автор: Eugen Schank
Shadow AI, известен още като “нелегален” AI, може да звучи плашещо, но всъщност се отнася до неразрешеното използване на инструменти и модели за изкуствен интелект (като ChatGPT) в рамките на дадена организация. Често забелязваме използването на тези полезни асистенти въпреки изричното отричане от страна на ИТ отдела. Причината за тази забрана е, че използването на такъв AI може да изглежда безобидно, но съществуват скрити опасности, които може да не са очевидни на пръв поглед.
Приложенията на Shadow AI често не се придържат към установените организационни протоколи за сигурност, което повишава риска от изтичане на данни. Служителите могат неволно да споделят чувствителна или поверителна информация с неразрешени приложения, което потенциално може да доведе до нарушения на сигурността на данните. Освен това, използването на неодобрени AI инструменти може да доведе до неволни нарушения на индустриалните регулации и законите за поверителност, което в крайна сметка може да причини репутационни щети или финансови санкции за организациите.
Не на последно място трябва да споменем, че използването на технологии, попадащи в категорията “Shadow AI”, може да доведе до неволно разкриване на интелектуална собственост, когато служителите използват външни AI приложения за анализ на фирмени данни. Ако служителите използват външни AI системи без предварително одобрение от ИТ отдела, това може също така да направи организацията уязвима за атакуващи, с потенциално тежки последствия.
ИТ отделите могат да се затруднят в управлението на този постоянно разрастващ се, сложен пейзаж. Самото разпространение на тези системи може да попречи на видимостта и да подложи организацията на неизвестни вектори на атака, като например атаки тип “Denial-of-Wallet” , които станаха известни с появата на облачните и безсървърните разпределени системи.
Сега, след като разгледахме какво е Shadow AI и какви опасности носи за организациите, нека да разгледаме какво имат на разположение ИТ отделите, за да ограничат излагането на тези опасности:
- Управление – Установяването на ясни насоки за приемането и използването на AI инструменти във вашата организация е от съществено значение за правилното управление. Прозрачен процес за проверка и одобряване на AI инструменти, заедно с добре дефинирани граници и протоколи за работа с данни, също е важен.
- AI грамотност – Служителите трябва да бъдат обучени за потенциалните рискове от използването на AI инструменти и как правилно да ги използват в бизнес контекст. Важно е да се прави разлика между лична и бизнес употреба и да се възприемат инструментите отговорно и в двата контекста.
- Предоставяне на алтернативи – добра опция е предоставянето на проверена вътрешна AI алтернатива. За тази цел, обучението на лесно достъпен модел с фирмените собствени данни и самостоятелният хостинг може да бъде добра начална стъпка. Това също би помогнало да бъдат преценени вътрешното търсене на услугата и да бъдат идентифицирани възможни недостатъци на модела или проблеми с качеството на данните.
- Създаването на вътрешен AI съвет, подобен на център за облачни технологии, би позволило на група от хора с необходимите умения и знания да оценяват ИТ инструментите и да определят тяхната приложимост за вътрешно ползване. Освен това, този съвет би могъл да предоставя вътрешно обучение.
- Одитите за сигурност са ключова част от всяка системна оценка и трябва да се провеждат редовно.
- План за реагиране при инциденти – наличието на такъв план може да бъде изключително полезно, когато всичко друго се провали и трябва да въведете стратегия за отстраняване на проблема възможно най-бързо.
- Работа с доставчици – сътрудничеството с доставчици за изграждане на силни взаимоотношения с организациите, разработващи AI инструменти, може да бъде от полза. Това партньорство може да осигури ранен достъп до нови функции, позволявайки тестването на тяхното прилагане, преди да бъдат интегрирани в официалния продукт.
- Не забравяйте да се информирате за регулациите, свързани с AI. Познаването на последните законодателни разработки в областта на AI може значително да подпомогне усилията на организацията и да е насока в правилната посока, особено когато е необходима много вътрешна организационна работа, за да се предложат AI инструменти вътрешно по надежден начин.
Организациите трябва да установят ясен и всеобхватен подход за управление на AI инструментите вътрешно. Негативните въздействия на Shadow AI могат да бъдат значителни и да имат непридвидими ефекти. Тези рискове трябва да бъдат внимателно преценени спрямо потенциалните ползи, които AI инструментите могат да предоставят по отношение на вътрешната продуктивност. Целта е да се постигне баланс между контрол и гъвкавост, създавайки безопасна среда за използване на AI в цялата организация.