Okta anketa pretvara shadow AI iz uredskog prečaca u problem nadzora nad podacima
Shadow AI stvara sigurnosnu slijepu točku između službenih sustava i stvarne uporabe alata.📷 AI-generated image / TECH&SPACE
- ★Okta anketa, prema The Registeru, bilježi AI sigurnosni incident ili skoro promašaj u više od polovice organizacija prošle godine.
- ★Shadow AI nastaje kada zaposlenici koriste vanjske AI alate bez jasnog odobrenja, nadzora ili kontrole nad podacima.
- ★Rješenje nije zabrana svega, nego inventar alata, jasna pravila za podatke i mjerljiv nadzor nad poslovnom uporabom AI-ja.
Shadow AI je jednostavan pojam za nezgodnu praksu: zaposlenici koriste generativne AI alate koje IT, sigurnost ili pravni tim nisu formalno odobrili. U takvom scenariju poslovni dokumenti, korisnički podaci, programski kod, financijski nacrti ili interni planovi mogu završiti u servisima koji nisu prošli procjenu rizika. Čak i kada nema namjerne zlouporabe, organizacija gubi osnovnu stvar: vidljivost. Ako ne zna koji se alat koristi, s kojim podacima i pod kojim uvjetima, ne može ozbiljno govoriti o upravljanju rizikom.
Okta je u ovoj priči važna jer se bavi identitetom i pristupom, dakle slojem kroz koji se vidi tko se prijavljuje u koje poslovne sustave. No AI alati često ulaze kroz bočna vrata: osobne račune, proširenja preglednika, besplatne web aplikacije ili probne poslovne licence koje nastanu prije nego što ih netko formalno evidentira. Zato se sigurnosna rasprava ne može svesti na pitanje koristi li tvrtka AI. Pravo pitanje glasi koristi li ga organizacija pod uvjetima koje razumije.
Okta anketa, prema The Registeru, pokazuje da je više od polovice organizacija lani imalo AI sigurnosni incident ili skoro promašaj.
Najveći rizik često počinje običnim unosom poslovnih podataka u neodobreni AI alat.📷 AI-generated image / TECH&SPACE
Uprave ovdje najčešće griješe u tempu. Politike se pišu tromo, a zaposlenici već rade s alatima koji im daju trenutačnu produktivnost. Ako je službeni proces spor, ljudi će naći kraći put. To ne znači da su zaposlenici neprijatelj sustava, nego da je sustav zakasnio. Dobra AI politika zato mora razlikovati osjetljive podatke od javnih materijala, odobrene alate od neodobrenih i eksperimentiranje od produkcijskog rada.
Korisni okvir već postoji. NIST AI Risk Management Framework naglašava upravljanje, mapiranje i mjerenje AI rizika, dok CISA-ine AI sigurnosne smjernice stavljaju naglasak na sigurnu primjenu i odgovorno korištenje. Za organizacije koje se oslanjaju na identitetsku infrastrukturu, Okta je prirodan dio rasprave, ali nije dovoljan sam po sebi. Identitet može pokazati dio slike; upravljanje podacima, ugovorima i ponašanjem korisnika mora zatvoriti ostatak.
Najslabiji odgovor bio bi panična zabrana svih AI alata. Takva zabrana obično samo premjesti korištenje u još manje vidljive kanale. Ozbiljniji odgovor počinje inventarom: koji se alati koriste, tko ih koristi, za koje zadatke i s kojim vrstama podataka. Nakon toga dolaze pravila za unos osjetljivih informacija, odobreni alati za poslovnu uporabu, edukacija koja nije pravni ritual i tehnički nadzor koji može otkriti rizične obrasce.
Brojka iz Okta ankete ne govori da je svaki AI alat opasan. Govori da je razdoblje neformalnog eksperimentiranja završilo. Kada više od polovice organizacija već bilježi incident ili skoro promašaj, samopouzdanje bez dokaza postaje sigurnosni rizik.
