Connect with us

Bóng tối rộng lớn của GenAI đang đặt dữ liệu doanh nghiệp của bạn vào rủi ro

Lãnh đạo tư tưởng

Bóng tối rộng lớn của GenAI đang đặt dữ liệu doanh nghiệp của bạn vào rủi ro

mm
Published
Updated
A conceptual widescreen visualization of Generative AI (GenAI) shadow data, showing a glowing stream of digital particles emanating from a laptop. The stream splits, with some data flowing toward a sanctioned enterprise server and other disjointed streams drifting toward an unmonitored personal mobile device, illustrating a data visibility and governance gap in a modern office.

Các giải pháp trí tuệ nhân tạo tạo sinh (GenAI) không còn là thứ mà nhân viên doanh nghiệp chỉ “thử nghiệm” nữa. Chúng đang được áp dụng và tích hợp vào công việc hàng ngày với tốc độ ngày càng nhanh. Theo một báo cáo, 40% tổ chức đã sử dụng GenAI trong các quy trình làm việc hàng ngày trong năm qua, và hơn 80% báo cáo rằng người dùng đã tương tác với các công cụ này hàng tuần.

Tuy nhiên, trong khi việc áp dụng AI đang tăng lên, thì khả năng hiển thị và kiểm soát không theo kịp. Khi GenAI tích hợp vào hộp thư đến, trình soạn thảo mã, bộ công cụ hợp tác, trợ lý ảo và nhiều hơn nữa, nó đã được cấp quyền truy cập vào lượng dữ liệu nhạy cảm ngày càng lớn thông qua các hành động nhập liệu, tải lên và sao chép-dán – tất cả đều có thể bỏ qua các kiểm soát truyền thống.

Kết quả là một hồ dữ liệu bóng tối ngày càng lớn: thông tin quan trọng của doanh nghiệp đang chảy qua các dịch vụ SaaS, đám mây và trên cơ sở với các biện pháp bảo vệ hạn chế về khả năng hiển thị, quản lý và lưu trữ. Để đổi mới một cách bền vững và an toàn với các giải pháp AI, điều quan trọng là các doanh nghiệp hiện đại phải hiểu khoảng cách giữa việc áp dụng và kiểm soát này và học cách giải quyết vấn đề dữ liệu bóng tối trước khi nó vượt quá tầm kiểm soát của họ.

Bóng tối rộng lớn của GenAI

Thử thách cốt lõi của dữ liệu bóng tối bắt nguồn từ sự thiếu hụt về ngữ cảnh. Trong khi các thách thức của bóng tối IT bị giới hạn trong các tệp tin tĩnh, ứng dụng được phê duyệt và các điểm xuất dữ liệu đã biết, thì ranh giới của dữ liệu bóng tối được thúc đẩy bởi AI lại ít được định nghĩa rõ ràng hơn. Các đội không thể chỉ phát hiện và bảo vệ các công cụ không xác định; họ cũng cần phải theo dõi các mô hình AI tích hợp vào các ứng dụng được phê duyệt như nền tảng email, giải pháp lưu trữ đám mây và CRM. Điều này làm đảo lộn các “giải pháp an toàn” mà họ đã làm việc và theo dõi, và mở rộng cảnh quan mối đe dọa của họ.

GenAI cũng thay đổi cách dữ liệu nhạy cảm di chuyển qua kiến trúc doanh nghiệp. Không giống như các quy trình làm việc dựa trên ứng dụng và tệp tin của các giải pháp SaaS truyền thống, nó hoạt động trên một lớp đối thoại liên tục khuyến khích người dùng chia sẻ ngữ cảnh để đạt được kết quả tốt hơn. Điều này dẫn đến người dùng thực hiện các hành động sao chép-dán và tải lên thường xuyên có thể bao gồm các đoạn mã nguồn, hồ sơ khách hàng, tài liệu nội bộ và nhiều hơn nữa, tất cả đều thiếu các chính sách chia sẻ dữ liệu phù hợp cho các mức độ nhạy cảm tương ứng.

Điều gì quan trọng hơn, việc áp dụng GenAI thường không theo một mẫu tập trung sạch sẽ. Không có hai người dùng dữ liệu doanh nghiệp nào giống hệt nhau, và việc theo đuổi các quy trình làm việc được tối ưu hóa và tự động hóa có thể dẫn họ đến tận dụng nhiều giải pháp AI, điều này tạo ra nhiều đường dẫn dữ liệu bị phân mảnh hơn. Khi nhân lên điều này trên toàn bộ lực lượng lao động của doanh nghiệp, bóng tối trở nên vô cùng rộng lớn.

