Connect with us

Tankeledare

Hur bör företag hantera AI-applikationsöverbelastning?

mm
Published
Updated

Inte så personlig datoranvändning

Under många år har teknikutvecklingen drivits av önskan att göra datoranvändning mer tillgänglig. Från smartphones till surfplattor, bärbara datorer och wearables, finns en allmän trend att göra datorer och deras funktioner alltmer personliga. Bara tänk på nomenklaturen för industrikornerstenar: “Persondator”, eller PC; “i” Pod, Pad, Phone och bortom. Var och en av dessa enheter är avsedd att fungera som en personlig medhjälpare, som hjälper till att effektivisera användarens digitala upplevelse och, som en förlängning, deras liv.

Utvecklingen av artificiell intelligens (AI) – särskilt stora språkmodeller (LLM) och agenter – går i stor utsträckning i samma riktning. Liksom PC och iPhone har AI-verktyg som ChatGPT gjort datoraktiviteter som sökning, redigering och brainstorming mer tillgängliga för allmänheten. Men medan denna tillgänglighet har drivit ökad användning, har den också ökat risken.

Oavsett om det är genom förgiftade kopplingar eller oavsiktlig sökmotorindexering, hoten mot privat AI-användning blir allt svårare att skydda mot. Lägg till osäkerheter kring vem som använder vilka verktyg, och företag står inför en perfekt storm av växande hot och otillräcklig skydd. Med tanke på löftet om AI-verktyg och osäkerheten kring hur man ska skydda dem, vad ska ett teknikorienterat företag göra?

Tillväxten av obehöriga AI-appar

Med över 700 miljoner dagliga användare 2025, har ChatGPT-användningen växt mer än 4 gånger om året. Ändå är endast fem miljoner av dessa användare betalande företagskunder. Detta gör de andra 695 miljonerna eller så medlemmar i deras användarbas antingen personliga eller obehöriga företagsanvändare. Detta antal verkar stort tills du kommer ihåg att ChatGPT inte är den enda AI-lösningen på marknaden. I själva verket är det långt ifrån det – den samtida explosionen av AI och maskinlärningsutveckling har genererat hundratusentals nya modeller och lösningar, både offentliga och privata.

För företag har den exponentiella tillväxten av AI-lösningar gett upphov till en ny dimension av cyberrisklandskapet som kallas “Skugg-AI”. Liksom fenomenet “Skugg-IT” är detta koncept baserat på anställdas användning av AI-lösningar utan föregående granskning och uttryckligt godkännande av deras organisation. Detta kringgår helt IT- och säkerhetsövervakning, vilket leder till scenarier där anställda kan använda potentiellt farliga eller osäkra lösningar för känsligt arbete.

Skugg-AI-användning är både utbredd och växande. En rapport fann att över 320 obehöriga AI-appar används i genomsnitt per företag. Var och en av dessa obehöriga appar, och deras användning av anställda, utvidgar hotlandskapet ytterligare.

De inneboende riskerna med AI-överbelastning

Hoten som är förknippade med AI-överbelastning är mångfacetterade och, tyvärr, kontinuerligt utvidgade. Vissa, som dataförgiftning, promptinjektion, modellmanipulation och datauträkning, är allmänt känt. Dessa direkta försök att manipulera och utnyttja AI kan ge illvilliga aktörer tillgång till känsliga företagsdata och interna system. Med tanke på denna risk börjar företag aktivt skydda sig mot sådana attacker.

Men företag kan endast skydda sig mot de hot de känner till. Tänk på att säkra ett medeltida slott. Väggar, vakttorn, grindar, vallgravar och mer hjälper till att säkra slottet mot yttre fiender och inkräktare. Men vad om kökspersonalen har en hemlig passage som kringgår de yttre murarna? Eller en högljudd vakt hörs diskutera skiftbyten på den lokala tavernan? Vilken som helst av dessa okända hot kunde hjälpa tjuvar att kringgå säkerheten och bryta sig in i de inre murarna.

Skugg-AI har samma effekt på företagsdatasäkerhet. Även den välvilliga användningen av obehöriga LLM och copiloter kan betyda katastrof för skydd av känsliga data, eftersom varje osäker lösning kan fungera som en port för illvilliga aktörer. Varje LLM-användning ökar risken för problem som dataretention, promptinjektion eller modellbias, var och en av dessa kräver sina egna relevanta säkerhetsåtgärder. Detta ökar risken för dataintrång, överträdelser av regelefterlevnad och operativa fel, alla dessa är ofta endast identifierade efter skadan redan har skett.

