Широкий тінь GenAI ставить під загрозу корпоративні дані

Рішення на основі генеративного штучного інтелекту (GenAI) більше не є чимось, що корпоративні співробітники лише «випробовують». Їх впроваджують та інтегрують у повсякденну роботу з дедалі більшою швидкістю. Згідно з одним звітом, 40% організацій повідомили про використання GenAI у щоденних робочих процесах за минулий рік, а понад 80% повідомили, що користувачі взаємодіють з цими інструментами щотижня.

Однак, хоча впровадження ШІ зростає, видимість та контроль не встигають за цим темпом. Оскільки GenAI вбудовується в поштові скриньки, редактори коду, пакети для спільної роботи, віртуальних помічників тощо, він отримує доступ до дедалі більших обсягів конфіденційних даних через запити, завантаження та дії копіювання-вставлення — і все це, ймовірно, обходить традиційні засоби контролю.

Результатом є зростаючий обсяг тіньових даних: критично важлива для бізнесу інформація, що перетікає через SaaS, хмарні та локальні сервіси з обмеженими засобами забезпечення видимості, управління або збереження. Для сталого та безпечного інноваційного розвитку з рішеннями на основі ШІ сучасним підприємствам критично важливо усвідомити цю розбіжність між впровадженням і контролем та навчитися вирішувати проблему тіньових даних, перш ніж вони вийдуть з-під контролю.

Широка та невиразна тінь GenAI

Основна проблема тіньових даних походить від відсутності контексту. Тоді як проблеми тіньового ІТ обмежуються файлами в стані спокою, санкціонованими додатками та відомими точками витоку, межі тіньових даних, що генеруються ШІ, визначені набагато менш чітко. Командам недостатньо просто виявляти та захищати невідомі інструменти; їм також потрібно моніторити моделі ШІ, інтегровані в схвалені додатки, такі як поштові платформи, хмарні сховища та CRM-системи. Це підриває «безпечні» рішення, з якими вони працювали та які моніторили, і розширює ландшафт загроз.

GenAI також змінює спосіб переміщення конфіденційних даних через корпоративну архітектуру. На відміну від заснованих на додатках та файлах робочих процесів традиційних SaaS-рішень, він працює на безперервному, розмовному рівні, що заохочує користувачів ділитися контекстом для досягнення кращих результатів. Це призводить до того, що користувачі виконують звичайні дії копіювання-вставлення та завантаження, які можуть включати фрагменти вихідного коду, записи клієнтів, внутрішні документи тощо, і всі вони не мають належного управління обміном даними відповідно до їх рівня конфіденційності.

Більше того, впровадження GenAI часто не відбувається за чіткою, централізованою схемою. Немає двох однакових корпоративних користувачів даних, і їхня прагнення до оптимізації робочих процесів та автоматизації для економії часу може змусити їх використовувати численні рішення на основі ШІ, що, у свою чергу, створює ще більш фрагментовані шляхи даних. Помножте це на всю робочу силу вашого підприємства, і тінь стає неймовірно широкою.

Чому блокування GenAI не спрацює

Стикнувшись із цими загрозами, багато організацій інстинктивно намагаються повністю заблокувати — або жорстко обмежити — доступ до інструментів GenAI. Хоча такий підхід зрозумілий, він часто не настільки ефективний, як сподівається підприємство. Коли джин GenAI, так би мовити, випущений з пляшки, його неймовірно важко повернути назад. Багато співробітників використовують ці інструменти для оптимізації своїх щоденних робочих процесів, впроваджуючи GenAI у планування та виконання завдань.

Коли доступ обмежують зверху, використання навряд чи припиниться; воно просто перейде в тінь. Якщо співробітники перейдуть на особисті або некеровані облікові записи, підприємства повністю втратять видимість щодо того, які дані передаються та зберігаються додатками. Насправді, один звіт виявив, що 44% співробітників вже використовували ШІ способами, що суперечать політикам та вказівкам, тоді як інше дослідження повідомило, що 75% співробітників, які використовують несхвалені інструменти ШІ, зізналися, що ділилися з ними потенційно конфіденційною інформацією. Коли добре налаштований персонал несвідомо обходить засоби захисту та створює можливості для витоку конфіденційних даних з контрольованих середовищ у системи з нечіткими механізмами контролю, це створює значні ризики з боку інсайдерів, що може коштувати організації в середньому 19,5 мільйонів доларів щорічно. Відштовхуючи активність користувачів у некеровані браузери, особисті хмарні облікові записи або нішеві інструменти ШІ, підприємства створюють більше векторів атак, які команди безпеки можуть ніколи не побачити.

