Уступите дорогу теневому IT: теневой ИИ — новый риск на горизонте. Взрывной рост доступных инструментов ИИ, энтузиазм руководства по поводу новой технологии, стремление сотрудников делать больше меньшими средствами, зарождающееся управление и головокружительная скорость эволюции ИИ создали идеальную среду для процветания теневого ИИ. — csoonline.com
Уступите дорогу теневому IT: теневой ИИ — новый риск на горизонте. Взрывной рост доступных инструментов ИИ, энтузиазм руководства по поводу новой технологии, стремление сотрудников делать больше меньшими средствами, зарождающееся управление и головокружительная скорость эволюции ИИ создали идеальную среду для процветания теневого ИИ.
«Каждый CISO, с которым я общаюсь, обнаружил ту или иную форму теневого ИИ», — говорит Эндрю Уоллс, вице-президент-аналитик Gartner.
Поставщики включают возможности ИИ в свои продукты, часто не уведомляя об этом клиентов. Сотрудники используют эти встроенные функции ИИ, осведомлены об этом CISO или нет. И, конечно, сотрудники обращаются к инструментам ИИ, которые либо не прошли проверку, либо были прямо запрещены их работодателями.
CISO могут узнать об этих случаях из отчетов сотрудников или с помощью инструментов, предназначенных для обнаружения использования ИИ. Но обнаружение теневого ИИ — это только первый шаг. CISO необходимо понять контекст его использования, сопутствующие риски и то, как адаптировать управление в будущем.
Оценка риска
Как только CISO узнают о конкретном случае теневого ИИ, первым шагом является понимание связанного с ним риска. «Первый инстинкт — реагировать. А это никогда не является хорошим решением в сфере кибербезопасности», — говорит Оливия Роуз, преподаватель IANS и основатель Rose CISO Group. «Вам нужно всесторонне обдумать свой ответ и оценить уровень риска для организации, прежде чем реагировать и решать проблему».
Насколько конфиденциальны данные? Что поставщик инструмента ИИ делает с этими данными? Как они хранятся? Используются ли они для обучения модели ИИ? «Беспокоит не часть, связанная с ИИ в теневом ИИ. Беспокоят данные, которые сотрудник передает ИИ», — говорит Уоллс.
И главный вопрос для CISO: привел ли этот случай теневого ИИ к утечке данных?
Хотя обнаружение утечки никогда не является идеальным результатом, CISO не находятся в совершенно неизведанных водах. В их организациях должны быть разработаны планы реагирования на инциденты, которым следует следовать, даже если утечка связана с использованием теневого ИИ.
«Я управлял рядом инцидентов безопасности, крупными инцидентами и утечками данных. Они никогда не бывают одинаковыми, даже до появления ИИ. Итак, как вы справляетесь с утечкой, связанной с ИИ? Это зависит от того, что было скомпрометировано, как это было скомпрометировано, какой тип данных был скомпрометирован, каковы юридические и нормативные последствия этой утечки», — говорит Ванди Хамиди, CISO компании BPM, занимающейся налоговым консалтингом и бухгалтерским учетом.
Хотя утечки данных вызывают серьезную озабоченность, они не являются единственным потенциальным результатом использования ИИ. «Риск ИИ — это не только цифровой риск, он может очень быстро стать физическим», — говорит Пабло Балларин, соучредитель и vCISO в Balusian, а также член ISACA. Открывает ли использование теневого ИИ путь к операционным сбоям, потере ресурсов или проблемам с безопасностью? Ответы на эти вопросы также являются частью необходимой оценки рисков.
Понять, почему используется ИИ
Если CISO хотят эффективно управлять теневым ИИ, им необходимо понять, почему он постоянно появляется. Немедленной реакцией может быть прекращение использования теневого ИИ, но ответ должен быть более глубоким.
«Наш фокус — понять, почему они его используют, проинформировать их о рисках использования неутвержденного инструмента ИИ, определить, есть ли у нас уже инструменты в организации, которые могут удовлетворить эти потребности, а затем, очевидно, направить их с… серьезным напоминанием о том, что если он не одобрен для использования», — говорит Хамиди.
Сотрудники, вероятно, используют теневой ИИ, потому что он повышает их производительность. Может ли бизнес выиграть от вывода этого ИИ из тени на свет? Используют ли сотрудники неутвержденный инструмент, потому что не знают, что существует нечто похожее, уже проверенное бизнесом?
CISO в компаниях, занимающих более драконовскую позицию в отношении ИИ, могут обнаружить, что им трудно управлять количеством случаев теневого использования.