Att etablera kontroll över AI-lösningar

Medan AI-användningen fortsätter att växa på både personlig och företagsnivå, är det avgörande att organisationer etablerar kontroll över dessa lösningar innan antagandet växer utom kontroll. Att säkra företags-AI och skydda mot obehöriga AI-risker innefattar:

  1. Att få omfattande synlighet. Som nämnts kan du inte säkra din data mot hot som du är omedveten om. Säkerhet börjar med övervakning över alla AI-lösningar som dina anställda använder – både sanktionerade och obehöriga. Detta är lättare sagt än gjort, men en molntjänst för säkerhetsövervakning (CASB) kan hjälpa till att etablera kontinuerlig synlighet i anställdas applikationsanvändning.
  2. Att genomföra grundliga riskbedömningar. Team bör genomföra TPRM-insatser för att säkerställa att alla AI-lösningar utvärderas för sin säkerhet och potentiella risker. Dessa insatser bör också utvidgas till fjärdeparts­nivån, eftersom även sanktionerade applikationer som CRM eller produktivitetsplattformar börjar integrera externa LLM-funktioner i sina plattformar. Dessa fjärdeparts-lösningar måste följa samma säkerhetsstandarder som varje intern godkänd applikation.
  3. Att etablera styrningsramar. Med denna övervakning och förståelse för sina lösningar kan organisationer utveckla och distribuera konsekventa AI-styrningspolicyramar i hela sin applikationsekosystem. Liksom med dataåtkomst kan dessa styrningspolicyer hjälpa till att kontrollera vilka AI-lösningar anställda kan komma åt, den information de kan dela med dem och transparensen i deras dagliga användning.
  4. Att automatisera riskupptäckt. Den exponentiella tillväxten av AI-antagande gör manuell riskupptäckt och respons nästan omöjlig. Att automatisera dessa processer baserat på styrningspolicyer och förväntad användarbetende kan hjälpa till att proaktivt identifiera avvikelser och begränsa deras bredare säkerhetspåverkan.
  5. Att förklara anställdas förväntningar. Det viktigaste delen av säker AI-antagande och användning är dina anställda. Att tillhandahålla adekvat utbildning och tydliga förväntningar kommer att hjälpa till att samtidigt förhindra riskabel AI-användning och främja den säkra, affärsdrivande användningen av sanktionerade och skyddade lösningar.

Att upprätthålla säker AI-antagande

Genom att etablera dessa typer av proaktiva säkerhetsåtgärder får företag en mer holistisk vy av de sätt de använder AI-lösningar – antingen sanktionerade eller i “skuggan”. Detta har en omedelbar inverkan på säkerhet, som hjälper team att identifiera befintliga risker och hotvektorer och vidta åtgärder för att avhjälpa dem.

Men viktigast, det sätter dessa företag upp för långsiktig AI-succes. Genom att skapa den tekniska grunden för säker AI-antagande och en säkerhetsförst-kultur bland AI-användare, hjälper denna flerdelade strategi till att skapa en hållbar modell för framtida AI-verktyg. Med tekniskt stöd och adekvat utbildning kan anställda dra nytta av AI:s fördelar utan att belastas av dess inneboende risker.

Organisationer som gör dessa förändringar tidigare snarare än senare kommer att vara bäst förberedda för att möta framtiden för AI-lösningar, oavsett vad de kan medföra. Att lägga ner förarbete för att skapa en stark grund – snarare än att bara skynda för att markera AI-antagandet – kommer att sätta teamen i den bästa möjliga positionen för varaktig AI-driven succés.

Related Topics:
mm

Thyaga Vasudevan är en högenergisk mjukvaruprofessionell som för närvarande tjänstgör som Executive Vice President, Product på Skyhigh Security, där han leder Product Management, Design, Product Marketing och GTM-strategier. Med en rik erfarenhet har han bidragit till att bygga produkter inom både SAAS-baserad företagsprogramvara (Oracle, Hightail - tidigare YouSendIt, WebEx, Vitalect) och konsumentinternet (Yahoo! Messenger - röst och video).

Han är dedikerad till processen att identifiera underliggande slutanvändarproblem och användningsfall och tar stolthet i att leda specifikation och utveckling av högteknologiska produkter och tjänster för att möta dessa utmaningar, inklusive att hjälpa organisationer att navigera den känsliga balansen mellan risker och möjligheter. Thyaga älskar att utbilda och handleda och har haft privilegiet att tala vid ansedda evenemang som RSA, Trellix Xpand, MPOWER, AWS Re:invent, Microsoft Ignite, BoxWorks och Blackhat. Han trivs i skärningspunkten mellan teknik och problemlösning, med målet att driva innovation som inte bara möter nuvarande utmaningar utan också förutser framtida behov.