Таким чином, тіньові дані є не лише результатом необережних співробітників, які мають доступ до інструментів ШІ. Це структурний наслідок доступного дизайну GenAI, потреби в контексті та загальної поширеності. І поки підприємства не зможуть повернути видимість того, як і куди перетікають їхні тіньові дані, впровадження GenAI продовжуватиме випереджати їхню здатність керувати пов’язаними з ним ризиками.

Ліквідація тіньових даних за допомогою видимості та захисту

Хоча повне блокування рішень GenAI навряд чи спрацює, підприємства можуть підтримувати інновації в галузі ШІ, одночасно стримуючи поширення тіньових даних, вживаючи трьох ключових дій:

1. Забезпечити сквозну видимість

Підприємства повинні точно знати, з чим мають справу, перш ніж зможуть ефективно захистити свої екосистеми даних. Це починається з формування повної картини того, які додатки GenAI використовують їхні співробітники, включаючи ті, що вбудовані в схвалені інструменти. Це також поширюється на типи даних — фінансові, інтелектуальна власність, PII, PHI або інша регульована інформація — які передаються цим додаткам, а також на те, куди дані переміщуються через локальні, SaaS та хмарні мережі. Без цієї важливої інформації команди безпеки та відповідності керують припущеннями, а не точними, реальними діями співробітників.

2. Застосовувати політики захисту даних з урахуванням контексту

Самої видимості недостатньо, якщо засоби контролю не можуть адаптуватися до способу використання GenAI. Класичні політики «дозволити або заблокувати» занадто жорсткі для робочих процесів ШІ, які вимагають безперервного, розмовного обміну даними. Для ефективного захисту цих рішень команди повинні створювати політики, що враховують контекст і оцінюють користувачів, дані та пункти призначення в реальному часі. Це дає змогу вживати реалістичних та пропорційних дій щодо поведінки користувачів: блокувати ризиковані завантаження, вилучати конфіденційну інформацію перед її виходом із середовища або інструктувати співробітників спробувати безпечніші альтернативи. Ці автоматизовані захисні механізми можна ефективніше впровадити в повсякденні завдання, ніж повне порушення роботи або ручне втручання, роблячи використання GenAI безпечнішим без пригнічення продуктивності.

3. Забезпечити послідовне застосування політик

Підприємства повинні застосовувати єдиний послідовний набір політик захисту даних там, де відбувається робота, і все це без примусу команд відмовлятися від інструментів, на які вони покладаються. Вони не повинні «виривати та замінювати» встановлені інструменти, оскільки це значно порушить продуктивність. Натомість їм слід встановлювати уніфіковані політики, які слідують за даними та користувачами через хмарні сховища, платформи для співпраці, SaaS-додатки та помічників на основі GenAI. Ця послідовність зменшить як ризики, так і тертя, дозволяючи командам безпеки уникнути управління фрагментованими засобами контролю та даючи співробітникам можливість працювати в межах передбачуваних захисних бар’єрів, а не стикатися з несподіваними заборонами. Зрештою, проактивна та послідовна реакція буде набагато ефективнішою, ніж реактивна та фрагментована.

Підтримка безпечного та сталого впровадження

Інструменти GenAI надто швидко вплелися в повсякденні робочі процеси, щоб організації могли ставитися до них як до нішевого або експериментального ризику. Їх не можна ігнорувати, як не можна й повністю викорінити. Натомість підприємства повинні прокласти шлях вперед, який дозволяє інноваційне використання ШІ, одночасно уникаючи тіньового, незахищеного переміщення конфіденційних даних через екосистеми даних. Успіх прийде не від придушення впровадження, а від його безпечного забезпечення завдяки безперервному, контекстному та послідовному захисту даних там, куди б не перетікали їхні дані.