Shadow AI afslører en større fejl i AI-styring

I årevis er indre risiko blevet fremstillet omkring værst-case-scenarier: ondsindede medarbejdere, stjålne data og skader, der blev opdaget efter faktum. Denne fremstilling var altid ufuldstændig. I AI-alderen bliver den aktivt unyttig.

De fleste indre risici begynder ikke med ondsind. De begynder med rutinearbejde: sammenfatning af et dokument, besvarelse af en kunde, accelerering af en arbejdsproces eller udskibning af kode hurtigere. Ofte involverer disse daglige beslutninger nu AI.

Det er derfor, shadow AI er vigtig. Broadt defineret er shadow AI brugen af AI-værktøjer, -agenter eller -automatiseringer udenfor godkendt virksomhedsoversigt. I de fleste tilfælde prøver medarbejderne ikke at undgå politik. De prøver at få deres arbejde gjort. Det virkelige problem er, at styringen ikke har holdt trit med, hvordan arbejdet ændrer sig.

Denne lukke er nu målbart. Nyt Ponemon-forskning fandt, at 92% af organisationer siger, at generativ AI har ændret, hvordan medarbejdere får adgang til og deler information, men kun 18% har fuldt ud integreret AI-styring i indre risikoprogrammer. AI er allerede integreret i dagligt arbejde. Oversigt er stadig i gang med at indhente.

Shadow AI er ikke ét problem

En af de største fejl, organisationer begår, er at behandle shadow AI som ét enkelt, ensartet risiko. Det er det ikke.

Der er en meningsfuld forskel på at bruge AI til at sammenfatte offentlig forskning, indsætte interne kontrakter i en ikke-godkendt assistent og tillade en AI-agent at hente data eller udføre handlinger på tværs af virksomhedssystemer. Risikoen ændrer sig afhængigt af datans følsomhed, autonomiens niveau og den myndighed, der er givet til systemet.

Det er derfor, blanketforbud sjældent virker. De tenderer til at drive adfærd længere ud af syne uden at adressere de betingelser, der gjorde adfærden tiltrækkende i første omgang. Men overordnede politikker er ikke bedre. Hvis alt er tilladt, bliver styringen kun en papirøvelse.