AI – Od eksperymentu do filaru produktywności
SaaS i Generatywna sztuczna inteligencja (GenAI) często są kluczowym elementem produktywności w nowoczesnych przedsiębiorstwach. W ciągu zaledwie 2–3 lat technologia AI zyskała na znaczeniu. Obecnie 45% użytkowników korporacyjnych aktywnie korzysta z platform AI, a 92% użytkowników posługujących się AI wykorzystuje ChatGPT. Generatywna AI stanowi już 11% całej aktywności w przedsiębiorstwach. To pozwala stać się kategorią porównywalną z tradycyjnymi aplikacjami biurowymi i narzędziami do udostępniania plików. Ta szybka adopcja oznacza, że AI nie jest już technologią „wschodzącą”, ale kategorią, kształtującą sposób, w jaki pracownicy badają, tworzą i wchodzą w interakcje z danymi biznesowymi. Przyjrzyjmy się bliżej, co mówi raport 2025 Enterprise AI & SaaS Data Security Report.
Coraz więcej procesów biznesowych odbywa się za pośrednictwem przeglądarki internetowej. Staje się ona głównym punktem kontrolnym, w którym ryzyko dla danych korporacyjnych jest największe. Niestety najczęściej w wielu firmach jest ono pomijane.
Shadow AI i utrata kontroli
Wraz z szybkim przyjęciem GenAI pojawiają się nowe, krytyczne luki w zabezpieczeniach. Pracownicy coraz częściej korzystają z aplikacji poprzez niezarządzane konta osobiste, przesyłając wrażliwe pliki i przenosząc dane za pomocą „niewidzialnych” kanałów kopiuj/wklej. To zjawisko tworzy Shadow AI i Shadow IT, stając się nowym wektorem wycieku danych przedsiębiorstwa.
Tradycyjne rozwiązania chroniące przed utratą danych (DLP), które zostały zaprojektowane z myślą o środowiskach opartych na plikach i usankcjonowanych systemach, nie są w stanie nadążyć za tą zmianą.
Główne statystyki potwierdzające ryzyko Shadow AI
- Dominacja kont osobistych i brak SSO: Pomimo szeroko zakrojonych działań w zakresie bezpieczeństwa tożsamości, 67% dostępu do narzędzi GenAI odbywa się za pośrednictwem niezarządzanych kont osobistych. To samo dotyczy komunikatorów (87%) i spotkań online (60%). Nawet w przypadku korzystania z kont korporacyjnych, egzekwowanie Single Sign-On (SSO) jest dramatycznie słabe. Aplikacje obsługujące najbardziej wrażliwe dane, takie jak CRM (71% bez SSO) i ERP (83% bez SSO), są w dużej mierze dostępne bez odpowiedniej federacji. Brak SSO sprawia, że loginy korporacyjne funkcjonują tak samo jak konta osobiste, omijając mechanizmy kontroli.
2. Wrażliwe pliki w strefie cienia: Blisko połowa plików przesyłanych do narzędzi GenAI ( 40% ) oraz platform udostępniania plików ( 41% ) zawiera dane osobowe, prywatne czy dane finansowe klientów. To czyni te narzędzia głównymi „hotspotami” potencjalnych naruszeń. Co gorsza, blisko 4 na 10 tych przesłań (39%) do aplikacji GenAI odbywa się za pośrednictwem kont niekorporacyjnych.
3. Kopiuj/wklej to największy wektor wycieku: Większość wrażliwych danych wycieka poprzez kanały kopiuj/wklej, które omijają rozwiązania DLP, skupiające się na plikach. 77% użytkowników wkleja dane do narzędzi GenAI. Z tego aż 82% tej aktywności pochodzi z niezarządzanych kont osobistych. Narzędzia GenAI odpowiadają za 32% całej eksfiltracji danych korporacyjnych na konta osobiste. To czyni je wektorem numer jeden dla ruchu danych poza zatwierdzonymi środowiskami. Pracownicy wykonują średnio 15 wklejeń danych dziennie przy użyciu kont niekorporacyjnych, z czego co najmniej 4 zawierają wrażliwe dane (PII/PCI).
Jak kompleksowe usługi bezpieczeństwa mogą pomóc klientom
GenAI nie może być już traktowana jako technologia marginalna. Wymaga tego samego rygoru w zakresie nadzoru i monitorowania, co poczta e-mail czy udostępnianie plików. Aby skutecznie przeciwdziałać Shadow AI, trzeba przenieść kontrolę na poziom przeglądarki, która jest punktem, przez który przepływają wszystkie dane i działania.
W połączeniu z mechanizmami kontroli dostarczanymi bezpośrednio w przeglądarce, oprogramowanie monitorujące pozwala na odzyskanie pełnej widoczności i wprowadzenie niezbędnych zabezpieczeń, które tradycyjne narzędzia oparte na sieci lub urządzeniach końcowych pomijają.
Działania i usługi, które należy wdrożyć:
1. Audyt i odkrywanie Shadow AI/SaaS:
Rozszerzenie audytu poza usankcjonowane aplikacje, aby objąć platformy BYOAI (Bring Your Own AI) i aplikacje SaaS z wbudowanymi funkcjami AI.
Identyfikacja narzędzi, które są używane, w jaki sposób pracownicy uzyskują do nich dostęp (konta korporacyjne vs. osobiste) i jakie dane przez nie przepływają, co jest niezbędne do określenia prawdziwej powierzchni ryzyka.
2. Przejście na natywną kontrolę przeglądarki:
Przedsiębiorstwa muszą monitorować i egzekwować zasady na poziomie przeglądarki, aby przejąć kontrolę również nad danymi bezplikowymi.
Usługa DLP musi zostać rozszerzona poza pliki, aby obejmować kanały kopiuj/wklej oraz wprowadzanie tekstu (prompty) jako pierwszorzędne polityki kontroli. Jest to jedyny sposób na powstrzymanie niewidzialnej eksfiltracji, która jest obecnie najszybciej rosnącym wektorem wycieku danych.
3. Wymuszanie tożsamości i kontroli dostępu:
Ważne jest ograniczenie użycia niezarządzanych kont osobistych i egzekwowanie SSO na wszystkich kontach korporacyjnych w celu zapewnienia, że krytyczne aplikacje biznesowe są dostępne w sposób widoczny i kontrolowany.
Należy traktować loginy korporacyjne, które omijają SSO, jako aktywny Shadow IT, ponieważ leżą one poza korporacyjnym obszarem bezpieczeństwa.
4. Priorytetyzacja ryzyka:
Największe ryzyko niosą za sobą kategorie AI, komunikatory internetowe oraz platformy do udostępniania plików, ze względu na wysoką tendencję do niezarządzanego dostępu i ekspozycji wrażliwych danych. Usługi bezpieczeństwa powinny wprowadzić natychmiastowe egzekwowanie zasad w tych kategoriach, blokując konta osobiste i ściśle monitorując transfery danych.
Wnioski
Ryzyko związane z Shadow AI wynika z niezarządzanego dostępu (konta osobiste, brak SSO) i niekontrolowanych, bezplikowych przepływów danych (kopiuj/wklej). Ponieważ AI stało się podstawowym elementem pracy, strategie bezpieczeństwa muszą ewoluować,. Zarządzanie widocznością i kontrolą powinno być możliwe bezpośrednio w przeglądarce, gdzie te krytyczne działania mają miejsce.
Chciałbyś dowiedzieć się więcej o rozwiązaniu, które zabezpieczy Ciebie i Twoją firmę przed niekontrolowanymi wyciekami z narzędzi AI?
