Varjo-keinoäly uhkaa yritysturvallisuutta

Tekoälyteknologian kehittyessä nopeasti, organisaatiot kohtaavat uuden turvallisuusuhkan: varjo-tekoälysovellukset. Nämä luvattomat sovellukset, jotka työntekijät ovat kehittäneet ilman IT:n tai turvallisuuden valvontaa, leviävät yrityksissä usein huomaamatta, kuten hiljattain VentureBeat -artikkelissa korostettiin.

VentureBeat selittää, että vaikka monet näistä sovelluksista eivät ole tahallisesti pahantahtoisia, ne aiheuttavat merkittäviä riskejä yritysverkoille, ulottuen tietomurroista sääntörikkomuksiin.

Varjo-älysovellukset rakennetaan usein työntekijöiden toimesta, jotka pyrkivät automaatisoimaan rutiinitehtäviä tai tehostamaan toimintaa käyttäen AI-malleja, jotka on koulutettu yrityksen omalla tiedolla.

Nämä sovellukset, jotka usein perustuvat generatiivisiin AI-työkaluihin kuten OpenAI:n ChatGPT tai Google Gemini, eivät sisällä tarvittavia turvatoimia, tehden niistä erittäin alttiita turvauhkille.

Prompt Securityn toimitusjohtaja Itamar Golanin mukaan ”noin 40% näistä oletuksena kouluttaa itsensä millä tahansa datalla, jonka syötät heille, mikä tarkoittaa, että henkisen omaisuutesi voi tulla osaksi heidän mallejaan”, kuten VentureBeat raportoi.

Varjo-AI:n vetovoima on selvä. Työntekijät, jotka joutuvat kasvavan paineen alaisiksi täyttääkseen tiukat määräajat ja käsitelläkseen monimutkaisia työkuormia, ovat kääntyneet näiden työkalujen puoleen tuottavuuden lisäämiseksi.

WinWiren teknologiajohtaja Vineet Arora huomauttaa VentureBeatsille, ”Osastot hyppäävät lupaa vailla olevien tekoälyratkaisujen kelkkaan, koska välittömät hyödyt ovat liian houkuttelevia ohitettaviksi.” Kuitenkin näiden työkalujen tuomat riskit ovat merkittäviä.

Golan vertaa varjo-tekoälyä urheilussa käytettäviin suorituskykyä parantaviin lääkkeisiin, sanoen, ”Se on kuin doping Tour de Francessa. Ihmiset haluavat etumatkaa tajuamatta pitkän aikavälin seurauksia”, kuten VentureBeats raportoi.

Huolimatta etuistaan, varjoälysovellukset altistavat organisaatiot monenlaisille haavoittuvuuksille, mukaan lukien tahattomat tietovuodot ja nopeat injektiohyökkäykset, joita perinteiset turvatoimet eivät pysty havaitsemaan.

On ongelman laajuus on tyrmäävä. Golan paljastaa VentureBeatsille, että hänen yrityksensä luetteloi päivittäin 50 uutta älysovellusta, joista yli 12 000 on tällä hetkellä käytössä. ”Et voi pysäyttää tsunamia, mutta voit rakentaa veneen”, Golan neuvoo, viitaten siihen tosiasiaan, että monet organisaatiot ovat yllättyneitä varjoälyn käytön laajuudesta omassa verkostossaan.

Yksi rahoitusalan yritys, esimerkiksi, löysi 65 luvatonta tekoälytyökalua kymmenen päivän tarkastuksen aikana, mikä on huomattavasti enemmän kuin alle 10 työkalua, joita heidän turvallisuustiiminsä oli odottanut, kertoo VentureBeats

Varjo-tekoälyn vaarat ovat erityisen akuutteja säännellyillä aloilla. Kun yrityksen omaa dataa syötetään julkiseen tekoälymalliin, sen hallinnasta tulee vaikeaa, mikä johtaa mahdollisiin sääntelyongelmiin.

Golan varoittaa: ”Tuleva EU:n tekoälylaki voi ylittää jopa GDPR:n sakot”, kun taas Arora korostaa tietovuotojen uhkaa ja niitä seuraamuksia, joita organisaatiot voivat kohdata, jos ne eivät suojaa arkaluonteisia tietoja, kuten VentureBeats raportoi.

Varjo-tekoälyn kasvavaan ongelmaan puuttumiseksi asiantuntijat suosittelevat monitahoista lähestymistapaa. Arora ehdottaa, että organisaatiot luovat keskitettyjä tekoälyn hallintorakenteita, suorittavat säännöllisiä tarkastuksia ja käyttävät tekoälyä tunnistavia turvatoimintoja, jotka voivat havaita tekoälyn hyödyntämät hyökkäykset.

Lisäksi yritysten tulisi tarjota työntekijöilleen ennakkohyväksyttyjä AI-työkaluja sekä selkeät käyttöohjeet, jotta houkutus käyttää hyväksymättömiä ratkaisuja vähenee.