Shadow AI แย่กว่า Shadow IT หรือไม่?

สำนักงานที่เงียบสงบอาจดูไร้พิษภัย ชั้นวางจอภาพที่อาบไปด้วยแสง หูฟังที่ปกปิดการสนทนา และเสียงอึกทึกของการทำงานดำเนินต่อไปโดยไม่มีสัญญาณว่ามีสิ่งชั่วร้ายซ่อนอยู่ข้างใต้ แต่มากขึ้นเรื่อยๆ มีเทคโนโลยีที่ไม่ได้รับอนุญาตโดยบังเอิญ — โฟลเดอร์คลาวด์ส่วนตัวที่นี่และแชทบอท AI ที่ไม่ได้รับอนุญาตที่นั่น ในไม่ช้า องค์กรจะต้องจัดการกับความเสี่ยงที่ไม่คาดคิดใหม่ๆ เหล่านี้ทั้งหมด แต่ Shadow IT เป็นเพียงภัยคุกคามแฝงชุดแรกเท่านั้น Shadow AI ได้ยกระดับความเสี่ยงให้สูงขึ้น

Shadow AI คืออะไรและทำไมจึงเติบโต

เป็นส่วนขยายของ Shadow IT, Shadow AI เกี่ยวข้องกับพนักงานที่ใช้เทคโนโลยีที่ไม่ได้รับการอนุมัติ Shadow IT โดยทั่วไปหมายถึงเทคโนโลยีผู้บริโภค เช่น แอปแชร์ไฟล์หรืออุปกรณ์ส่วนตัว Shadow AI มักเกี่ยวข้องกับระบบที่เคลื่อนไหวเร็ว หิวข้อมูล ซึ่งพฤติกรรมอาจไม่แน่นอน

\ ตามการวิจัยที่ดำเนินการโดย Gartner องค์กร 80% ประสบช่องว่างในการกำกับดูแลข้อมูล ช่องว่างเหล่านี้ทำให้ผู้คนพลาดพฤติกรรมที่สร้างโดย AI ได้ง่ายขึ้น ทีมหลายทีมล้มเหลวในการประเมินความพร้อมด้านความปลอดภัยทางไซเบอร์ ความเสี่ยงที่เกี่ยวข้องกับ AI เพิ่มขึ้นเนื่องจากพนักงานนำเครื่องมือใหม่มาใช้เร็วกว่าที่ทีมของพวกเขาจะสามารถตรวจสอบได้อย่างเพียงพอ เนื่องจาก 30% ของการรั่วไหลของข้อมูลมาจากผู้ขายหรือซัพพลายเออร์ การรู้ว่าทีมใช้เครื่องมืออะไรจึงเป็นองค์ประกอบสำคัญในการรักษาความปลอดภัยสินทรัพย์ดิจิทัลของบริษัท

\ Shadow AI ได้รับความนิยมเพราะพนักงานมองว่าเนื้อหาที่สร้างโดย AI เป็นวิธีที่เร็วกว่าในการสร้างเนื้อหา สรุปข้อมูลที่ซับซ้อน และแก้ไขปัญหาทางเทคนิค มันลดความขัดแย้งในงานประจำวันแต่แนะนำความเสี่ยงที่ไม่เคยเห็นมาก่อนกับข้อกังวลเรื่อง Shadow IT รวมถึงการเปิดเผยข้อมูล ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ และความเสี่ยงระดับโมเดล

Shadow AI เทียบกับ Shadow IT

Shadow IT ถูกกล่าวโทษมานานสำหรับช่องโหว่ที่ไม่รู้จัก เปอร์เซ็นต์สูงของการละเมิดก่อนหน้านี้เกิดจากเครื่องมือ SaaS ที่ไม่ได้ลงนามหรือที่เก็บข้อมูลส่วนตัว เครื่องมือ AI เปลี่ยนสมการทั้งหมด ขนาดและความเร็วในการทำงาน พร้อมกับความทึบแสง สร้างความเสี่ยงที่ยากต่อการตรวจจับและควบคุม

