Tankeledere
GenAI’s brede skygge sætter din virksomhedsdata i fare
Generative kunstig intelligens (GenAI)-løsninger er ikke længere noget, som virksomhedens medarbejdere bare “tester”. De bliver adopteret og integreret i det daglige arbejde i stigende omfang. Ifølge en rapport har 40% af organisationerne rapporteret om brug af GenAI i daglige arbejdsprocesser over det sidste år, og mere end 80% har rapporteret, at brugerne interagerer med disse værktøjer ugentligt.
Men mens AI-adopteringsraten stiger, holder synlighed og kontrol ikke pace. Da GenAI integreres i e-mail-postkasser, kodeeditorer, samarbejdssuiter, virtuelle assistenter og mere, får det adgang til stadig større mængder følsomme data gennem prompts, uploads og copy-paste-handlinger – alt dette bypasser sandsynligvis traditionelle kontroller.
Resultatet er en voksende mængde skyggedata: forretningskritisk information, der flyder over SaaS-, cloud- og on-premises-tjenester med begrænsede sikkerhedsforanstaltninger for synlighed, styring eller opbevaring. For at innovere på en bæredygtig og sikker måde med AI-løsninger er det kritisk, at moderne virksomheder forstår denne adopteringskontrol-lucke og lærer at håndtere skyggedata, før det undgår deres kontrol.
GenAI’s brede, uigennemskuelige skygge
Det centrale problem med skyggedata skyldes en mangel på kontekst. Hvor skyg-IT-udfordringer er begrænset til filer i ro, godkendte applikationer og kendte udgangspunkter, er grænserne for AI-drevne skyggedata langt mindre fast defineret. Hold kan ikke bare opdage og sikre ukendte værktøjer; de skal også overvåge AI-modeller, der er integreret i godkendte applikationer, såsom e-mail-platforme, cloud-lagringssolutions og CRM-systemer. Dette undergraver de “sikre” løsninger, de har arbejdet med og overvåget, og udvider deres trusselslandskab.
GenAI ændrer også, hvordan følsomme data flytter sig gennem virksomhedens arkitektur. I modsætning til de applikations- og filbaserede arbejdsprocesser i traditionelle SaaS-løsninger opererer det på en kontinuerlig, konversationel lag, der opmuntrer brugere til at dele kontekst for at opnå bedre resultater. Dette fører til, at brugere udfører rutinemæssige copy-paste-handlinger og uploads, der kan inkludere stykker af kildekode, kunderekorder, interne dokumenter og mere, alt dette mangler den rette data-delingsstyring for deres respektive følsomhedsniveauer.
Hvad mere er, følger GenAI-adopteringsmønsterne ofte ikke et rent, centraliseret mønster. Ingen to virksomhedsdatabrugere er helt ens, og deres jagt på optimerede arbejdsprocesser og tidssparende automatisering kan føre dem til at udnytte mange AI-løsninger, der igen skaber endnu mere fragmenterede dataveje. Gange dette med hele virksomhedens arbejdsstyrke, og skyggen bliver utrolig bred.
Hvorfor blokering af GenAI ikke virker
Konfronteret med disse trusler er mange organisationers refleks at blokere – eller på anden vis tæt begrænse – adgangen til GenAI-værktøjer. Selv om dette er en forståelig tilgang, er det ofte ikke så effektivt, som virksomheden måske havde håbet. Når GenAI-genen er ud af flasken, så at sige, er det utrolig svært at få den tilbage i flasken. Mange medarbejdere bruger disse værktøjer til at strømline deres daglige arbejdsprocesser, hvilket indarbejder GenAI i deres opgaveplanlægning og -udførelse.
Når adgangen begrænses fra toppen, er det ikke sandsynligt, at brugen stopper; den vil blot flytte ud af syne. Hvis medarbejderne skifter over til personlige eller ikke-administrerede konti, mister virksomhederne al synlighed i, hvilke data der deles og opbevares af applikationerne. I virkeligheden fandt en rapport, at 44% af medarbejderne allerede havde brugt AI på måder, der strider mod politikker og retningslinjer, mens en anden undersøgelse rapporterede, at 75% af medarbejderne, der bruger ikke-godkendte AI-værktøjer, indrømmede at dele potentielt følsomme oplysninger med dem. Når velmenende medarbejdere uvidende omgår sikkerhedsforanstaltninger og skaber muligheder for, at følsomme data forlader regulerede miljøer og kommer ind i systemer med uklare kontroller, skaber det betydelig insider-risiko, der kan koste en organisation i gennemsnit 19,5 millioner dollars årligt. Ved at skubbe brugeraktiviteten længere ind i ikke-administrerede browsere, personlige cloud-konti eller niche-AI-værktøjer skaber virksomhederne flere trusselsvektorer, som sikkerhedsteams måske aldrig ser.
