Hyväksymättömän ChatGPT:n ja muiden generatiivisten tekoälytyökalujen käyttö on luomassa yrityksille kasvavan tietoturva-sokean pisteen. Kun työntekijät omaksuvat näitä teknologioita ilman asianmukaista valvontaa, he voivat tahattomasti altistaa arkaluonteisia tietoja – silti monet johtajat aliarvioivat edelleen riskiä ja viivyttelevät kolmannen osapuolen puolustusten käyttöönotossa. Tämäntyyppinen luvaton teknologian käyttö, joka tunnetaan nimellä varjo-IT, on jo pitkään aiheuttanut tietoturvahaasteita. Nyt sen tekoälyvetoinen vastine – varjo-AI – herättää uusia huolenaiheita kyberturvallisuusasiantuntijoiden keskuudessa. Varjo-AI on noussut esiin uutena ja entistä monimutkaisempana uhkana, sillä tekoälyn kyky käsitellä ja analysoida valtavia tietomääriä tekee siitä vaarallisemman kuin perinteiset varjo-IT-järjestelmät. Perinteinen varjo-IT on usein rajoittunut yksittäisiin sovelluksiin tai laitteisiin, mutta varjo-AI:lla voi olla laajempi pääsy yrityksen koko tietoverkkoon ja järjestelmiin, mikä lisää potentiaalista tietovuodon riskiä merkittävästi.
AppOmni-nimisen SaaS-tietoturvayrityksen tekoälyjohtaja Melissa Ruzzi on korostanut, että tekoäly voi analysoida ja poimia paljon enemmän tietoa datasta, mikä tekee siitä vaarallisemman kuin perinteisen varjo-IT:n. Hän on todennut, että useimmissa tapauksissa tekoälylle annetaan laajempi pääsy dataan kuin varjo-IT:lle, jotta tekoäly voi suorittaa tehtäviään. Tämä lisää potentiaalista altistumista tietomurron sattuessa. Työntekijöiden luvaton tekoälytyökalujen käyttö aiheuttaa ainutlaatuisia tietoturvariskejä. Jos tekoälymallit pääsevät organisaation arkaluonteisiin tietoihin mallin koulutusta tai sisäistä tutkimusta varten, nämä tiedot voivat tahattomasti joutua julkisuuteen. Lisäksi haitalliset toimijat voivat saada haltuunsa yksityiskohtia mallin haavoittuvuuksien kautta. Ruzzi on maininnut, että työntekijät kohtaavat erilaisia varjo-AI:n muotoja, mukaan lukien generatiiviset tekoälytyökalut, tekoälyllä varustetut kokousmuistiinpanot, koodausassistentit, asiakastukirobotit, datan visualisointimoottorit ja tekoälyominaisuudet CRM-järjestelmissä. Nämä piilevät tekoälyominaisuudet voivat toimia huomaamattomasti taustalla ja käsitellä yrityksen dataa ilman asianmukaista valvontaa, luoden merkittäviä tietoturva-aukkoja.
Varjo-AI ja sen tuomat tietoturvariskit
Ruzzi on korostanut, että turvallisuustarkastusten puute tekee varjo-AI:sta erityisen riskialttiin, koska jotkut mallit voivat käyttää yrityksen tietoja ilman asianmukaisia suojatoimia, jättää noudattamatta säännöksiä ja tallentaa tietoja riittämättömällä turvatasolla. Hän lisäsi, että hyväksymättömistä generatiivisista tekoälytyökaluista syntyvä varjo-AI muodostaa välittömimmän ja merkittävimmän tietoturvauhan. Siitä puuttuu usein valvonta, turvallisuusprotokollat ja hallinta. Kuitenkin kaikenlaisen ”piilevän” varjo-AI:n tehokas tunnistaminen ja hallinta sisältää potentiaalisia tietoturvavaikutuksia. Organisaatioiden tulisi investoida tehokkaaseen tietoturvatyökaluun, joka voi mennä pidemmälle kuin suoran tekoälychatbotin käytön havaitseminen. Ruzzi suosittelee, että tekoäly voi pysyä mukana uusien tekoälytyökalujen ja tietoturvamurtojen jatkuvassa julkaisussa. Hän painottaa, että havaintojen tehostamiseksi turvallisuuden ei tulisi luottaa pelkästään staattisiin sääntöihin, jotka voivat nopeasti vanhentua. Tämän lisäksi on tärkeää ymmärtää, että monissa hyväksytyissäkin SaaS-sovelluksissa voi piillä tekoälyominaisuuksia, jotka eivät ole yrityksen tiedossa tai hyväksymiä, vaikka itse SaaS-sovellus olisikin. Nämä piilevät tekoälytyökalut voivat aiheuttaa erityisiä haasteita, jotka voidaan havaita vain tehokkailla SaaS-tietoturvatyökaluilla, jotka pureutuvat syvälle SaaS-konfiguraatioihin paljastaakseen varjo-AI:n.