\ ด้วยองค์กร 78% ที่ใช้ AI ในการผลิต การละเมิดบางอย่างเกิดจากการเปิดเผยเทคโนโลยีที่ไม่มีการจัดการ โมเดล IT ที่ใหญ่กว่ายังคงมีความสำคัญ แต่ AI แนะนำมิติใหม่เพื่อขยายพื้นผิวการโจมตี

ความแตกต่างที่สำคัญระหว่าง Shadow AI และ Shadow IT

Shadow AI คล้ายกับ Shadow IT ตรงที่ทั้งคู่มาจากความต้องการของพนักงานที่จะมีประสิทธิภาพมากขึ้น แต่แตกต่างกันในที่ที่ความเสี่ยงอยู่

• เครื่องมือ Shadow IT มีตรรกะคงที่ ซึ่งทำให้พฤติกรรมคาดเดาได้ การคาดการณ์พฤติกรรมของเครื่องมือ Shadow AI ซับซ้อนกว่าเพราะโมเดลสามารถถูกแก้ไขและฝึกฝนใหม่อย่างต่อเนื่อง
• ความเสี่ยงของ Shadow IT รวมถึงข้อมูลที่ถูกเก็บหรือย้ายโดยไม่ได้รับอนุญาต ความเสี่ยงของ Shadow AI รวมถึงการย้อนกลับโมเดล การวางยาข้อมูล และการฝึกฝนโมเดล
• Shadow IT มีความแน่นอน ในขณะที่เครื่องมือ AI อาจเห็นภาพหลอน ทั่วไปได้ไม่ดี และผลิตผลลัพธ์ที่ไม่ถูกต้องด้วยความมั่นใจเกินไป

\ Shadow AI ยังเกิดขึ้นในบริบทของกฎระเบียบที่กำลังจะมาถึง เช่น พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป ซึ่งอาจเพิ่มการตรวจสอบด้านกฎระเบียบ

ความเสี่ยงด้านความปลอดภัยที่ทำให้ Shadow AI เร่งด่วนมากขึ้น

Shadow AI สามารถนำไปสู่ปัญหาในวิศวกรรม การตลาด และการเงิน เมื่อการตัดสินใจขึ้นอยู่กับผลลัพธ์ของ AI ข้อมูลที่เป็นกรรมสิทธิ์อาจรั่วไหล และกระบวนการธุรกิจภายในอาจถูกจัดการโดยไม่มีใครสังเกตเห็น

\

• การจัดการโมเดล: ผู้โจมตีสามารถสร้างข้อมูลที่บิดเบือนผลลัพธ์
• การเปิดเผยการฉีดพรอมต์: พรอมต์ที่สร้างขึ้นสามารถใช้เพื่อดึงข้อมูลส่วนตัวจากโมเดล
• ช่องว่างในสายพันธุ์ข้อมูล: เครื่องมือ AI อาจสร้างและเก็บข้อมูลในวิธีที่ทีมความปลอดภัยไม่สามารถติดตามได้
• การเลื่อนไหลของการปฏิบัติตามกฎระเบียบ: เครื่องมือ AI เปลี่ยนแปลง และแผนการกำกับดูแลที่พัฒนาอาจไม่เกี่ยวข้อง

\ ความกังวลเพิ่มขึ้นด้วยการมาถึงของ AI แบบสร้างสรรค์ แชทบอทที่ตอบคำถามของผู้ขายหรือสรุป AI แบบสร้างสรรค์อาจดูไร้พิษภัย แต่มีความเสี่ยงที่จะเปิดเผยข้อมูลการใช้งานที่ละเอียดอ่อนหรือทรัพย์สินทางปัญญาที่เป็นกรรมสิทธิ์ที่มีค่า มหาวิทยาลัยคาร์เนกีเมลลอนพบว่าโมเดลภาษาขนาดใหญ่มีความเปราะบางต่อพรอมต์ที่เป็นปฏิปักษ์มากกว่าระบบที่ใช้กฎ ปัญหาเพิ่มขึ้นเมื่อพนักงานสามารถใช้เครื่องมือโดยไม่มีการควบคุมดูแล

