Scoprire i Rischi Nascosti dell’Intelligenza Artificiale Ombra

Non ci è voluto molto perché le aziende sperimentassero l’uso diffuso dell’Intelligenza Artificiale Generativa (GenAI) tra i propri dipendenti. Tuttavia, quando si tratta del rischio GenAI, gli strumenti noti all’interno della tua organizzazione non sono quelli di cui dovresti preoccuparti di più. Sono quelli che non conosci che dovrebbero tenerti sveglio di notte.

Grazie alla rapida espansione degli strumenti GenAI come ChatGPT, Copilot, Gemini e Perplexity, insieme a molti assistenti SaaS specializzati, i dipendenti li adottano più velocemente di quanto i team di sicurezza possano tenere il passo. E questo utilizzo sta creando un punto cieco in rapida crescita noto come intelligenza artificiale ombra.

Se l’intelligenza artificiale ombra ti suona familiare, è perché prende in prestito il termine shadow IT, utilizzato per descrivere l’uso di strumenti e servizi non approvati sul posto di lavoro. Ma con l’intelligenza artificiale ombra, le poste in gioco potrebbero essere ancora più alte. Invece di un’app di condivisione di file rogue, l’intelligenza artificiale ombra può comportare la copia di dati sensibili in una richiesta di chatbot, ingeriti in modelli esterni e esposti inavvertitamente a sistemi di terze parti.

L’intelligenza artificiale ombra rappresenta una delle minacce meno visibili ma più urgenti nella sicurezza dei dati aziendali di oggi.

Cosa è l’Intelligenza Artificiale Ombra?

L’intelligenza artificiale ombra si riferisce all’uso non autorizzato di strumenti di intelligenza artificiale – in particolare GenAI – da parte dei dipendenti senza la conoscenza o l’approvazione dei team IT o di sicurezza dell’azienda. All’interno di un’organizzazione, gli utenti potrebbero essere un team di marketing che redige post di blog con modelli linguistici di grandi dimensioni (LLM), un team legale che esplora il linguaggio dei contratti negli strumenti di intelligenza artificiale o ingegneri che debuggano il codice con wrapper GPT gratuiti.

E mentre tale sperimentazione potrebbe sembrare innocua, ciò che viene condiviso con questi strumenti potrebbe non esserlo. Potrebbe trattarsi di slide di strategia confidenziale o informazioni sui clienti. Questi dati finiscono per essere esposti in prompt non crittografati, senza governance e senza modo di tenere traccia di cosa succede dopo.

Perché l’Intelligenza Artificiale Ombra è un Problema?

La questione dell’intelligenza artificiale ombra è problematica perché basta un dipendente con buone intenzioni e accesso a ChatGPT per creare un rischio per la sicurezza dei dati. A differenza di un hacker, l’intelligenza artificiale ombra non è maliziosa, ma ciò non la rende meno pericolosa. Ogni volta che vengono aggiunti dati sensibili a una richiesta, è potenzialmente esposto al modello, al fornitore e a chiunque abbia accesso ai log. Potrebbe anche riapparire in risposta a un’altra richiesta di un utente. E la cosa peggiore è che probabilmente non lo saprai mai.

Ecco cinque rischi chiave dell’intelligenza artificiale ombra di cui essere consapevoli.

1. Perdita di dati tramite input di prompt – I campi di prompt sono un buco nero per la sicurezza dei dati. Una volta che le informazioni sensibili, come il codice sorgente, i documenti di fusioni e acquisizioni e i dettagli salariali, vengono condivisi con uno strumento GenAI, sono fuori dal tuo controllo. Anche se il fornitore di intelligenza artificiale promette che i dati non vengono conservati, l’applicazione è incerta e ci sono poche garanzie riguardo alla formazione o alla telemetria.

2. Mancanza di controlli di accesso o log di audit – A differenza delle app aziendali autorizzate, la maggior parte degli strumenti GenAI non offre controlli di accesso basati su ruoli, autorizzazioni granulari o log di attività, il che significa che i team di sicurezza non hanno visibilità su chi ha accesso a quali dati, o quando. Se si verifica un incidente, non c’è nulla da indagare.

3. Violazioni della conformità – Molte delle innumerevoli regolamenti di conformità che le organizzazioni devono rispettare, prescrivono che i dati regolamentati devono essere archiviati, elaborati e accessibili in modi molto specifici. L’alimentazione di questi dati in un modello di intelligenza artificiale esterno può violare queste regole, esponendo la tua organizzazione al rischio legale, alle multe e alle dichiarazioni obbligatorie di violazione.

4. Circolazione di informazioni obsolete o pregiudizievoli – Gli strumenti GenAI spesso forniscono risposte con fiducia e le presentano come fatti, anche quando sono molto sbagliati. Fare affidamento su questi output per la messaggistica dei clienti, le sintesi di conformità o i rapporti finanziari senza convalida può portare a decisioni aziendali basate su dati inaccurati. Le allucinazioni si verificano regolarmente e non sembrano scomparire, anche mentre questi LLM diventano più intelligenti.

