Connect with us

Lideri de opinie

Inteligența Artificială din Umbră Expune o Eșec Mai Mare în Guvernanța IA

mm
Published
Updated
A professional woman in an office at night uses a laptop with a glowing, abstract digital interface floating in the air. The interface shows connected data nodes and windows, symbolizing the

De-a lungul anilor, riscul intern a fost prezentat în jurul scenariilor de cazuri extreme: angajați malefici, date furate și daune descoperite după fapt. Această prezentare a fost întotdeauna incompletă. În era inteligenței artificiale, ea devine activ neproductivă.

Majoritatea riscurilor interne nu încep cu rea-voință. Ele încep cu munca de rutină: rezumarea unui document, răspunsul la un client, accelerarea unui flux de lucru sau expedierea mai rapidă a codului. Din ce în ce mai mult, aceste decizii zilnice implică inteligența artificială.

De aceea, inteligența artificială din umbră contează. Definită în general, inteligența artificială din umbră este utilizarea unor instrumente, agenți sau automatizări ale inteligenței artificiale în afara supravegherii aprobate a întreprinderii. În majoritatea cazurilor, angajații nu încearcă să ocolească politica. Ei încearcă să-și facă treaba. Problema reală este că guvernanța nu a ținut pasul cu schimbarea modului în care se desfășoară munca.

Această lacună este acum măsurabilă. O nouă cercetare Ponemon a descoperit că 92% dintre organizații spun că inteligența artificială generativă a schimbat modul în care angajații accesează și împărtășesc informații, dar doar 18% au integrat pe deplin guvernanța inteligenței artificiale în programele de risc intern. Inteligența artificială este deja încorporată în munca zilnică. Supravegherea este încă în urmă.

Inteligența Artificială din Umbră nu este o singură problemă

Una dintre cele mai mari greșeli pe care le fac organizațiile este să trateze inteligența artificială din umbră ca pe un risc unic și uniform. Nu este.

Există o diferență semnificativă între utilizarea inteligenței artificiale pentru a rezuma cercetarea publică, lipirea contractelor interne într-un asistent neaprobat și permisiunea unui agent de inteligență artificială să retrieveze date sau să efectueze acțiuni în sistemele întreprinderii. Riscul se schimbă în funcție de sensibilitatea datelor, de nivelul de autonomie implicat și de autoritatea acordată sistemului.

De aceea, interdicțiile absolute rareori funcționează. Ele tind să împingă comportamentul mai departe din vedere, fără a aborda condițiile care au făcut ca comportamentul să fie atractiv din punct de vedere al productivității. Dar politiciile excesiv de permisive nu sunt mai bune. Dacă totul este permis, guvernanța devine mai mult decât un exercițiu pe hârtie.

O abordare mai eficientă este să se facă distincție între:

  • Asistență cu risc scăzut, unde inteligența artificială sprijină munca de rutină cu expunere limitată
  • Manipularea datelor cu risc ridicat, unde informații sensibile sunt introduse, transformate sau împărtășite, și
  • Autoritate delegată, unde sistemele de inteligență artificială sunt autorizate să retrieveze, să orchestreze sau să efectueze acțiuni în medii conectate.

Ultima categorie marchează schimbarea reală.

Pe măsură ce inteligența artificială se extinde dincolo de generarea de conținut în retrieval, orchestrare și execuție, întrebarea de securitate se schimbă. Problema nu mai este doar dacă cineva a utilizat un instrument neaprobat. Este ce autoritate a fost acordată unui sistem, ce date poate accesa și ce este permis să facă cu acea acces.

Agenții de inteligență artificială devin mai de încredere, mai conectați și mai capabili să acționeze independent. Acesta este exact motivul pentru care modelele tradiționale de risc intern încep să-și arate limitele.

De ce inteligența artificială din umbră cu autoritate delegată schimbă modelul de risc

Majoritatea modelelor de risc intern au fost create pentru a evalua comportamentul uman: neglijență, utilizare incorectă, compromis sau intenție malefică. Aceste categorii încă mai contează. Ele nu mai capturează însă imaginea de ansamblu.

Acest lucru devine especially evident în inteligența artificială din umbră, unde instrumentul sau agentul nu este neapărat sancționat, guvernat centralizat sau chiar vizibil pentru organizație. În aceste cazuri, riscul nu este doar că un angajat utilizează inteligența artificială. Este că el sau ea poate utiliza un sistem controlat de utilizator, cu acces, autonomie sau integrări pe care afacerea nu le înțelege pe deplin.

Astăzi, o persoană poate avea acces legitim și poate emite ceea ce pare a fi o instrucțiune de rutină. Dar într-un scenariu de inteligență artificială din umbră, acea instrucțiune poate fi transmisă unui asistent neautorizat, plug-in, agent sau flux de lucru care poate duce mai departe, mai rapid sau mai amplu decât utilizatorul a intenționat. Acesta este consecința reală a autorității delegate.