\ ต้นไม้การตัดสินใจที่เปิดใช้งาน AI สามารถมีอคติมากกว่าต้นไม้การตัดสินใจแบบดั้งเดิม Shadow AI มักได้รับข้อมูลการฝึกอบรมที่ไม่สมบูรณ์ที่ป้อนเข้าไปในเครื่องมือของบุคคลที่สาม การกำกับดูแลที่มีโครงสร้างของระบบ AI จะรับประกันความสมบูรณ์ของการอัปเดต เมื่อทีมมองข้ามสิ่งนี้ ข้อมูลและพฤติกรรมของโมเดลจะเลื่อนไหล

ทีมความปลอดภัยสามารถลดการเปิดเผย Shadow AI ได้อย่างไร

แม้ว่า Shadow AI จะก่อให้เกิดความเสี่ยงมากมาย องค์กรสามารถบรรเทาความเสี่ยงหลายอย่างได้โดยการรวมการมองเห็นกับนโยบายและการควบคุมทางเทคนิค สร้างความสมดุลที่ปกป้องผลิตภาพของพนักงานโดยไม่ต้องรับภาระด้วยการเช็คอินที่ใช้เวลานานหรือไซต์ที่ถูกบล็อก ทีมความปลอดภัยได้รับประโยชน์จากการปฏิบัติต่อ Shadow AI เป็นปัญหาการกำกับดูแลมากกว่าปัญหาการลงโทษ กลยุทธ์การบรรเทาจะต้องพัฒนาอย่างหลีกเลี่ยงไม่ได้เมื่อพนักงานใช้เครื่องมือ AI เพื่อปรับปรุงผลิตภาพ

1. สร้างกรอบการกำกับดูแล AI ที่ชัดเจน

แผนการกำกับดูแลควรระบุว่าเครื่องมือ AI ใดที่จะอนุมัติ ประเภทข้อมูลใดที่พนักงานสามารถใช้ได้ วิธีตรวจสอบผลลัพธ์ของโมเดลก่อนทำการตัดสินใจที่มีความเสี่ยงสูง และสิ่งที่ต้องทำเมื่อเกิดพฤติกรรมโมเดลที่คาดเดาไม่ได้ องค์ประกอบหลังรวมถึงใครตรวจสอบพฤติกรรม ใครสืบสวนสาเหตุ และผลที่ตามมาคืออะไร

\ ด้วยการกำกับดูแลที่มีอยู่ องค์กรสามารถปฏิบัติต่อ AI เหมือนกับสินทรัพย์องค์กรอื่นๆ ขึ้นอยู่กับความสามารถในการติดตาม การตรวจสอบ ความปลอดภัย และความรับผิดชอบในการปฏิบัติตามกฎระเบียบเช่นเดียวกับระบบองค์กรเก่าอื่นๆ

2. จัดหาเครื่องมือ AI ที่ได้รับการอนุมัติ

ทีมที่เข้าถึงเครื่องมือ AI ที่ผ่านการตรวจสอบและรวมศูนย์มีแนวโน้มน้อยกว่าที่จะหันไปใช้ AI สาธารณะที่ไม่ได้รับการอนุมัติเพื่อหลีกเลี่ยงตัวบล็อก เมื่องานกลายเป็นอัตโนมัติมากขึ้น พนักงานจะทุ่มเทความพยายามมากขึ้นในโมเดลต่างๆ คนงานใช้เวลาประมาณ 4.6 ชั่วโมงต่อสัปดาห์ในการใช้ AI ในงาน ซึ่งเกินเวลาการใช้งานส่วนตัวเฉลี่ย 3.6 ชั่วโมงต่อสัปดาห์ AI จากบุคคลที่สามโดยไม่มีการตรวจสอบที่เหมาะสมอาจเป็นที่นิยมมากกว่าเครื่องมือองค์กรที่ผ่านการตรวจสอบและอนุมัติแล้ว บริษัทควรดำเนินการทันทีเพื่อบังคับใช้นโยบายของตน

