AI şüphesiz bir oyun değiştiricidir. Bir McKinsey anketine göre, katılımcıların% 78’i AI’yi en az bir iş sürecine yerleştirdi, 2023’te% 55’ten bir sıçrama. Bilgi işçileri için AI zaman kazandırıyor, işi kolaylaştırıyor ve verimliliği artırıyor. Bu işçilerin çoğu (%46) yasaklanmışsa vazgeçmez. Bununla birlikte, çalışanlar AI’yı şeffaf olmayan şekillerde kullanırlarsa, potansiyel olarak veri güvenliği önlemlerini zayıflatabilir ve şirketi yasal risklere maruz bırakabilir.
Başka bir anket, güvenlik politikalarının uygulanmasına rağmen kuruluşların kurumsal AI kullanımının% 89’unun farkında olmadığını buldu. Ayrıca, işle ilgili amaçlar için AI kullanan çalışanların üçte birinden fazlası (%38), işverenlerinin rızası olmadan AI uygulamalarıyla hassas verileri paylaşmayı kabul etmektedir. Bunların hepsi gölge AI riskinin örneklerini temsil eder.
Gölge AI, çalışanlar veya ekipler verimliliği hızlandırmaya veya rutin görevleri otomatikleştirmeye çalıştıklarında, AI araçlarını veya veri yönetişimi onayı olmadan tanıtarak ortaya çıkar. Sonuç, veri maruziyeti, uyumluluk sorunları ve içeriden gelen tehditler de dahil olmak üzere ciddi güvenlik risklerine tabi tutulabilecek bir iş ortamıdır.
Gölge AI, kolaylık, zorunluluk ve örgütsel yapay zeka için düzenleyici gözetim eksikliğinin bir kombinasyonu ile yönlendirilir. Çalışanlar genellikle resmi BT politikalarını çok kısıtlayıcı, yavaş veya modası geçmiş olarak görüyorlar, bu da onları anında verimlilik kazançları sunan niteliksiz AI çözümleri aramaya yönlendiriyorlar. Shadow AI’nın çoğalmasının nedeni, çoğu AI chatbot’un serbestçe veya SaaS modeli olarak sunulmasıdır. Bulut barındıran AI uygulamalarına uzaktan erişilebilir ve çalışanlar bu uygulamaları eğitim veya BT yardımı olmadan kolayca kullanmayı öğrenebilir.
Çoğu zaman, Shadow AI ekiplerin sorunlara gerçek zamanlı olarak yanıt vermelerini sağlar. Rekabetçiliği artırmak veya operasyonel verimlilikleri artırmak için AI kullanmak isteyen çalışanlar, ön ofis bürokrasisi ve içsel olarak sert kontrolün, onayları caydır ya da engelleyeceğine ve yeniliği bastıracağına inanmaktadır.
AI kullanımı, yerleşik güvenlik politikaları ve şeffaflık tarafından yeterince yönetilmiyor veya uygulanmıyorsa, yasadışı uygulamaları aşağıdakiler dahil olmak üzere çeşitli organizasyonel riskler getirebilir:
Veri sızıntısı: Yapay zekanın onaylanmamış kullanımı, çalışanların hassas bilgileri kamu AI modelleriyle yanlışlıkla paylaşmalarına izin verebilir. Araçlar içinde veri yönetişimi veya şifreleme olmadan, kurumsal casusluğa neden olabilecek gizli ve tescilli bilgiler ortaya çıkar. Bu, İngiltere işletmelerinin% 20’sinin, çalışanların üretken yapay zekanın kötüye kullanılması nedeniyle veri sızıntısından muzdarip olduğunu bildiren son zamanlarda yapılan bir CISO araştırmasında kanıtlanmıştır.
Uyumsuzluk riskleri: Birçok endüstrinin veri kullanımı, gizlilik ve işleme konusunda katı görevleri vardır. Uygun olmayan AI araçları yoluyla uyumlu olmayan veri işleme potansiyel olarak yasal cezalar veya yaptırımlarla sonuçlanarak itibara zarar verebilir.
Siber güvenlik riskleri: BT ekipleri, çalışanlar tarafından resmi protokoller dışında kullanılan AI araçlarının görünürlüğünü, kontrolünü ve yönetişimini korumada zorluklarla karşı karşıyadır. Bu, güvenlik kör noktalarına yol açar ve iletilen verileri izleme ve kimin erişebileceğini belirleme yeteneklerini engeller. Onaylanmamış AI araçları genellikle veri depolama yerlerinin bilinmeyebileceği veya düzenlenemeyeceği üçüncü taraf bulut altyapısında çalışır. Güvenlik protokollerini atlayan çalışanlar, dış tehditlerin teminatsız AI etkileşimlerinden yararlandığı taklit edilmemiş saldırı yüzeyleri oluşturabilir.
