Svaki put kad zaposleni ubaci interni dokument, deo koda ili poslovnu strategiju u AI alat, kompanija potencijalno gubi kontrolu nad tim podacima. Upravo taj fenomen, poznat kao Shadow AI, postaje jedan od najbrže rastućih bezbednosnih izazova u savremenom poslovanju. Hajde da vidimo šta je Shadow AI I zašto je toliko opasan…
Zašto je ovaj fenomen opasniji nego što mislite
Dok kompanije definišu strategije za digitalnu transformaciju, zaposleni često samoinicijativno koriste AI alate u svakodnevnom radu. To je često bez znanja i odobrenja IT sektora. Kada zaposleni izvrše upload internih dokumenata, finansijskih izveštaja ili delova izvornog koda u javne AI alate, ti podaci prestaju da budu pod potpunom kontrolom kompanije.
„Problem nastaje onog trenutka kada podaci napuste kontrolisano okruženje kompanije. Tad više ne postoji uvid gde se podaci nalaze, kako se obrađuju i ko im može pristupiti”, ističu PULSEC stručnjaci. „Svi podaci uneti u alate ChatGPT, Claude ili Gemini obrađuju se i skladište na infrastrukturi provajdera. Često završavaju na serverima u različitim jurisdikcijama, što dodatno komplikuje pitanje kontrole nad tim informacijama”.
U praksi se sve češće detektuju upravo ovakvi obrasci ponašanja: zaposleni koriste AI kako bi ubrzali svakodnevni rad, bilo da skraćuju interne izveštaje ili traže pomoć u rešavanju tehničkih izazova. „Treba biti svestan činjenice da internet pamti – uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje „incognito” prozora u brauzeru ne spašava stvar”, navode stručnjaci iz kompanije PULSEC.
Iluzija privatnosti
Mnogi korisnici veruju da aktiviranjem opcija za privatnost ili isključivanjem treniranja AI modela postaju potpuno zaštićeni. Ipak, detaljna analiza uslova korišćenja pokazuje da provajderi zadržavaju određena prava nad podacima. To uključuje njihovo čuvanje i potencijalnu buduću upotrebu. Čak i kod komercijalnih enterprise verzija, određeni nivoi obrade i zadržavanja metapodataka ostaju prisutni. Zbog toga nijedna opcija nije u potpunosti bez rizika.
Kako prevazići Shadow AI problem
PULSEC savetuje kompanijama da proaktivno upravljaju rizicima. Sve kompanije mogu da slede neke od ovih koraka ili sve.
- Definišite politiku upotrebe. Jasno propisivanje koji su AI alati dozvoljeni i u koje svrhe. I to uz striktnu zabranu unošenja poverljivih informacija kao što su lozinke ili podaci o klijentima
- Klasifikacija podataka. Uvedite sistem podele na Public, Internal i Confidential podatke. Pritom je za potonju kategoriju korišćenje AI servisa strogo zabranjeno
- Ljudska verifikacija kao standard. Nijedan tekst ili tehnička dokumentacija generisani uz pomoć AI ne smeju napustiti kompaniju bez stručne ljudske verifikacije
- Edukacija zaposlenih. Redovne obuke o opasnostima Shadow AI-ja i primerima iz prakse pomažu u izgradnji kulture digitalne odgovornosti i
- Princip najmanjih privilegija. Pristup naprednim AI alatima treba da bude limitiran potrebama radnog mesta.
Potpuna zabrana AI alata u praksi često ne daje rezultat. Zaposleni će, naročito ako vide da im tehnologija olakšava posao, pronaći način da je koriste. Zato je efikasniji pristup da kompanije uvedu jasna pravila, edukuju zaposlene i definišu odobrene alate.
Za organizacije koje zahtevaju maksimalnu sigurnost, PULSEC sugeriše korišćenje izolovane cloud infrastrukture ili lokalno pokretanje AI modela unutar sopstvene mreže, čime se eliminiše slanje podataka eksternim servisima.
Shadow AI postaje jedan od najvažnijih izazova savremenog poslovanja, upravo zato što ne dolazi spolja, klasičnim hakerskim napadom, već iznutra. Dolazi kroz svakodnevne navike zaposlenih koji žele da budu brži i efikasniji. Zato se borba protiv ovog rizika ne dobija samo tehnologijom. Dobija se kombinacijom jasnih pravila, edukacije, tehničkih kontrola i kulture odgovornog korišćenja podataka.