Omul furnizează intenția, accesul sau promptul. Sistemul de inteligență artificială execută cu viteză, scară și persistență. Împreună, ei pot amplifica greșelile în moduri în care controalele legacy nu au fost niciodată proiectate să le conțină.

Îngrijorarea nu este că sistemele de inteligență artificială sunt malefice. Este că ele pot operaționaliza instrucțiuni defectuoase, judecată slabă sau fluxuri de lucru nesigure la viteza mașinii. Și atunci când acel sistem se află în afara supravegherii aprobate, organizația poate avea puțină vizibilitate asupra datelor pe care le-a atins, unde au mers aceste date, ce acțiuni au fost întreprinse sau cum să interveni atunci când lucrurile merg prost.

Acesta este motivul pentru care autoritatea delegată în inteligența artificială din umbră este material diferită de utilizarea obișnuită a unor instrumente neautorizate. Problema nu se limitează la faptul că un angajat lipește date sensibile într-o interfață greșită. Se extinde la sisteme neautorizate care retrievează informații, lansează sarcini, se conectează la aplicații enterprise și acționează în numele utilizatorului fără balizele pe care un mediu aprobat le-ar impune în mod normal.

Acesta este motivul pentru care echipele de securitate au nevoie de un model mai precis pentru riscul intern: unul care ține cont nu doar de comportamentul uman, ci și de interacțiunea dintre intenția umană și execuția mașinii.

Costul inteligenței artificiale din umbră este deja vizibil

Acesta nu este un problemă din viitor. Costurile sunt deja evidente în tendințele actuale de risc intern.

Cercetarea Ponemon din 2026 a descoperit că costurile legate de neglijență a riscului intern au crescut cu 17% de la an la an până la 10,3 milioane de dolari, contribuind la un cost total anual de risc intern de 19,5 milioane de dolari. Raportul identifică inteligența artificială din umbră ca factor major care contribuie, transformând comportamentul obișnuit de productivitate într-o sursă persistentă de expunere a datelor.

Materiale sensibile sunt introduse în instrumente publice sau neaprobate de inteligență artificială. Instrumentele de notare cu inteligență artificială capturează întâlniri confidențiale. Uneltele agenților funcționează cu vizibilitate limitată în medii care nu au fost niciodată proiectate pentru acest nivel de interacțiune autonomă.

Acestea sunt, de obicei, acte neintenționate. Sunt comportamente normale de la locul de muncă care se desfășoară în sisteme cu balize slabe și supraveghere incompletă.

Acesta este motivul pentru care inteligența artificială din umbră este atât de semnificativă. Ea nu introduce doar o nouă categorie de risc. Ea crește scala, viteza și costul neglijenței, făcând greșelile mici mai ușor de repetat și mai greu de detectat.

De ce interzicerea instrumentelor de inteligență artificială nu este răspunsul

Instrumentele de inteligență artificială sunt acum prea utile, prea accesibile și prea încorporate în munca zilnică pentru a fi gestionate doar prin interdicții. Când organizațiile se bazează doar pe interdicții, ele împing adesea utilizarea în canale mai puțin vizibile.

Un răspuns mai bun începe cu vizibilitatea. Echipele de securitate trebuie să înțeleagă care instrumente de inteligență artificială sunt utilizate, ce date sunt introduse în ele, ce ieșiri sunt generate și care sisteme sunt autorizate să acționeze în numele unui utilizator.

La fel de important, guvernanța trebuie să reflecte modul în care se desfășoară realmente munca — și nu cum presupune politica.

Acest lucru înseamnă mutarea guvernanței inteligenței artificiale în interiorul managementului riscului intern, în loc de a o trata ca o inițiativă de conformitate separată. Dacă angajații și sistemele de inteligență artificială accesează, transformă și mută informații, ele aparțin în același model de vizibilitate, responsabilitate și control.

Organizațiile care fac acest lucru corect nu vor fi cele care interzic cel mai mult instrumente. Vor fi cele care pot distinge clar unde se termină experimentarea responsabilă și unde începe expunerea materială.

Inteligența artificială din umbră nu este o simplă problemă de guvernanță care va dispărea. Este un avertisment timpuriu că munca s-a schimbat mai repede decât supravegherea. Provocarea acum nu este să încetineze afacerea. Este să aplice aceeași disciplină care a îmbunătățit managementul riscului intern la o nouă realitate operațională — una în care judecata umană și execuția mașinii lucrează din ce în ce mai mult împreună.

Related Topics:
mm

Rajan Koo este CTO și șeful echipei DTEX Insider Investigations & Intelligence (i3). El este responsabil pentru dezvoltarea, implementarea și operarea tehnologiilor pentru a preveni riscurile interne de a deveni amenințări interne. Rajan a jucat un rol esențial în stabilirea abordării DTEX bazate pe confidențialitate pentru gestionarea riscurilor interne. De asemenea, el a condus mai multe investigații de amenințări interne de mare profil, care au dus la urmărirea penală și exonerări cu succes.