Широкомасштабная деятельность GenAI ставит под угрозу данные вашего предприятия.

Решения на основе генеративного искусственного интеллекта (GenAI) больше не являются чем-то, что сотрудники предприятий просто «тестируют». Они внедряются и интегрируются в повседневную работу с возрастающей скоростью. Согласно одному отчету, 40% организаций сообщили об использовании GenAI в повседневных рабочих процессах За последний год более 80% опрошенных сообщили, что использовали эти инструменты еженедельно.

Но хотя внедрение ИИ растёт, прозрачность и контроль не успевают за этим ростом. По мере того, как GenAI внедряется в почтовые ящикиБлагодаря редакторам кода, пакетам инструментов для совместной работы, виртуальным помощникам и многому другому, система предоставляет доступ к все большим объемам конфиденциальных данных посредством запросов, загрузки и копирования-вставки — все это, вероятно, обходит традиционные средства контроля.

В результате растет объем теневых данных: критически важная для бизнеса информация циркулирует между SaaS, облачными и локальными сервисами с ограниченными средствами защиты от утечки, нарушения управления или хранения. Для устойчивого и безопасного внедрения инноваций с помощью решений на основе ИИ крайне важно, чтобы современные предприятия понимали этот разрыв между внедрением и контролем и научились бороться с теневыми данными до того, как они выйдут из-под их контроля.

Широкая, туманная тень GenAI

Основная проблема теневых данных заключается в отсутствии контекста. Если проблемы теневых ИТ ограничиваются файлами в состоянии покоя, разрешенными приложениями и известными точками выхода, то границы теневых данных, создаваемых с помощью ИИ, гораздо менее жестко определены. Командам необходимо не только обнаруживать и защищать неизвестные инструменты; им также нужно отслеживать модели ИИ, интегрированные в утвержденные приложения, такие как почтовые платформы, облачные хранилища и CRM-системы. Это переворачивает с ног на голову «безопасные» решения, с которыми они работали и которые отслеживали, и расширяет ландшафт угроз.

GenAI также меняет способ перемещения конфиденциальных данных в корпоративной архитектуре. В отличие от рабочих процессов традиционных SaaS-решений, основанных на приложениях и файлах, он работает на непрерывном, диалоговом уровне, который побуждает пользователей делиться контекстом для достижения лучших результатов. Это приводит к тому, что пользователи выполняют рутинные действия по копированию и вставке, а также загружают фрагменты исходного кода, записи о клиентах, внутренние документы и многое другое, при этом отсутствует надлежащее управление обменом данными в соответствии с их уровнем конфиденциальности.

Более того, внедрение GenAI часто не следует четкой, централизованной схеме. Нет двух абсолютно одинаковых пользователей корпоративных данных, и их стремление к оптимизации рабочих процессов и автоматизации, позволяющей экономить время, может привести к использованию множества решений на основе ИИ, что, в свою очередь, создает еще более фрагментированные пути передачи данных. Умножьте это на весь персонал предприятия, и разрыв станет невероятно широким.

Почему блокировка GenAI не сработает

Столкнувшись с этими угрозами, многие организации в первую очередь блокируют — или иным образом жестко ограничивают — доступ к инструментам GenAI. Хотя такой подход понятен, он часто оказывается не столь эффективным, как хотелось бы предприятию. Как только джин GenAI выпущен из бутылки, так сказать, его невероятно трудно удержать обратно. Многие сотрудники используют эти инструменты для оптимизации своих повседневных рабочих процессов, внедряя GenAI в планирование и выполнение задач.

Когда доступ ограничивается сверху, использование, скорее всего, не прекратится; оно просто исчезнет из поля зрения. Если сотрудники переходят на личные или неуправляемые учетные записи, предприятия теряют всякую информацию о том, какие данные передаются и хранятся приложениями. Фактически, в одном отчете было установлено, что 44% сотрудников Уже были случаи использования ИИ способами, противоречащими политике и руководящим принципам, а другое исследование показало, что 75% сотрудников Сотрудники, использующие неутвержденные инструменты ИИ, признались в передаче им потенциально конфиденциальной информации. Когда сотрудники с благими намерениями неосознанно обходят меры безопасности и создают возможности для выхода конфиденциальных данных за пределы регулируемых сред и проникновения в системы с нечетким контролем, это создает значительный внутренний риск, который может обойтись организации в значительную сумму. в среднем 19.5 миллионов долларов в годПеренаправляя активность пользователей в неуправляемые браузеры, личные облачные аккаунты или специализированные инструменты искусственного интеллекта, предприятия создают больше векторов угроз, которые команды безопасности могут никогда не обнаружить.

