o ličnosti, poznatijih kao GDPR regulativa.

Kompanije koje su pokušale da potpuno zabrane pristup sajtovima za veštačku inteligenciju brzo su uvidele neuspeh takve rigidne politike. Radnici uvek pronađu način da zaobiđu prepreke, pa te iste alate aktiviraju preko svojih privatnih mobilnih telefona.

Emotivna povezanost korisnika sa digitalnim asistentima čini ih izuzetno upornim u nameri da nastave sa njihovim svakodnevnim korišćenjem. Sami hakeri su takođe prepoznali ovaj trend i počeli da kreiraju lažne alate koji imitiraju prave sisteme. Kada zaposleni napravi profil na takvom neproverenom sajtu, on praktično otvara vrata napadačima u čitavu korporativnu mrežu. Zbog toga štete od curenja podataka kroz ove kanale postaju višestruko veće od klasičnih sajber incidenata.

Da bi se ovaj problem rešio, uprava kompanije mora da prestane da ignoriše realnost na radnom mestu. Prvi korak je detaljno skeniranje mreže kako bi se utvrdilo koje sisteme zaposleni najviše koriste. Umesto potpunih zabrana, bezbednosni timovi treba da ponude radnicima zvanično odobrene i potpuno izolovane alternative.

Kada kompanija obezbedi sopstvenu zatvorenu infrastrukturu, podaci više ne mogu da iscure van lokalne računarske mreže. Takođe, uvođenje jasnih pravila o klasifikaciji podataka pomaže radnicima da znaju šta smeju da dele. Edukacija o bezbednosti postaje najvažnije oružje u borbi protiv ove moderne pretnje iz senke.

Primeri velikih svetskih kompanija koje su pretrpele stravičnu štetu

• Samsung (Katastrofa u sektoru poluprovodnika): Inženjeri ove južnokorejske kompanije su u tri navrata ubacili strogo poverljivi izvorni kod novog softvera i beleške sa tajnih sastanaka u ChatGPT kako bi im program pomogao da isprave greške. Ti podaci su istog trenutka postali deo globalne baze podataka, zbog čega je Samsung hitno zabranio upotrebu generativne inteligencije na svim službenim uređajima.
• Apple (Preventivni strah od senke): Tehnološki gigant iz Kupertina je među prvima uočio da zaposleni masovno koriste eksterne alate iz senke za pisanje kodova. U strahu da njihovi strogo čuvani planovi za nove uređaje i operativne sisteme ne procure u javnost pre vremena, kompanija je uvela radikalne i stroge interne zabrane.
• Velike svetske banke (Milionske kazne): Finansijski giganti poput kompanija JPMorgan Chase, Citigroup i Goldman Sachs kompletno su blokirali pristup ovim alatima na radnom mestu. Razlog je bio opravdani strah da bi radnici unoseći finansijske izveštaje klijenata prekršili stroge zakone o bankarskoj tajni, što bi banke koštalo milijarde dolara u sudskim procesima.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.