Угроза Shadow AI для корпоративной безопасности

По мере быстрого развития технологии ИИ, организации сталкиваются с новой угрозой безопасности: теневыми приложениями ИИ. Эти несанкционированные приложения, разработанные сотрудниками без контроля со стороны IT или службы безопасности, распространяются по компаниям и часто остаются незамеченными, как это подчеркнуто в недавней статье на VentureBeat.

VentureBeat объясняет, что, хотя многие из этих приложений не носят в себе злого умысла, они представляют существенную угрозу для корпоративных сетей, начиная от утечек данных до нарушений нормативных требований.

Приложения Shadow AI часто создаются сотрудниками, желающими автоматизировать рутинные задачи или оптимизировать операции, с помощью AI моделей, обученных на проприетарных данных компании.

Эти приложения, которые часто полагаются на генеративные AI инструменты, такие как ChatGPT от OpenAI или Google Gemini, не обладают необходимыми защитными мерами, что делает их весьма уязвимыми для угроз безопасности.

Согласно Итамару Голану, генеральному директору Prompt Security, «примерно 40% этих систем по умолчанию обучаются на любых данных, которые вы им подаете, то есть ваша интеллектуальная собственность может стать частью их моделей», как сообщает VentureBeat.

Привлекательность теневого ИИ ясна. Сотрудники, испытывающие все большее давление, чтобы уложиться в жесткие сроки и справиться со сложными задачами, обращаются к этим инструментам для повышения производительности.

Винит Арора, технический директор в WinWire, заметил в интервью для VentureBeats: «Отделы стремятся использовать несанкционированные решения на основе ИИ, поскольку немедленные преимущества слишком соблазнительны, чтобы их игнорировать». Однако, риски, которые эти инструменты вводят, глубоки.

Голан сравнивает теневой ИИ с применением допинга в спорте, говоря: «Это как допинг на Тур де Франс. Люди хотят получить преимущество, не осознавая долгосрочных последствий», как сообщает VentureBeats.

Несмотря на их преимущества, приложения теневого ИИ подвергают организации ряду уязвимостей, включая случайные утечки данных и быстрые атаки с инъекцией, которые традиционные меры безопасности не могут обнаружить.

Масштаб проблемы зашкаливает. Голан рассказывает VentureBeats, что его компания ежедневно регистрирует 50 новых приложений ИИ, в настоящее время их используется более 12 тысяч. «Вы не можете остановить цунами, но можете построить лодку», — советует Голан, указывая на то, что многие организации ослеплены масштабом использования теневого ИИ в их сетях.

Одна финансовая компания, например, обнаружила 65 неразрешенных AI-инструментов в течение 10-дневного аудита, что гораздо больше, чем менее 10 инструментов, которые их служба безопасности ожидала обнаружить, как сообщает VentureBeats.

Опасности теневого AI особенно остро ощущаются в регулируемых секторах. Как только собственные данные попадают в общедоступную AI-модель, становится сложно контролировать их использование, что может привести к возможным проблемам с соблюдением нормативов.

Голан предупреждает: «Предстоящий акт ЕС об искусственном интеллекте может превзойти даже GDPR по штрафам», в то время как Арора акцентирует внимание на угрозе утечки данных и штрафах, которым могут подвергнуться организации за неспособность защитить конфиденциальную информацию, как сообщает VentureBeats.

Чтобы справиться с растущей проблемой теневого ИИ, эксперты рекомендуют многогранную стратегию. Арора предлагает организациям создавать централизованные структуры управления ИИ, проводить регулярные аудиты и использовать системы безопасности, способные обнаруживать угрозы, созданные ИИ.

Кроме того, компаниям следует предоставлять сотрудникам заранее утвержденные инструменты искусственного интеллекта и четкие политики использования, чтобы уменьшить соблазн использовать неутвержденные решения.