Shadow AI je jedan od najbrže rastućih bezbedonosnih izazova u sa vremeno poslovanju, u celom rasponu industrija od kreativne do inženjerije, ali i u svim uslužnim i servisnim delatnostima u kojima se operiše internim dokumentima. Kada god se interni dokument, deo kreiranog materijala, bio on muzički zapis, likovno delo ili programerski kod, ubaci u AI alat, postoji. mogućnost gubitka kontrole nad tim podacima. U većini slučajeva, sami AI alati nedvosmisleno u uslovima korišćenja naglašavaju da se ovim postupkom odričete intelektualnih, autorskih i svih drugih prava nad unetim materijalom. Ono na šta mnogi koji koriste AI alate, takođe ne obražaju pažnju je i da u istim uslovima često stoji da ne postoji garancija da AI kreiran sadržaj ne podleže autorskim i drugim pravima, i ekplicitno očekuju da korisnik na sebe preuzme potvrđivanje da je sadržaj slobodan za korišćenje.
Iluzija privatnosti
U tekstu sa preporukama koji smo dobili od komapanije PULSEC, navodi se da mnogi korisnici veruju da aktiviranjem opcija za privatnost ili „isključivanjem treniranja AI modela“ postaju potpuno zaštićeni, ali da su po njihovom saznanju detaljne analize uslova korišćenja pokazale da provajderi AI servisa ipak zadržavaju određena prava nad podacima, uključujući njihovo čuvanje i potencijalnu buduću upotrebu. Čak i da se kod komercijalnih enterprise verzija vrši određeni nivoi obrade, ali i zadržavanja metapodataka. Ako je ovo istina, a oprez je ovde više nego opravdan, budući da je tehnologija nova i da nema razrađene zakonske regulative.
Šta je „Shadow AI“ i zašto je opasniji nego što mislite?
„Problem nastaje onog trenutka kada podaci napuste kontrolisano okruženje kompanije, jer tada više ne postoji jasan uvid gde se ti podaci nalaze, kako se obrađuju i ko im može pristupiti. Svi podaci uneti u alate kao što su ChatGPT, Claude ili Gemini obrađuju se i skladište na infrastrukturi provajdera. Često završavaju na serverima u različitim jurisdikcijama, što dodatno komplikuje pitanje kontrole nad tim informacijama. Treba biti svestan činjenice da internet pamti – uneti podaci neće magično nestati, već se negde skladište i obrađuju, i da otvaranje „incognito” prozora u brauzeru ne spašava stvar”, navode u kompaniji PULSEC i upoznaju nas sa najčešćim slučajem u praksi: „U praksi se sve češće detektuju upravo ovakvi obrasci ponašanja: zaposleni koriste AI kako bi ubrzali svakodnevni rad, bilo da skraćuju interne izveštaje ili traže pomoć u rešavanju tehničkih izazova. Kada zaposleni izvrše upload internih dokumenata, finansijskih izveštaja ili delova izvornog koda u javne AI alate, ti podaci prestaju da budu pod potpunom kontrolom kompanije.“ Tada nastaje problem koji se naziva Shadow AI.
Kako se kompanije mogu zaštititi?
Potpuna zabrana AI alata u praksi često ne daje rezultat. Zaposleni će, naročito ako vide da im tehnologija olakšava posao, pronaći način da je koriste. Zato je efikasniji pristup da kompanije uvedu jasna pravila, edukuju zaposlene i definišu odobrene alate. Jedan od načina je korišćenje izolovane cloud infrastrukture ili lokalno pokretanje AI modela unutar sopstvene mreže, čime se eliminiše slanje podataka eksternim servisima. Pitanje ažuriranja baze znanja, kao i kontrola ovakvog rešenja može predstavljati izazov.
Savetuje se kompanijama da proaktivno upravljaju rizicima kroz sledeće korake:
- Definišite politiku upotrebe: Jasno propisivanje koji su AI alati dozvoljeni i u koje svrhe, uz striktnu zabranu unošenja poverljivih informacija kao što su lozinke ili podaci o klijentima.
- Klasifikacija podataka: Uvedite sistem podele na Public, Internal i Confidential podatke, pri čemu je za potonju kategoriju korišćenje AI servisa strogo zabranjeno.
- Ljudska verifikacija kao standard: Nijedan tekst ili tehnička dokumentacija generisani uz pomoć AI ne smeju napustiti kompaniju bez stručne ljudske verifikacije, s obzirom na poznati problem „halucinacija“ i netačnih informacija.
- Edukacija zaposlenih: Redovne obuke o opasnostima Shadow AI-a i primerima iz prakse pomažu u izgradnji kulture digitalne odgovornosti.
- Princip najmanjih privilegija: Pristup naprednim AI alatima treba da bude limitiran potrebama radnog mesta.
