Articol actualizat pe 29 June 2025
În lumea afacerilor, utilizarea neautorizată a ChatGPT și a altor unelte AI generative creează un punct vulnerabil din ce în ce mai mare în ceea ce privește securitatea cibernetică. Pe măsură ce angajații adoptă aceste tehnologii fără supraveghere corespunzătoare, ei ar putea expune involuntar date sensibile – însă mulți manageri subestimează încă riscul și amână implementarea unor apărări de la terți.
Această utilizare neautorizată a tehnologiilor, cunoscută sub denumirea de IT umbra, a reprezentat de mult timp provocări de securitate. Acum, contrapartida ei condusă de AI – shadow AI – generează noi îngrijorări printre experții în securitate cibernetică.
Melissa Ruzzi, director de AI la firma de securitate SaaS AppOmni, spune că AI poate analiza și extrage mult mai multe informații din date, făcându-l mai periculos decât IT-ul umbra tradițional.
AI Escalates Riscurile Shadow IT
Utilizarea neautorizată a uneltelor AI de către angajați prezintă riscuri de securitate unice. Dacă modelele AI accesează date sensibile ale unei organizații pentru antrenarea modelelor sau cercetarea internă, aceste informații pot deveni publice în mod neintenționat. Actorii malefici pot obține, de asemenea, detalii private prin vulnerabilitățile modelelor.
Ruzzi a remarcat că angajații se confruntă cu diverse forme de shadow AI, inclusiv unelte GenAI, transcrieri de întâlniri alimentate de AI, asistenți la codificare, roboți de suport pentru clienți, motoare de vizualizare a datelor și caracteristici AI în cadrul sistemelor CRM.
Ruzzi a subliniat faptul că lipsa de verificare a securității face ca shadow AI să fie deosebit de periculos, deoarece unele modele pot utiliza datele companiei fără protecții corespunzătoare, pot să nu respecte reglementările și să stocheze informațiile la niveluri de securitate insuficiente.
Care reprezintă un Risc Mai Mare: GenAI sau AI Încorporat?
Ruzzi a adăugat că shadow AI care provine din uneltele GenAI neautorizate prezintă cea mai mare amenințare imediată și semnificativă la adresa securității. Adesea lipsește supravegherea, protocoalele de securitate și guvernanța.
Cu toate acestea, identificarea și gestionarea eficientă a acestei shadow AI “ascunse” sub orice formă are implicații potențiale asupra securității. Organizațiile ar trebui să investească într-o unealtă de securitate puternică, precum ChatGPT, care poate depăși detectarea utilizării directe a chatbot-urilor AI.
“AI poate ține pasul cu lansările constante de noi unelte AI și știrile despre încălcările de securitate. Pentru a adăuga putere la detectare, securitatea nu ar trebui să se bazeze doar pe reguli statice care se pot demoda rapid”, a recomandat ea.
Riscuri GenAI Ascunse în Aplicațiile SaaS
Ruzzi a evidențiat riscurile create de uneltele AI încorporate în aplicațiile SaaS aprobate. Aceste unelte AI ascunse sunt necunoscute sau neaprobate pentru utilizare de către companie, chiar dacă aplicația SaaS în sine este aprobată.
“Caracteristicile AI încorporate în aplicațiile SaaS aprobate impun o provocare specială care poate fi detectată doar de unelte puternice de securitate SaaS care analizează în profunzime configurațiile SaaS pentru a descoperi shadow AI”, a spus ea.
Uneltele de securitate tradiționale, cum ar fi brokerii de securitate pentru accesul la cloud (CASB), pot descoperi doar utilizarea aplicațiilor SaaS și utilizarea directă a AI, inclusiv uneltele precum ChatGPT. Acestea sunt puncte de aplicare a politicilor de securitate între utilizatorii întreprinderii și furnizorii de servicii cloud.
Riscuri de Conformitate Legate de Shadow AI
După cum s-a menționat anterior, shadow AI poate duce la încălcări de conformitate referitoare la informațiile personale. Unele cadre reglementare care afectează organizațiile includ Regulamentul General privind Protecția Datelor (GDPR) al Uniunii Europene, care guvernează prelucrarea datelor personale. În Statele Unite, Legea privind Confidențialitatea Consumatorului din California / Legea privind Drepturile la Confidențialitate din California (CCPA/CPRA) este similară cu GDPR, dar pentru rezidenții din California.
