Jak CISO Clearwater Analytics uniknął kryzysu związanego ze sztuczną inteligencją w cieniu?
Shadow AI: cyfrowy czynnik nieprzewidywalny, którego firmy nie mogą zignorować
Kiedy myśli się o najnowszej fali sztucznej inteligencji, zazwyczaj mówi się o oszałamiających nowych funkcjach i wygodzie. Jednak za kulisami rozgrywa się inna historia – zagrożenie, którego niewielu dostrzegło, dopóki nie było już prawie za późno. To niezauważalne zagrożenie nazywa się ‘cienią sztucznej inteligencji’ (shadow AI): jest to zjawisko, w którym pracownicy korzystają z narzędzi AI, takich jak ChatGPT czy Copilot, na własną rękę, bez oficjalnej zgody działu IT. Ich intencje mogą być dobre – być może chodzi po prostu o ułatwienie sobie życia – ale zagrożenie dla poufnych danych firmowych jest bardzo realne. Wystarczy, że jeden plik trafi do niewłaściwego pola tekstowego, by tajemnice firmy wyciekły, a czasami nikt tego nie zauważa, dopóki szkoda nie zostanie wyrządzona.
Warto wziąć przykład z firmy Clearwater Analytics, która odpowiada za nadzór nad aktywami finansowymi o wartości $8,8 biliona. Kiedy pojawiła się potencjalna sytuacja związana z „cieniową sztuczną inteligencją”, to właśnie Sam Evans, dyrektor ds. bezpieczeństwa informacji w tej firmie, zdołał ją na czas wykryć. Dzięki połączeniu czujności i natychmiastowego działania Evans zdołał zapobiec sytuacji, w której o mało co nie doszło do głośnego naruszenia bezpieczeństwa danych. Takie incydenty pokazują, jak kluczowy jest doświadczony nadzór ludzki – nawet w świecie coraz bardziej kierowanym przez algorytmy.
Dlaczego sztuczna inteligencja typu „shadow AI” znajduje sposób na przedostanie się do systemu
Atrakcyjność generatywnej sztucznej inteligencji w miejscu pracy jest oczywista: modele te są wydajne, szybkie i mogą pomóc we wszystkim – od sporządzania dokumentów po analizę danych liczbowych. Każdy pracownik może z łatwością zarejestrować się w nowym narzędziu opartym na sztucznej inteligencji i zacząć wprowadzać dane, zwłaszcza gdy oficjalne rozwiązania nie nadążają za codziennymi wymaganiami zawodowymi. Jednak bez zatwierdzonych przez firmę zabezpieczeń ta wygoda staje się bronią obosieczną. Informacje poufne, dane klientów lub kod źródłowy mogą trafić do systemu sztucznej inteligencji poza zasięgiem firmy — a Ty możesz nigdy nie dowiedzieć się, co dzieje się z tymi danymi, gdy już znikną.
Tego rodzaju nieautoryzowane wykorzystanie skłoniło zespół ds. bezpieczeństwa firmy Clearwater do podjęcia zdecydowanych działań. Sam Evans nie tylko zareagował — zbudował też solidniejsze zabezpieczenia. Pod jego kierownictwem firma wdrożyła nowe strategie monitorowania, aktywnie wypatrując narzędzi AI działających pod radarem. W proces ten włączono pracowników, organizując szkolenia i wprowadzając jasne zasady, dzięki czemu wszyscy zrozumieli, o co toczy się gra i z jakich narzędzi można bezpiecznie korzystać. A dzięki wdrożeniu zaawansowanej technologii wykrywania firma Clearwater mogła wcześnie wykrywać ukryte działania sztucznej inteligencji – na długo przed tym, zanim przerodziły się one w kryzys.
Wspieranie innowacji — bez utraty kontroli
Podejście firmy Clearwater odzwierciedla szerszy dylemat, przed którym stoją współczesne przedsiębiorstwa: jak wykorzystać transformacyjną moc sztucznej inteligencji, nie obniżając przy tym poziomu zabezpieczeń? Granice między bezpieczeństwem a postępem są bardziej zatarte niż kiedykolwiek. Aby właściwie sobie z tym poradzić, organizacje potrzebują czegoś więcej niż tylko zasad — potrzebują kultury opartej na odpowiedzialnym wdrażaniu sztucznej inteligencji oraz elastycznych ram bezpieczeństwa. W Clearwater każde nowe narzędzie oparte na sztucznej inteligencji jest dokładnie sprawdzane od początku do końca, zanim ktokolwiek wykorzysta je do zadań o krytycznym znaczeniu, a rutynowe audyty gwarantują, że nic nie umknie uwadze.
Gdy opadł kurz po tej sytuacji, w której o mało co nie doszło do tragedii, firma Clearwater Analytics podwoiła wysiłki: sprawiła, że bezpieczeństwo stało się sprawą wszystkich, a nie tylko zadaniem działu technicznego. W obliczu tak cennych danych nie ma miejsca na samozadowolenie. To właśnie szybkie i zdecydowane działania – oraz dyrektor ds. bezpieczeństwa informacji (CISO), który wiedział, kiedy zaufać swoim instynktom – pomogły firmie Clearwater utrzymać równowagę między innowacjami a ryzykiem. W dzisiejszym, szybko zmieniającym się świecie sztucznej inteligencji jest to lekcja, której żadna firma nie może zignorować.
Aby poznać wszystkie szczegóły dotyczące historii Clearwater, przeczytaj oryginalny artykuł na stronie VentureBeat.