Skygge-AI truer bedriftssikkerheten

Etterhvert som AI-teknologien utvikler seg raskt, står organisasjoner overfor en ny framvoksende sikkerhetstrussel: skygge AI-apper. Disse uautoriserte applikasjonene, utviklet av ansatte uten IT- eller sikkerhetsoversikt, sprer seg over selskapene og går ofte ubemerket, som fremhevet i en nylig VentureBeat artikkel.

VentureBeat forklarer at selv om mange av disse appene ikke er bevisst skadelige, utgjør de betydelige risikoer for bedriftsnettverk, alt fra datainnbrudd til brudd på etterlevelse.

Skygge AI-apper er ofte bygget av ansatte som ønsker å automatisere rutineoppgaver eller effektivisere operasjoner, ved hjelp av AI-modeller trent på bedriftens proprietære data.

Disse appene, som ofte er avhengige av generative AI-verktøy som OpenAI’s ChatGPT eller Google Gemini, mangler viktige sikkerhetsmekanismer, noe som gjør dem svært sårbare for sikkerhetstrusler.

Ifølge Itamar Golan, administrerende direktør for Prompt Security, «om lag 40% av disse standardiserer til trening på alle data du gir dem, noe som betyr at din intellektuelle eiendom kan bli en del av deres modeller,» som rapportert av VentureBeat.

Appellen med skygge AI er tydelig. Ansatte, under økende press for å møte stramme tidsfrister og håndtere komplekse arbeidsmengder, vender seg til disse verktøyene for å øke produktiviteten.

Vineet Arora, CTO hos WinWire, bemerker til VentureBeats, «Avdelinger hopper på usanksjonerte AI-løsninger fordi de umiddelbare fordelene er for fristende til å ignorere.» Imidlertid er risikoene disse verktøyene introduserer dype.

Golan sammenligner skygge AI med prestasjonsfremmende stoffer i sport, og sier, «Det er som doping i Tour de France. Folk ønsker en fordel uten å innse de langsiktige konsekvensene,» slik det er rapportert av VentureBeats.

Til tross for deres fordeler, utsetter skygge AI-apper organisasjoner for en rekke sårbarheter, inkludert utilsiktet datalekkasjer og prompte injeksjonsangrep som tradisjonelle sikkerhetstiltak ikke kan oppdage.

Omfanget av problemet er svimlende. Golan avslører for VentureBeats at selskapet hans katalogiserer 50 nye AI-apper hver dag, med over 12 000 som for tiden er i bruk. “Du kan ikke stoppe en tsunami, men du kan bygge en båt,” råder Golan, og peker på det faktum at mange organisasjoner er tatt på senga av omfanget av skygge AI-bruk innenfor sine nettverk.

Én finansinstitusjon, for eksempel, oppdaget 65 uautoriserte AI-verktøy under en 10-dagers revisjon, mye mer enn de mindre enn 10 verktøyene deres sikkerhetsteam hadde forventet, som rapportert av VentureBeats.

Farene med skygge AI er spesielt akutte for regulerte sektorer. Når proprietære data mates inn i en offentlig AI-modell, blir det vanskelig å kontrollere, noe som fører til potensielle samsvarsspørsmål.

Golan advarer, «Den kommende EU AI-loven kunne overgå selv GDPR i bøter,» mens Arora understreker trusselen om datalekkasje og de straffene organisasjoner kan møte for å ikke beskytte sensitiv informasjon, som rapportert av VentureBeats.

For å takle det økende problemet med skygge AI, anbefaler eksperter en flerdimensjonal tilnærming. Arora foreslår at organisasjoner oppretter sentraliserte AI-styringsstrukturer, gjennomfører regelmessige revisjoner, og iverksetter AI-bevisste sikkerhetskontroller som kan oppdage AI-drevne utnyttelser.

I tillegg bør bedrifter gi ansatte forhåndsgodkjente AI-verktøy og tydelige brukspolicyer for å redusere fristelsen til å bruke ikke-godkjente løsninger.