På denne måde er skyggedata ikke kun et resultat af uforsvarlige medarbejdere med adgang til AI-værktøjer. Det er en strukturel konsekvens af GenAI’s tilgængelige design, efterspørgsel på kontekst og samlede ubredthed. Og indtil virksomheder kan genskabe synlighed i, hvordan og hvor deres skyggedata flyder, vil GenAI-adopteringsraten fortsætte med at overgå deres evne til at håndtere risikoen.
Eliminering af skyggedata med synlighed og beskyttelse
Selv om en komplet blokering af GenAI-løsninger ikke er sandsynlig at virke, kan virksomheder støtte AI-innovation, mens de afværger skyggedata-spredning, ved at udføre tre kerneaktioner:
1. Etabler end-to-end-synlighed
Virksomhederne har brug for at vide nøjagtig, hvad de har med at gøre, før de kan effektivt beskytte deres data-økosystemer. Dette begynder med at male et komplet billede af, hvilke GenAI-applikationer der bruges af deres medarbejdere, herunder dem, der er integreret i godkendte værktøjer. Det omfatter også typerne af data – finansielle, IP, PII, PHI eller andre regulerede oplysninger – der deles med disse applikationer, samt hvor data flytter sig over on-prem, SaaS- og cloud-netværk. Uden denne afgørende information er sikkerheds- og compliance-holdene efterladt til at styre antagelser i stedet for præcist, virkeligt medarbejderadfærd.
2. Anvend kontekstbevidste data-beskyttelsespolitikker
Synlighed alene er ikke tilstrækkeligt, hvis kontrollerne ikke kan tilpasse sig, hvordan GenAI bruges. Klassiske “tillad eller blok” -politikker er for stive til AI-arbejdsprocesser, der kræver kontinuerlig, konversationel dataudveksling. For at effektivt beskytte disse løsninger skal holdene oprette kontekstbevidste politikker, der vurderer brugere, data og destinationer i realtid. Dette gør det muligt at tage realistiske og proportionerede handlinger på brugeradfærd, blokering af risikable uploads, redigering af følsomme oplysninger, før de forlader miljøet, eller instruere medarbejdere til at prøve sikrere alternativer. Disse automatiserede sikkerhedsforanstaltninger kan integreres i daglige opgaver mere effektivt end fuld afbrydelse eller manuel indgriben, hvilket gør GenAI-brugen sikrere uden at hæmme produktiviteten.
3. Sikre konsistent politik-gennemførelse
Virksomhederne skal gennemføre en enkelt, konsistent sæt af data-beskyttelsespolitikker, uanset hvor arbejdet udføres, alt uden at tvinge holdene til at opgive værktøjer, de er afhængige af. De skal ikke “rip and replace” etablerede værktøjer, da dette ville forstyrre produktiviteten betydeligt. I stedet skal de etablere ensartede politikker, der følger data og brugere over cloud-lagring, samarbejdsplatforme, SaaS-applikationer og GenAI-assistenter. Denne konsistens vil reducere både risiko og friktion, hvilket tillader sikkerhedsholdene at undgå at styre fragmenterede kontroller og giver medarbejderne mulighed for at arbejde inden for forudsigelige rammer i stedet for at møde uventede forbud. I sidste ende vil en proaktiv og konsistent respons være langt mere effektiv end en reaktiv og fragmenteret.
Støtte til sikker og bæredygtig adoption
GenAI-værktøjer er blevet for hurtigt integreret i daglige arbejdsprocesser til, at organisationer kan behandle dem som en niche eller eksperimental risiko. De kan ikke ignoreres, og de kan heller ikke fjernes helt. I stedet skal virksomheder navigere en vej fremad, der tillader innovativ AI-brug, mens de undgår den skyggeagtige, uprotectede bevægelse af følsomme data over data-økosystemer. Succes vil ikke komme fra at undertrykke adoption, men fra at aktivere det på en sikker måde gennem kontinuerlig, kontekstbevidst og konsistent data-beskyttelse, uanset hvor deres data flyder.