Tại sao việc chặn GenAI không hiệu quả

Khi đối mặt với những mối đe dọa này, nhiều tổ chức có phản ứng tự nhiên là chặn hoàn toàn – hoặc hạn chế nghiêm ngặt – quyền truy cập vào các công cụ GenAI. Mặc dù đây là một cách tiếp cận dễ hiểu, nhưng nó thường không hiệu quả như mong đợi. Một khi GenAI đã “ra khỏi chai”, thì rất khó để kiểm soát lại nó. Nhiều nhân viên sử dụng những công cụ này để tối ưu hóa quy trình làm việc hàng ngày, khiến GenAI trở thành một phần không thể thiếu trong việc lập kế hoạch và thực hiện nhiệm vụ của họ.

Khi quyền truy cập bị hạn chế từ trên cao, việc sử dụng không có khả năng ngừng lại; nó sẽ chỉ chuyển sang hoạt động không rõ ràng. Nếu nhân viên chuyển sang sử dụng tài khoản cá nhân hoặc không được quản lý, doanh nghiệp sẽ mất tất cả khả năng hiển thị vào loại dữ liệu nào đang được chia sẻ và lưu trữ bởi các ứng dụng. Trên thực tế, một báo cáo cho thấy 44% nhân viên đã sử dụng AI theo những cách vi phạm các chính sách và hướng dẫn, trong khi một nghiên cứu khác cho thấy 75% nhân viên sử dụng công cụ AI không được phê duyệt đã thừa nhận chia sẻ thông tin nhạy cảm với chúng. Khi nhân viên có ý tốt vô tình vượt qua các biện pháp bảo vệ và tạo cơ hội cho dữ liệu nhạy cảm rời khỏi môi trường được quản lý và vào các hệ thống có kiểm soát không rõ ràng, nó tạo ra rủi ro nội bộ đáng kể, có thể khiến một tổ chức mất trung bình 19,5 triệu đô la mỗi năm. Bằng cách đẩy hoạt động của người dùng vào các trình duyệt không được quản lý, tài khoản đám mây cá nhân hoặc công cụ AI chuyên dụng, doanh nghiệp tạo ra nhiều vector mối đe dọa mà các đội an ninh có thể không bao giờ nhìn thấy.

Theo cách này, dữ liệu bóng tối không chỉ là kết quả của nhân viên liều lĩnh có quyền truy cập vào các công cụ AI. Nó là một kết quả cấu trúc của thiết kế dễ tiếp cận của GenAI, nhu cầu về ngữ cảnh và sự phổ biến tổng thể. Và cho đến khi các doanh nghiệp có thể lấy lại khả năng hiển thị vào cách và nơi dữ liệu bóng tối của họ chảy, việc áp dụng GenAI sẽ tiếp tục vượt quá khả năng của họ trong việc quản lý rủi ro của nó.

Loại bỏ dữ liệu bóng tối với khả năng hiển thị và bảo vệ

Mặc dù việc chặn hoàn toàn các giải pháp GenAI không có khả năng hiệu quả, nhưng các doanh nghiệp có thể hỗ trợ đổi mới AI trong khi ngăn chặn sự lan truyền của dữ liệu bóng tối bằng cách thực hiện ba hành động cốt lõi:

1. Thiết lập khả năng hiển thị từ đầu đến chân

Các doanh nghiệp cần biết chính xác họ đang đối phó với gì trước khi họ có thể bảo vệ hiệu quả các hệ sinh thái dữ liệu của mình. Điều này bắt đầu bằng việc tạo ra một bức tranh hoàn chỉnh về các ứng dụng GenAI nào đang được nhân viên của họ sử dụng, bao gồm cả những ứng dụng được tích hợp vào các công cụ được phê duyệt. Nó cũng mở rộng đến các loại dữ liệu – tài chính, sở hữu trí tuệ, thông tin nhận dạng cá nhân, thông tin sức khỏe bảo vệ hoặc thông tin quy định khác – đang được chia sẻ với các ứng dụng này, cũng như nơi dữ liệu đang di chuyển qua các mạng trên cơ sở, SaaS và đám mây. Nếu không có thông tin quan trọng này, các đội an ninh và tuân thủ sẽ phải quản lý dựa trên giả định thay vì hành vi của nhân viên trong thế giới thực.

