Upotreba AI alata od strane zaposlenih bez nadzora povećava ranjivost podataka i zahteva nove mere zaštite
Kompanija PULSEC ističe da fenomen Shadow AI postaje jedan od najbrže rastućih bezbednosnih izazova u savremenom poslovanju, jer svaki put kada zaposleni unesu interni dokument, deo koda ili poslovnu strategiju u AI alat, kompanija može izgubiti kontrolu nad tim podacima. Ovaj rizik je posebno izražen kada zaposleni bez znanja IT sektora koriste alate poput ChatGPT, Claude ili Gemini, što dovodi do toga da podaci napuštaju kontrolisano okruženje i završavaju na serverima u različitim jurisdikcijama.
Stručnjaci iz PULSEC-a upozoravaju da u praksi sve češće dolazi do ovakvog ponašanja zaposlenih, koji žele da ubrzaju rad koristeći AI alate za skraćivanje izveštaja ili rešavanje tehničkih problema. Kako navode, “internet pamti – uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje ‘incognito’ prozora u brauzeru ne spašava stvar”.
Mnogi korisnici veruju da su zaštićeni aktiviranjem opcija za privatnost ili isključivanjem treniranja AI modela, ali analiza uslova korišćenja pokazuje da provajderi zadržavaju određena prava nad podacima, uključujući njihovo čuvanje i potencijalnu buduću upotrebu. Čak i kod komercijalnih enterprise verzija, izvesni nivoi obrade i zadržavanja metapodataka ostaju prisutni, što znači da nijedna opcija nije potpuno bez rizika.
PULSEC savetuje kompanijama da primene sledeće mere: jasno definisanje politike upotrebe AI alata sa zabranom unošenja poverljivih informacija, uvođenje klasifikacije podataka na Public, Internal i Confidential, gde je za poverljive podatke upotreba AI servisa zabranjena, obaveznu ljudsku verifikaciju svih AI generisanih dokumenata, redovne obuke zaposlenih o rizicima i princip najmanjih privilegija pri pristupu AI alatima. Potpuna zabrana AI alata se ne pokazuje efikasnom, pa se preporučuje kombinacija edukacije, jasnih pravila i tehničke kontrole.
Za organizacije sa visokim zahtevima za sigurnošću, PULSEC preporučuje korišćenje izolovane cloud infrastrukture ili lokalno pokretanje AI modela u okviru sopstvene mreže, čime se izbegava slanje podataka eksternim provajderima. Shadow AI se smatra jednim od ključnih bezbednosnih izazova savremenih kompanija, jer dolazi iznutra, iz svakodnevnih navika zaposlenih, a rešenje zahteva kombinaciju pravila, edukacije i odgovorne kulture upravljanja podacima.