İçeriden Tehditler: Çalışanlar yetkisiz AI araçları kullandıklarında, bilmeden hassas bilgileri veya fikri mülkiyeti kullanıcı girdisini depolayan ve analiz eden AI platformlarına maruz bırakabilirler. Bu, bilgi sızıntısı ve yetkisiz veri depolama riskini artırır. Üçüncü taraf AI satıcıları ve rakipleri bu bilgileri kesebilir veya çalabilir ve kuruluşun rekabet avantajını tehlikeye atabilir.
Operasyonel Riskler: Doğrulanmamış AI çıktılarının kullanımı, kuruluşun karar verme kalitesini tehlikeye atabilir. Yeterli yönetişim olmadan, AI modellerinin çıktıları, önyargılı verilerin, bir aşırı fit modelinin ve model sürüklenmesinin sonucu olabilir, bu da kuruluşun amacından veya etik kurallarından sapan aldatıcı veya güvenilmez çıktılara neden olabilir.
- Kabul edilebilir AI kullanım politikası geliştirin: Şirketinizin AI uygulanması için beklentilerini özetleyen kısa ve takip edilmesi basit politikalar oluşturun. Hangi araçlara izin verilebileceğini, nasıl uygulanacağını ve bunlardan kimin sorumlu olduğunu belirtin. Politika ayrıca veri kullanımı yönergeleri oluşturmalı, uyum sağlamalı ve AI’nın kötüye kullanılması için cezalar içermelidir. Politikaların zamanında ve rutin bildirimi, çalışanların eğitilmesine ve politikaları takip etmeye, karışıklığı ve belirsizliği azaltmaya yardımcı olur.
- Net Veri İşleme Yönergeleri ayarlayın: Kuruluşlar, çalışanları AI çözümlerinin nasıl çalıştığını ve verileri nasıl işledikleri konusunda duyarlı hale getirmelidir. Kullanıcıların gizli, tescilli veya hassas verileri açık üretken AI araçlarına girmesini yasaklamak, şirket varlıklarına yetkisiz erişim riskini sınırlamaya yardımcı olabilir.
- AI eğitim ve öğretimine öncelik verin: Eğitim programları, AI kullanma risklerini ve belirli araçları veya çözümleri kullanmak için genel dersleri içermelidir. Yetkisiz AI araçlarının kullanılmasının sonuçları konusunda farkındalık artan, şirketlerin bir sorumluluk kültürü geliştirmesini sağlayacaktır. Bu, çalışanların yeni başvurular yapmadan önce onaylanmış alternatifler aramasına veya BT departmanına danışmasına yol açacaktır.
- Güvenli bir AI kültürü oluşturun: Güçlü bir güvenlik kültürü oluşturmak güven, hesap verebilirlik ve yetkili AI benimseme yaratır. Kuruluşlar, AI güvenliğini ortak bir sorumluluk olarak sürdürmelidir, böylece çalışanlar resmi prosedürleri atlatmak yerine yetkisiz AI kullanımını bildirmeye teşvik edilir. Açık iletişim, çalışanların AI eğitimi ve önerileri için BT’ye yaklaşmaya daha eğilimli hissetmelerini sağlayarak kullanılabilirliği güvenlik ile dengelemeye yardımcı olur.
Shadow AI, çalışanlar işyeri verimliliği için gittikçe artan bir şekilde artan bir AI araçlarına yöneldikçe artan bir risk sunmaktadır. Konuştuğum bazı satıcılar ‘duvarlı bir bahçe’ yaklaşımı kullanıyor ve aslında kendi üretken AI uygulamalarını, tarihi virüs imzaları ve çalışanları, müşterileri ve en yakın ortakları tarafından üretilen veriler gibi güvenilir olduğunu düşündükleri yıllarca verileri kullanarak inşa ediyorlar. Büyük dil modelleri sadece eğitildikleri veriler kadar iyidir.
Amaç, AI kullanımını bastırmak değil, güvenli bir şekilde entegre etmek, kuruluşların güvenliğe öncelik verirken AI’nın faydalarından yararlanmasına izin vermektir.