Таким образом, теневые данные — это не только результат безрассудства сотрудников, имеющих доступ к инструментам ИИ. Это структурный результат доступной архитектуры GenAI, потребности в контексте и общей повсеместности. И пока предприятия не смогут восстановить прозрачность в отношении того, как и куда распространяются их теневые данные, внедрение GenAI будет продолжать опережать их способность управлять связанными с этим рисками.

Устранение теневых данных с обеспечением видимости и защиты.

Хотя полное блокирование решений GenAI вряд ли сработает, предприятия могут поддерживать инновации в области ИИ, одновременно сдерживая распространение теневых данных, предприняв три основных действия:

1. Обеспечьте сквозную прозрачность.

Прежде чем эффективно защитить свои информационные экосистемы, предприятиям необходимо точно понимать, с чем они имеют дело. Это начинается с составления полной картины того, какие приложения GenAI используются их сотрудниками, включая те, которые встроены в разрешенные инструменты. Это также включает в себя типы данных — финансовые, интеллектуальная собственность, персональные данные, медицинская информация или другая регулируемая информация — которые передаются этим приложениям, а также то, куда эти данные перемещаются в локальных сетях, сетях SaaS и облачных сетях. Без этой важной информации команды по безопасности и соответствию требованиям вынуждены полагаться на предположения, а не на точное, реальное поведение сотрудников.

2. Применяйте политики защиты данных с учетом контекста.

Одной лишь видимости недостаточно, если средства контроля не могут адаптироваться к особенностям использования GenAI. Классические политики «разрешить или заблокировать» слишком жесткие для рабочих процессов ИИ, требующих непрерывного обмена данными в диалоговом режиме. Для эффективной защиты таких решений командам необходимо создавать контекстно-зависимые политики, которые оценивают пользователей, данные и конечные точки в режиме реального времени. Это позволяет принимать реалистичные и соразмерные меры в отношении поведения пользователей, блокируя рискованные загрузки, удаляя конфиденциальную информацию до того, как она покинет среду, или инструктируя сотрудников попробовать более безопасные альтернативы. Эти автоматизированные средства защиты могут быть более эффективно интегрированы в повседневные задачи, чем полное нарушение работы или ручное вмешательство, что делает использование GenAI более безопасным без снижения производительности.

3. Обеспечить последовательное применение политики.

Предприятиям необходимо внедрить единый, согласованный набор политик защиты данных везде, где осуществляется работа, не заставляя при этом команды отказываться от инструментов, на которые они привыкли полагаться. Не следует полностью заменять существующие инструменты, поскольку это значительно снизит производительность. Вместо этого следует установить единые политики, которые будут применяться ко всем данным и пользователям в облачных хранилищах, платформах для совместной работы, приложениях SaaS и голосовых помощниках GenAI. Такая согласованность снизит риски и трения, позволит командам безопасности избежать управления разрозненными средствами контроля и даст сотрудникам возможность работать в рамках предсказуемых ограничений, а не сталкиваться с неожиданными блокировками. В конечном итоге, проактивный и последовательный подход будет гораздо эффективнее, чем реактивный и фрагментарный.

Поддержка безопасного и устойчивого усыновления

Инструменты GenAI слишком быстро интегрировались в повседневные рабочие процессы, чтобы организации могли рассматривать их как нишевый или экспериментальный риск. Их нельзя игнорировать, но и полностью исключить из использования тоже нельзя. Вместо этого предприятиям необходимо проложить путь, который позволит внедрять инновационные решения в области ИИ, избегая при этом скрытого и незащищенного перемещения конфиденциальных данных между различными экосистемами данных. Успех не будет достигнут путем подавления внедрения, а путем обеспечения его безопасного использования посредством непрерывной, контекстной и последовательной защиты данных, где бы они ни находились.