\ ด้วยสภาพแวดล้อมที่มีการจัดการ องค์กรสามารถตรวจสอบการใช้งานผ่านเครื่องมือ กำหนดสิทธิ์ภายในฐานข้อมูล และบังคับใช้การกำกับดูแลข้อมูลในทุกแผนก สิ่งนี้ปรับปรุงผลิตภาพของพนักงานในขณะที่ปกป้องความสมบูรณ์ของข้อมูลและการปฏิบัติตามกฎระเบียบของธุรกิจ

3. ตรวจสอบการเคลื่อนไหวของข้อมูลและการใช้งานโมเดล

เครื่องมือการมองเห็นที่ทำเครื่องหมายพฤติกรรมผิดปกติ — เช่น การเพิ่มขึ้นอย่างกะทันหันในการใช้ AI การอัปโหลดข้อมูลไปยังจุดสิ้นสุดที่ผิดปกติ หรือการเข้าถึงโมเดลในกรอบเวลาสั้นๆ ด้วยข้อมูลที่ละเอียดอ่อน — อาจช่วยให้ทีมความปลอดภัยระบุการใช้งานที่ผิดและการรั่วไหลของข้อมูล รายงานระบุว่าในช่วงปีที่ผ่านมา พนักงานมากถึง 60% ใช้เครื่องมือ AI ที่ไม่ได้รับการอนุมัติ และ 93% ยอมรับว่าป้อนข้อมูลบริษัทโดยไม่ได้รับอนุญาต

\ การตรวจจับรูปแบบเหล่านี้แต่เนิ่นๆ อาจช่วยให้สามารถแก้ไข ให้การศึกษาใหม่ ปรับการกำหนดค่าสิทธิ์ หรือยุติกระบวนการก่อนที่จะนำไปสู่การรั่วไหลของข้อมูลหรือการละเมิดการปฏิบัติตามกฎระเบียบ

4. ฝึกอบรมพนักงานเกี่ยวกับความเสี่ยงเฉพาะของ AI

การฝึกอบรมด้านความปลอดภัยทางไซเบอร์โดยทั่วไปไม่เพียงพอ AI สามารถเห็นภาพหลอนโดยการตีความเจตนาเบื้องหลังพรอมต์ผิดและสร้างเนื้อหาที่ดูเหมือนมีอำนาจ เป็นเท็จ หรือมีอคติ นอกจากนี้ คนงานต้องเข้าใจว่าการใช้ AI แตกต่างจากการใช้ซอฟต์แวร์หรือบริการ การใช้งานที่ปลอดภัยต้องการการเปลี่ยนแปลงโมเดลทางจิตใจ การเข้าใจความเสี่ยงของพรอมต์ และการจัดการข้อมูลส่วนบุคคล

\ ผู้ใช้ที่มีความรู้พื้นฐานเกี่ยวกับเครื่องจักรจะตรวจสอบข้อเท็จจริงของผลลัพธ์และมีแนวโน้มน้อยกว่าที่จะแชร์ข้อมูลส่วนบุคคลมากเกินไป พวกเขาจะปฏิบัติต่อเครื่องมือเหล่านี้เป็นนักบินร่วมที่มีค่า แต่ต้องใช้ภายใต้การควบคุมดูแลของมนุษย์

การปกป้ององค์กรจาก Shadow AI

Shadow AI กำลังเติบโตเร็วขึ้นและยากต่อการระบุมากกว่า Shadow IT แม้ว่าขนาดและความซับซ้อนของความเสี่ยงจะแตกต่างกัน การขอความช่วยเหลือจากพนักงานสามารถระบุทั้งสองได้อย่างมีประสิทธิภาพมากขึ้น นโยบายการกำกับดูแลสามารถช่วยให้บริษัทสร้างความสมดุลที่เหมาะสม ทีมความปลอดภัยควรประเมินการเปิดเผยของตนใหม่ คอยระวังภัยคุกคามที่เกิดขึ้นใหม่ และดำเนินการทันทีก่อนที่เครื่องมือที่ใช้ AI ที่มองไม่เห็นจะทำการตัดสินใจที่สำคัญในแอปพลิเคชันธุรกิจ