Hoe om skaduwee-KI te tem
INHOUDSOPGAWE:
Onthou jy skadu-IT? Dit het 'n ontwrigtende nuwe broer of suster: skadu-KI. Namate werknemers meer vertroud raak met die tydbesparende vermoëns van generatiewe KI-modelle, stroom hulle na hulle by die werk. Die probleem is dat hulle nie altyd toestemming het nie.
Skadu-KI is nie net 'n teoretiese probleem nie, volgens Check Point Research se KI-sekuriteitsverslag 2025; dis nou hier. KI-dienste is nou elke maand in ten minste die helfte van ondernemingsnetwerke aktief, het die navorsing aan die lig gebring. Terselfdertyd, 'n ander verslag van Cyberhaven Labs verlede jaar het bevind dat datadeling met KI-instrumente byna vyfvoudig in 'n enkele jaar tussen Maart 2023 en Maart 2024 ontplof het. Dit sou goed wees as die gebruik almal goedgekeur word. Driekwart van ChatGPT-gebruik in die werkplek vind egter plaas deur persoonlike rekeninge wat nie deur korporatiewe sekuriteitsbeheermaatreëls beperk word nie, het Cyberhaven gesê.
Werknemers is nie altyd diskreet oor wat hulle met hierdie gereedskap deel nie, met byna een uit vier wat erken dat hulle sensitiewe werkinligting met hulle agter hul baas se rug deel. Check Point Research het bevind dat 1.25% van alle aanwysings 'n hoë risiko van sensitiewe data-lek inhou, en nog 7.5% van die aanwysings potensieel sensitiewe data bevat.
Die soort inligting wat in hierdie stelsels beland, wissel van kliëntediensinligting (16.3%) tot bronkode, navorsings- en ontwikkelingsmateriaal en finansiële dokumente, het Cyberhaven gesê.
Werklike voorvalle illustreer wat op die spel is. In April 2023 het Samsung 'n groot verleentheid teëgekom toe ingenieurs halfgeleierbronkode en eie vergaderingnotas gedeel het.
Is my data werklik in gevaar?
Maatskappye kan dalk vergewe word as hulle dink dat hul data veilig toegesluit is as dit wel in 'n KI-sessie beland, maar dit is nie altyd die geval nie. Daar is verskeie lekvektore. Byvoorbeeld, baie KI-dienste gebruik eksplisiet invoerdata vir modelopleiding. Dit sluit in OpenAI se gratis ChatGPT-weergawe en die gratis weergawe van Microsoft Copilot waarop dit gebaseer is. Dit kan fragmente van jou maatskappy se data aan ander gebruikers blootstel deur die KI se reaksies.
Vinnige inspuitingsaanvalle kan KI-stelsels mislei om vorige gesprekke of opleidingsdata te openbaar, wat die KI in wese teen homself draai om inligting te onttrek wat dit nie moet deel nie. Hierdie word nou as OWASP se #1 KI-sekuriteitsrisiko beskou, as gevolg van hul potensiële impak. Hulle stel aanvallers in staat om KI-stelsels te manipuleer deur sorgvuldig geslypte aanwysings te skep wat sensitiewe opleidingsdata onttrek of veiligheidsmaatreëls omseil.
Databreuke by KI-verskaffers skep self blootstellingsrisiko's. Wanneer hierdie maatskappye gekap word, word jou sensitiewe aanwysings deel van die gesteelde datastel. OpenAI is in 2023 gedwing om gebruikers te waarsku na 'n fout in sy Redis-databasis. blootgestel sommige gebruikers se geselsies met ander. Met OpenAI nou onder bevele om nie gebruikersnavrae te verwyder nie As deel van 'n hofsaak in die New York Times, behou dit nou privaat gesprekke wat kwesbaar kan wees vir 'n suksesvolle kuberaanval.
Die herkoms en sekuriteit van hierdie modelle is ook soms twyfelagtig. Met meer Chinese modelle nou beskikbaar en diepe bekommernisse oor die sekuriteit van die Chinese model DeepSeek, is skadu-KI 'n duidelike en huidige bedreiging.
Monitering van skadu-KI is moeilik
Dit is maklik vir skadu-KI om onder die draad te vlieg, veral met hierdie dienste wat vinniger bekendgestel word as wat IT-afdelings hulle kan evalueer. KI-vermoëns wat in goedgekeurde toepassings ingebed is, sal onsigbaar wees vir konvensionele opsporingstelsels, en dit kan moeilik wees om blaaier-gebaseerde sessies te blokkeer. Blokkeerlyste is dalk nie bewus van alle KI-dienste nie, en in elk geval mag sommige werknemers toegelaat word om dit te gebruik terwyl ander nie. Dan is daar API-gebaseerde interaksies en geïnkripteerde kommunikasie om te oorweeg.
Tem die KI-beest
Gegewe KI se belofte van verhoogde produktiwiteit, lyk dit teenintuïtief om dit bloot heeltemal te verbied. In plaas daarvan is dit meer realisties om versigtig op KI te fokus deur KI-gebruiksbeleide te skep, veral gegewe werknemers se gretigheid om hierdie dienste te gebruik. 'n Studie van Software AG verlede Oktober. gevind dat byna die helfte van alle werknemers persoonlike KI-gereedskap sal aanhou gebruik, selfs al sou hul werkgewer dit verbied.
Gereedskap soos NIST se KI-risikobestuursraamwerk bied organisasies die geleentheid om KI se voordele te benut terwyl die risiko's daarvan verminder word. NIST se raamwerk gebruik 'n 'regeer, karteer, meet en bestuur'-benadering, wat maatreëls onder elk van hierdie opskrifte insluit om organisasies in staat te stel om 'n strategiese benadering tot die bestuur van die gebruik van KI onder werknemers te volg. ISO se 42001:2023-raamwerk stel ook voor hoe om KI-bestuurstelsels verantwoordelik binne organisasies te skep en te onderhou.
Baie van dieselfde beginsels wat gebruik word om tradisionele skadu-IT te bestry, geld. Die vestiging van interne KI-appwinkels met goedgekeurde gereedskapkatalogusse kan gebruikers meer keuses bied terwyl redelike beskermings vir gebruik gehandhaaf word. Dit gee jou ook meer vastrapplek wanneer aanvaarbare gebruiksbeleide vir KI vasgestel word, wat werknemers vertel watter soort navrae aanvaarbaar (en nie aanvaarbaar) is om te maak. Opleidingsprogramme vir werknemers sal help om hierdie beleide te versterk terwyl dit hulle ook meer produktief maak deur hulle in te lig oor slim KI-gebruiksgevalle.
Vir sommige organisasies sal die oorgang na private KI-stelsels wat selfgehoste groot taalmodelle gebruik, help om die risiko van eksterne KI-toepassings te verminder. Vir baie sal dit egter steeds 'n groot vraag wees, wat aansienlike kundigheid en begroting vereis.
Wanneer enige nuwe tegnologie die hoofstroom tref, is werknemers geneig om te wil eksperimenteer. Ons het dit met mobiele toestelle gesien en toe met die wolk. KI sal nie die laaste wees nie. Die sleutel is om 'n verwelkomende en verantwoordelike houding teenoor tegnologiegebruik in te neem en hulle terug te bring in die groep.
