Neodobrena uporaba umetne inteligence med zaposlenimi, pogosto znana kot t. i. senčna umetna inteligenca, predstavlja vse večje varnostno tveganje za podjetja, zlasti v okoljih programske opreme kot storitve (SaaS). Varnostni strokovnjaki opozarjajo, da podjetja pogosto spregledajo obseg in naravo teh skritih tveganj.
Senčna umetna inteligenca pomeni uporabo orodij generativne umetne inteligence ali vgrajenih AI-funkcionalnosti brez odobritve ali vednosti IT-oddelkov. V številnih primerih gre za aplikacije, ki analizirajo občutljive podatke brez ustreznih zaščitnih ukrepov, kar lahko povzroči kršitve zakonodaje o varstvu podatkov.
Melissa Ruzzi, direktorica za umetno inteligenco pri podjetju AppOmni, ki se ukvarja z varnostjo SaaS, je za TechNewsWorld pojasnila, da ima umetna inteligenca pogosto širši dostop do podatkov kot tradicionalni senčni IT. „V večini primerov ima umetna inteligenca v primerjavi s senčnim IT-jem širši dostop do podatkov, kar pomeni večjo izpostavljenost ob morebitni kršitvi,“ je poudarila.
Ruzzi opozarja, da se senčna umetna inteligenca pojavlja v različnih oblikah – od pomočnikov pri kodiranju in klepetalnih robotov do funkcij znotraj CRM-sistemov. Varnostni pregled teh orodij je pogosto pomanjkljiv, nekateri modeli pa shranjujejo podatke brez zadostne zaščite in izven skladnosti z regulativnimi zahtevami.
Povečana nevarnost za kršitve zakonodaje
Ruzzi je za TNW izpostavila tudi tveganja, povezana z evropsko Splošno uredbo o varstvu podatkov (GDPR), kalifornijsko zakonodajo CCPA/CPRA ter ameriškim zakonom HIPAA, ki ščiti zdravstvene podatke. Neavtorizirana uporaba umetne inteligence lahko pomeni zbiranje prekomerne količine podatkov, njihovo uporabo v nasprotju z namenom in nezadostno varnost.
„Senčna umetna inteligenca lahko vodi do kršitev pravic potrošnikov, vključno s pravico do poznavanja in izbrisa podatkov,“ je dodala Ruzzi. Če so v ozadju zdravstveni podatki (PHI), lahko kršitve pomenijo tudi odgovornost po HIPAA in druge resne pravne posledice.
Tudi funkcije umetne inteligence, ki so vgrajene v sicer odobrene aplikacije SaaS, pogosto delujejo mimo nadzora. Ruzzi pojasnjuje, da jih tradicionalna varnostna orodja ne zaznajo, saj nimajo vpogleda v notranje konfiguracije teh sistemov.
Potrebne nove varnostne strategije
Podjetja pogosto uporabljajo posrednike za varnost dostopa do oblaka (CASB), ki pa zaznajo le osnovno uporabo SaaS-aplikacij in klepetalnih orodij, kot je ChatGPT. Naprednejše oblike senčne umetne inteligence ostajajo nevidne.
Po poročanju TechNewsWorld je ključni izziv v tem, da se senčna umetna inteligenca razvija hitreje kot varnostni ukrepi. Organizacije morajo zato vzpostaviti dolgoročne varnostne strategije, ki vključujejo zaznavanje AI-aktivnosti znotraj SaaS-aplikacij, ocenjevanje tveganj in zgodnje preprečevanje zlorab.
Ruzzi poudarja tudi pomen izobraževanja zaposlenih. „Najboljša strategija je usposabljanje in spremljanje uporabe umetne inteligence,“ je dejala.
Z naraščajočo integracijo AI-funkcionalnosti v poslovne aplikacije se bo po oceni strokovnjakov problematika senčne umetne inteligence le še poglabljala. Po poročanju TNW so podjetja, ki zanemarjajo varnostne ocene AI-orodij, izpostavljena pravnim tveganjem, izgubi podatkov in tudi finančnim sankcijam.
Foto: Pixabay/tungnguyen0905