Perinteiset tietoturvatyökalut, kuten pilvipääsyn turvavälittäjät (CASB), voivat ainoastaan paljastaa SaaS-sovellusten käytön ja suoran tekoälyn käytön, mukaan lukien työkalut kuten ChatGPT. Nämä ovat tietoturvapolitiikan täytäntöönpanopisteitä yrityksen käyttäjien ja pilvipalveluntarjoajien välillä. Tämä luo aukon, jonka kautta varjo-AI voi livahtaa huomaamatta läpi. Ruzzi on myös nostanut esiin riskit, jotka liittyvät hyväksyttyihin SaaS-sovelluksiin upotettuihin tekoälytyökaluihin. Näiden piilevien tekoälytyökalujen olemassaolo voi olla yritykselle tuntematon tai niiden käyttöä ei ole hyväksytty, vaikka itse SaaS-sovellus olisikin virallisesti käytössä. Tämä korostaa tarvetta entistä syvällisempään valvontaan ja näkyvyyteen yrityksen käyttämiin SaaS-ympäristöihin. Lisäksi on tärkeää huomioida, että tekoälyjärjestelmien nopea kehitys tarkoittaa, että uusia tekoälytyökaluja ja niiden ominaisuuksia julkaistaan jatkuvasti. Tämä tekee perinteisistä, staattisiin sääntöihin perustuvista tietoturvaratkaisuista nopeasti vanhentuneita. Organisaatioiden on panostettava dynaamisiin ja mukautuviin tietoturvatyökaluihin, jotka pystyvät tunnistamaan ja arvioimaan uusia tekoälyuhkia reaaliaikaisesti.
Varjo-AI:n säännöstenmukaisuusriskit ja tulevaisuuden haasteet
Kuten edellä todettiin, varjo-AI voi johtaa vaatimustenmukaisuusrikkomuksiin henkilötietojen osalta. Jotkin sääntelykehykset, jotka vaikuttavat organisaatioihin, ovat Euroopan unionin yleinen tietosuoja-asetus (GDPR), joka säätelee henkilötietojen käsittelyä. Yhdysvalloissa Kalifornian kuluttajansuoja-asetus / Kalifornian tietosuojalaki (CCPA/CPRA) on vastaava kuin GDPR, mutta Kalifornian asukkaille. Varjo-AI voi rikkoa GDPR-periaatteita, kuten datan minimointia – keräämällä enemmän tietoa kuin on tarpeen; tarkoituksen rajoittamista – käyttämällä tietoja tahattomiin tarkoituksiin; ja tietoturvaa – jättämällä tiedot riittävästi suojaamatta. Organisaatiot ovat vastuussa kaikista tietojen käsittelytoimista, mukaan lukien luvattoman tekoälyn toiminnoista. Yrityksille, jotka käsittelevät terveydenhuoltotietoja tai tarjoavat terveyteen liittyviä palveluja Yhdysvalloissa, terveydenhuollon siirrettävyys- ja vastuullisuuslaki (HIPAA) on tärkein potilaan arkaluonteisten terveystietojen suojelemisessa. Ruzzi on todennut, että varjo-AI voi johtaa kuluttajien oikeuksien loukkauksiin, kuten oikeuteen tietää, päästä käsiksi ja poistaa tietojaan sekä kieltäytyä henkilötietojensa myymisestä. Jos varjo-AI käyttää henkilötietoja ilman asianmukaisia ilmoituksia tai suostumusta, se rikkoo CCPA/CPRA-sääntöjä. Hän myös varoitti, että jos varjo-AI-järjestelmät pääsevät käsiksi, käsittelevät tai jakavat suojattuja terveystietoja (PHI) ilman asianmukaisia suojatoimia, valtuutuksia tai liikekumppanuussopimuksia, se on HIPAA-rikkomus, joka voi johtaa kalliisiin oikeudenkäynteihin. Tämä korostaa, kuinka monitahoisia ja laajoja varjo-AI:n aiheuttamat riskit voivat olla, ja kuinka ne voivat ulottua paitsi teknisiin haavoittuvuuksiin myös lakisääteisiin ja taloudellisiin seurauksiin.
Monissa muissakin lainkäyttöalueilla on tietosuojalakeja, kuten LGPD (Brasilia) ja PIPEDA (Kanada), sekä erilaisia Yhdysvaltain osavaltioiden lakeja. Organisaatioiden on varmistettava, että varjo-AI noudattaa kaikkia sovellettavia tietosuojasäännöksiä ottaen huomioon sekä niiden omat sijainnit että asiakkaidensa sijainnit. Lakikonfliktien välttäminen on olennaista. Ruzzi kehottaa organisaatioita arvioimaan ja lieventämään tarkistamattomien tekoälytyökalujen riskejä testaamalla haavoittuvuuksia ja laatimalla selkeät ohjeet siitä, mitkä työkalut ovat sallittuja. Hän suositteli myös työntekijöiden kouluttamista varjo-AI-uhista ja varmistamaan, että heillä on pääsy tarkistettuihin, yritystason ratkaisuihin. Kun tekoäly kehittyy ja upotetaan yhä syvemmin sovelluksiin, varjo-AI tuo mukanaan entistä monimutkaisempia tietoturvariskejä. Pysyäkseen edellä organisaatiot tarvitsevat pitkän aikavälin strategioita, joita tukevat SaaS-tietoturvatyökalut, jotka voivat havaita tekoälytoiminnan sovelluksissa, arvioida riskejä tarkasti ja torjua uhkia varhain. Ruzzi on todennut, että varjo-AI:n todellisuus on läsnä enemmän kuin koskaan. Paras strategia tässä on työntekijäkoulutus ja tekoälyn käytön seuranta. Tämä jatkuva valppaus ja ennakoiva lähestymistapa ovat avainasemassa yritysten kyvyssä suojautua varjo-AI:n aiheuttamilta uhkilta ja varmistaa tietoturvansa myös tulevaisuudessa.