Shadow AI poate încălca principiile GDPR, inclusiv:
– Minimizarea datelor – colectarea unor date mai multe decât este necesar
– Limitarea scopului – folosirea datelor pentru scopuri neintenționate
– Securitatea datelor – eșuarea în protejarea datelor corespunzător
Organizațiile sunt responsabile pentru toate activitățile de prelucrare a datelor, inclusiv cele ale AI neautorizate.
Pentru companiile care gestionează date de sănătate sau furnizează servicii legate de sănătate în SUA, Legea privind Portabilitatea și Responsabilitatea Asigurării de Sănătate (HIPAA) este cea mai importantă în protejarea informațiilor sensibile despre sănătatea pacienților.
“Shadow AI poate duce la încălcări ale drepturilor consumatorilor de a ști, de a accesa și șterge datele lor și de a renunța la vânzarea informațiilor lor personale. Dacă shadow AI utilizează date personale fără informații și consimțământ adecvat, încalcă regulile CCPA/CPRA”, a spus Ruzzi.
“Dacă sistemele shadow AI accesează, procesează sau împărtășesc informații de sănătate protejate (PHI) fără protecții corespunzătoare, autorizări sau acorduri cu parteneri de afaceri, constituie o încălcare a HIPAA, care poate duce la procese costisitoare.”Multe alte jurisdicții au legi privind protecția datelor, cum ar fi LGPD (Brazilia) și PIPEDA (Canada), precum și diverse legi statale din SUA. Organizațiile trebuie să se asigure că shadow AI respectă toate reglementările aplicabile privind protecția datelor, ținând cont atât de locațiile lor proprii, cât și de cele ale clienților lor.
Provocări de Securitate Viitoare cu Shadow AI
Evitarea conflictelor legale este esențială. Ruzzi a îndemnat organizațiile să evalueze și să reducă riscurile generate de uneltele AI neverificate prin testarea vulnerabilităților și stabilirea unor linii directoare clare cu privire la uneltele autorizate.
De asemenea, ea a recomandat să se educe angajații cu privire la amenințările shadow AI și să se asigure că aceștia au acces la soluții de nivel întreprindere verificate.
Pe măsură ce AI evoluează și devine mai încorporată în aplicații, shadow AI va introduce riscuri de securitate mai complexe. Pentru a rămâne în frunte, organizațiile au nevoie de strategii pe termen lung susținute de unelte de securitate SaaS care pot detecta activitățile AI în aplicații, să evalueze riscurile cu exactitate și să conțină amenințările în stadiile incipiente.
“Realitatea shadow AI va fi prezentă mai mult ca niciodată. Cea mai bună strategie aici este formarea angajaților și monitorizarea utilizării AI”, a concluzionat ea.
FAQ:
1. Care sunt riscurile asociate cu utilizarea neautorizată a uneltelor AI generative?
– Riscurile includ expunerea datelor sensibile, posibilitatea de a deveni publice în mod neintenționat și vulnerabilități ale modelelor care pot fi exploatate de actorii malefici.
2. Cum poate organizațiile proteja împotriva riscurilor AI umbrei?
– Organizațiile pot investi în unelte de securitate puternice, precum ChatGPT, pentru a detecta și gestiona utilizarea neautorizată a AI.
3. Care sunt regulile de conformitate afectate de shadow AI?
– Regulile de conformitate pot include GDPR, CCPA/CPRA și HIPAA, care guvernează prelucrarea datelor personale și protejarea informațiilor sensibile.
4. Cum pot organizațiile evita încălcările legale legate de shadow AI?
– Prin evaluarea și reducerea riscurilor de securitate, educația angajaților cu privire la amenințările shadow AI și utilizarea de soluții de securitate de nivel întreprindere.
5. Care este cel mai important aspect în gestionarea riscurilor AI umbrei?
– Stabilirea unor
Sursa: Tech News World