5. Intelligenza Artificiale Ombra che diventa dati ombra – Gli output degli strumenti GenAI, inclusi riassunti, bozzetti e risposte, vengono spesso salvati, condivisi e riutilizzati. Poiché sono stati creati al di fuori dei flussi di lavoro formali, questi file diventano dati ombra non tracciati, non classificati e non protetti.

Nella maggior parte dei casi, con l’intelligenza artificiale ombra, nessuno nella sicurezza ha idea di quando si verifica una violazione. Questi esempi del mondo reale potrebbero verificarsi nella tua organizzazione:

• Un giovane ingegnere software incolla codice proprietario in un debugger GPT gratuito.
• Un rappresentante di vendita alimenta l’elenco dei clienti dell’ultimo trimestre in uno strumento di scrittura di e-mail di intelligenza artificiale per generare offerte di upselling.
• Un responsabile delle risorse umane utilizza uno strumento di intelligenza artificiale esterno per analizzare le risposte ai sondaggi di soddisfazione dei dipendenti.
• Un analista finanziario chiede a ChatGPT di semplificare il linguaggio delle previsioni di ricavi sensibili per gli esecutivi.
• Un avvocato chiede a GenAI di riscrivere un contratto utilizzando una clausola confidenziale di un accordo con un cliente.

Perché gli Strumenti di Sicurezza Tradizionali non Rilevano l’Intelligenza Artificiale Ombra

I pile di sicurezza legacy non sono progettati per le minacce basate su prompt di GenAI. Ad esempio, un firewall non può bloccare gli strumenti di intelligenza artificiale basati sul browser. Un CASB non vedrà cosa viene digitato nelle finestre di chat. E un SIEM non allerta su chi ha appena chiesto a un LLM di riassumere proprietà intellettuale sensibile.

L’intelligenza artificiale ombra opera al livello dell’applicazione e vive nel browser, dove la visibilità è più debole. I dipendenti utilizzano anche i loro dispositivi personali. Non c’è plugin per fermarli, non c’è filigrana per tracciare quali dati sono stati esposti e non c’è allarme quando i dati superano il confine. E quando appare in un avviso DLP, se mai lo fa, i dati sono già esposti.

Come Identificare e Rimediare ai Rischi dell’Intelligenza Artificiale Ombra

Non puoi controllare ciò che non puoi vedere, e con GenAI la maggior parte delle organizzazioni è alla cieca. Gli strumenti tradizionali non sono stati progettati per comprendere le interazioni basate su prompt o tracciare cosa succede dopo che un utente fa clic su “Invio”.

Tuttavia, nuovi approcci di sicurezza guidati dall’intelligenza artificiale sono all’altezza della sfida per aiutare le organizzazioni a portare l’intelligenza artificiale ombra GenAI fuori dalle tenebre. Ecco alcune delle salvaguardie offerte dalle soluzioni avanzate:

Scoperta dell’intelligenza artificiale ombra – Questi strumenti identificano quali applicazioni GenAI stanno utilizzando gli utenti, anche quelle basate sul browser che bypassano i controlli tradizionali. Analizzano il movimento dei dati, i modelli di accesso e il contesto per rilevare violazioni senza richiedere agenti di endpoint o monitoraggio invasivo.

Classificazione di ciò che è sensibile – Le soluzioni moderne utilizzano l’intelligenza artificiale consapevole del contesto per comprendere sia il contenuto che il contesto dietro i dati. Ciò significa che possono segnalare rischi come una previsione di ricavi incorporata in una diapositiva di PowerPoint o dati dei clienti nascosti in una bozza di e-mail. Si tratta del tipo di contenuto che i dipendenti potrebbero alimentare in GenAI senza pensarci due volte.

Prevenzione di comportamenti di prompt a rischio – Una volta scoperti e identificati i dati sensibili, la sicurezza dei dati di intelligenza artificiale aiuta a prevenire che vengano esposti. Questi strumenti segnalano, oscurano o bloccano input di prompt a rischio prima che lascino l’organizzazione.

Pulizia dei dati ombra – Gli output degli strumenti GenAI, inclusi riassunti, bozzetti e risposte, spesso generano un’onda di nuovi file che vengono salvati, condivisi e dimenticati. Le piattaforme di sicurezza dei dati avanzate identificano questi artefatti a valle, rilevano i rischi di esposizione (come l’accesso sovraautorizzato o l’archiviazione inadeguata) e li risolvono prima che la perdita di dati diventi un titolo.

L’intelligenza artificiale ombra non è un rischio teorico. È reale, è in crescita e sta accadendo nel tuo ambiente proprio adesso, che tu lo abbia visto o no. Vietare gli strumenti GenAI non è realistico, ma chiudere gli occhi è estremamente rischioso. Le organizzazioni hanno bisogno di visibilità, controllo e intelligenza sull’uso di GenAI — non solo per ciò che esce, ma per ciò che entra.

Sono disponibili nuovi approcci che scoprono comportamenti a rischio, prevengono l’esposizione accidentale e puliscono il pasticcio di dati che l’intelligenza artificiale e l’intelligenza artificiale ombra lasciano dietro di sé.