«Если компания в целом медленно внедряет инновации, это фактически вынуждает к использованию теневого ИИ», — говорит Хамиди.
Закрыть или интегрировать
Как только CISO получат представление о риске, вносимом теневым ИИ, и о причинах его использования, они смогут совместно с другими руководителями предприятия решить, следует ли его закрыть или добиваться его одобрения для использования.
Если инструмент необходимо закрыть — а это почти наверняка произойдет, если он стал причиной утечки, — CISO придется выяснить, как это сделать и как предотвратить повторение того же сценария использования.
«Вы должны рассмотреть стратегии смягчения последствий для предотвращения повторения, будь то обучение сотрудника, более последовательная политика и руководящие принципы приемлемого использования, или технологическое решение посредством какого-либо механизма блокировки или фильтрации», — говорит Уоллс.
Если теневой ИИ представляет собой потенциально ценный сценарий использования для бизнеса, пришло время, чтобы этот инструмент прошел формальный процесс рассмотрения, в котором участвует не только команда безопасности.
«Наш процесс PMO включает формальную проверку информационной безопасности, юридическую проверку, проверку конфиденциальности данных. Он также включает оценку рентабельности инвестиций, чтобы понять, имеет ли этот инструмент смысл. И затем он либо одобряется, либо нет», — делится Хамиди.
Использование ИИ, теневого или иного, — это тонкий баланс между риском с одной стороны и выгодой с другой. Теневой ИИ может иметь законное бизнес-применение, повышающее производительность, но если риск перевешивает эту выгоду, CISO должны защищать свои предприятия. И производительность может пострадать.
«В зависимости от уровня риска используемого инструмента, иногда это та цена, которую мы должны заплатить», — говорит Хамиди.
Пересмотр и обновление управления ИИ
Каждый обнаруженный случай теневого ИИ — это возможность, даже если он привел к утечке. CISO могут выступать за выделение дополнительных ресурсов для поддержки текущей задачи управления теневым ИИ. «Никогда не упускайте хорошую утечку. Вы можете использовать ее, чтобы получить бюджет, ресурсы, поддержку для организации по кибербезопасности», — говорит Роуз.
Независимо от исхода использования теневого ИИ — блокировки или интеграции — его обнаружение требует обучения сотрудников. Знают ли они, какие инструменты ИИ им уже доступны? Знают ли сотрудники, что считается теневым ИИ? Знают ли они о рисках использования теневого ИИ?
Эта информация должна быть четко доведена до сведения сотрудников. «Если нет четких указаний о том, что допустимо, а что нет, то сотрудники будут делать то, что считают лучшим», — говорит Уоллс.
Хотя четкое общение важно, важен и способ его донесения. CISO не хотят создавать культуру, в которой сотрудники боятся использовать ИИ. Вместо этого они могут подталкивать предприятия к созданию четких путей для сотрудников, чтобы они могли предлагать потенциальные инструменты на оценку.
«Я не хочу наказывать людей за использование ИИ для повышения их производительности. Если у них есть законные деловые причины, и они хотят его использовать, у нас есть процессы для получения одобрения», — говорит Хамиди.
Наказание — не первая линия реагирования на управление теневым ИИ, но подотчетность должна быть частью того, как технология используется в организации. Сотрудники должны понимать последствия использования инструментов ИИ: одобренных и неодобренных. Им необходимо обучение ответственному использованию инструментов ИИ и четкое представление о том, что может произойти, если они продолжат обращаться к неодобренным инструментам. «Работайте с отделом кадров, чтобы определить последствия за повторное нарушение», — советует Роуз.
Комитет, ответственный за управление ИИ, должен формировать эту культуру подотчетности; это не может быть исключительной ответственностью команды безопасности. «Если эта ответственность не будет четко возложена на каждого человека, который использует ИИ, то вполне вероятно, что, когда начнется игра в обвинения, не будет очевидного ответственного. И CISO может оказаться под огнем», — говорит Уоллс.
На данный момент управление ИИ может потребовать собственного набора политик, но Уоллс предполагает, что этот подход со временем изменится. «Создайте политику ИИ, политику безопасности ИИ, политику генеративного ИИ, политику агентивного ИИ и руководящие принципы и так далее. Они необходимы сейчас, но через два-три года они сольются со всем остальным управлением технологиями и станут единым целым», — говорит он.
Даже по мере развития управления ИИ CISO останутся в центре обсуждения. Теневой ИИ — это риск безопасности, и он никуда не денется в ближайшее время.
«Теневой ИИ, в некоторой степени как и теневой IT, невозможно полностью избежать. Им нужно управлять», — говорит Хамиди.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carrie Pallardy