2. Áp dụng các chính sách bảo vệ dữ liệu nhận thức về ngữ cảnh

Khả năng hiển thị alone là không đủ nếu các kiểm soát không thể thích nghi với cách GenAI được sử dụng. Các chính sách “cho phép hoặc chặn” cổ điển quá cứng nhắc cho các quy trình làm việc AI yêu cầu trao đổi dữ liệu liên tục. Để bảo vệ hiệu quả các giải pháp này, các đội phải tạo ra các chính sách nhận thức về ngữ cảnh đánh giá người dùng, dữ liệu và điểm đến trong thời gian thực. Điều này cho phép thực hiện hành động thực tế và tương xứng đối với hành vi của người dùng, chặn các tải lên rủi ro, xóa thông tin nhạy cảm trước khi nó rời khỏi môi trường hoặc hướng dẫn nhân viên thử các giải pháp an toàn hơn. Các rào cản tự động này có thể được tích hợp vào các nhiệm vụ hàng ngày một cách hiệu quả hơn so với sự gián đoạn hoàn toàn hoặc can thiệp thủ công, làm cho việc sử dụng GenAI an toàn hơn mà không ảnh hưởng đến năng suất.

3. Đảm bảo việc thực thi chính sách nhất quán

Các doanh nghiệp phải thực thi một tập hợp chính sách bảo vệ dữ liệu nhất quán ở mọi nơi công việc diễn ra, tất cả mà không buộc các đội phải từ bỏ các công cụ họ đã quen sử dụng. Họ không nên “gỡ bỏ và thay thế” các công cụ đã thành lập, vì điều này sẽ làm gián đoạn đáng kể năng suất. Thay vào đó, họ nên thiết lập các chính sách thống nhất theo dữ liệu và người dùng trên lưu trữ đám mây, nền tảng hợp tác, ứng dụng SaaS và trợ lý GenAI. Sự nhất quán này sẽ giảm cả rủi ro và ma sát, cho phép các đội an ninh tránh quản lý các kiểm soát bị phân mảnh và cho phép nhân viên làm việc trong các rào cản có thể dự đoán được thay vì phải đối mặt với các lệnh cấm không mong muốn. Cuối cùng, một phản ứng chủ động và nhất quán sẽ hiệu quả hơn nhiều so với một phản ứng thụ động và bị phân mảnh.

Hỗ trợ việc áp dụng an toàn và bền vững

Các công cụ GenAI đã trở nên gắn liền quá nhanh với các quy trình làm việc hàng ngày để các tổ chức có thể coi chúng như một rủi ro thử nghiệm hoặc chuyên dụng. Chúng không thể bị bỏ qua, cũng không thể bị loại bỏ hoàn toàn. Thay vào đó, các doanh nghiệp phải tìm ra một con đường tiến về phía trước cho phép sử dụng AI sáng tạo trong khi tránh sự di chuyển không được bảo vệ của dữ liệu nhạy cảm trên các hệ sinh thái dữ liệu. Thành công sẽ không đến từ việc kìm hãm việc áp dụng, mà từ việc cho phép nó một cách an toàn thông qua bảo vệ dữ liệu liên tục, nhận thức về ngữ cảnh và nhất quán ở mọi nơi dữ liệu của họ chảy. vào các hệ sinh thái dữ liệu. Success sẽ không đến từ việc kìm hãm việc áp dụng, mà từ việc cho phép nó một cách an toàn thông qua bảo vệ dữ liệu liên tục, nhận thức về ngữ cảnh và nhất quán ở mọi nơi dữ liệu của họ chảy.

mm

Jesse Grindeland cung cấp hơn hai thập kỷ lãnh đạo đổi mới trên toàn cầu về bán hàng, kênh và chiến lược thị trường, khiến anh trở thành một nhà lãnh đạo ngành công nghiệp có thành tựu trong cảnh quan đang phát triển ngày nay. Hiện đang giữ vị trí Phó Chủ tịch Các Liên minh Kênh Toàn cầu tại Skyhigh Security, Jesse đang thúc đẩy sự phát triển của hệ sinh thái đối tác của công ty, nhằm tăng tốc thực hiện thị trường và thành công của khách hàng trên toàn cầu. Jesse trước đây đã giữ các vị trí tại Microsoft, VMware và Zscaler, nơi anh lãnh đạo các đội toàn cầu trên tiếp thị, bán hàng, kỹ thuật và liên minh.