Теневой искусственный интеллект: скрытая киберугроза, которую бизнес больше не может игнорировать

Теневой искусственный интеллект стремительно перестает быть исключительно проблемой ИТ-подразделений. Сегодня это уже вопрос уровня руководства компаний и советов директоров.

Причина проста: сотрудники массово используют инструменты искусственного интеллекта вне утвержденного корпоративного технологического контура. Компании стремятся повысить скорость работы, эффективность и качество принятия решений, а сотрудники ищут быстрые способы автоматизации повседневных задач.

Так формируется явление, которое получило название «теневой ИИ». В отличие от классического «теневого ИТ», где сотрудники используют несанкционированные приложения или сервисы, теневой искусственный интеллект несет значительно более серьезные риски:

• утечку данных;
• нарушение требований законодательства;
• потерю контроля над корпоративной информацией;
• ошибки принятия решений;
• репутационные потери;
• угрозы информационной безопасности.

При этом проблема возникает не из-за злого умысла сотрудников, а из-за желания быстрее выполнять задачи и повышать производительность.

Ниже приведены типичные ситуации, которые уже происходят в организациях ежедневно.

Сотрудник маркетингового подразделения загружает внутренние отчеты в публичный сервис искусственного интеллекта, чтобы получить аналитику или выявить тренды.

В результате конфиденциальные данные могут оказаться за пределами корпоративной инфраструктуры.

Разработчик использует генеративный искусственный интеллект для ускорения создания программного кода, сценариев автоматизации или интеграций. Но такой подход способен привести к:

• появлению скрытых уязвимостей;
• небезопасной архитектуре;
• нарушениям лицензионной чистоты;
• проблемам с правами на результаты разработки.

Команды используют инструменты искусственного интеллекта для анализа клиентских данных, прогнозирования или оценки финансовых показателей. Однако результаты работы моделей часто не проходят:

• проверку достоверности;
• анализ на наличие искажений;
• контроль соответствия нормативным требованиям.

Это может привести к ошибочным управленческим решениям.

Подразделения самостоятельно подключают чат-ботов, аналитические сервисы или инструменты автоматизации без участия ИТ-службы, службы безопасности и подразделений по контролю соответствия требованиям.
В результате появляются риски:

• нарушения конфиденциальности;
• отсутствия контроля моделей;
• некорректной обработки данных;
• снижения качества клиентских коммуникаций.

Каждый запрос к внешнему ИИ-сервису может сопровождаться передачей данных во внешнюю среду.
Это означает, что:

• информация может сохраняться в сторонних системах;
• данные могут использоваться для обучения моделей;
• корпоративные сведения могут попасть в обучающие выборки;
• возможны утечки при компрометации платформ.

Даже единичная ошибка сотрудника способна привести к серьезным последствиям для всей организации.

Использование несанкционированных инструментов искусственного интеллекта становится массовым. Сотрудники применяют ИИ для:

• подготовки отчетов;
• анализа документов;
• генерации текстов;
• автоматизации процессов;
• программирования;
• обработки клиентских обращений;
• аналитики и прогнозирования.

При отсутствии контроля это превращается в системный риск.

Если компания не управляет использованием ИИ, сотрудники могут передавать во внешние сервисы:

• финансовую информацию;
• персональные данные;
• коммерческую тайну;
• внутренние документы;
• результаты исследований;
• технологические материалы.

Проблема усугубляется тем, что многие публичные сервисы не обеспечивают уровень защиты, необходимый для корпоративного использования.

Дополнительно возникают риски:

• утраты контроля над интеллектуальной собственностью;
• споров о правах на результаты работы;
• компрометации критически важных данных.

Современное законодательство ужесточает требования к:

• хранению данных;
• обработке информации;
• защите персональных данных;
• прозрачности алгоритмов;
• управлению цифровыми рисками.

Использование неподконтрольных ИИ-инструментов может привести к:

• штрафам;
• проверкам регуляторов;
• ограничениям деятельности;
• юридическим последствиям.

Особенно это критично для:

• государственных организаций;
• финансового сектора;
• промышленности;
• телекоммуникаций;
• компаний с международным присутствием.

Искусственный интеллект способен:

• искажать информацию;
• генерировать ложные выводы;
• выдавать несуществующие факты;
• воспроизводить предвзятые оценки.

Если сотрудники используют результаты ИИ без проверки, это может привести к:

• ошибкам аналитики;
• неправильным управленческим решениям;
• финансовым потерям;
• репутационному ущербу.

Полный запрет генеративного искусственного интеллекта редко дает результат. Сотрудники все равно ищут способы:

• ускорить работу;
• сократить рутинные операции;
• автоматизировать процессы;
• повысить личную эффективность.

Поэтому задача бизнеса заключается не в тотальном запрете, а в создании контролируемой и безопасной среды использования искусственного интеллекта.

Политики управления искусственным интеллектом
Организации необходимо определить:

• какие инструменты разрешены;
• какие данные можно передавать;
• какие сценарии допустимы;
• кто отвечает за использование ИИ;
• как осуществляется контроль результатов.

Межфункциональное управление
Контроль ИИ не может быть задачей только ИТ-подразделения. В процесс должны быть вовлечены:

• информационная безопасность;
• юридические службы;
• подразделения по управлению рисками;
• бизнес-подразделения;
• службы внутреннего контроля.

Мониторинг использования ИИ
Компании необходимо понимать:

• какие сервисы используют сотрудники;
• какие данные передаются;
• где возникают риски;
• какие процессы автоматизируются.

Без прозрачности невозможно управлять угрозами.

Интеграция ИИ-рисков в систему управления рисками
Риски искусственного интеллекта должны стать частью корпоративной системы управления:

• операционными рисками;
• киберрисками;
• репутационными рисками;
• рисками соответствия требованиям.

Оценка таких угроз должна выполняться постоянно.

Автоматизация контроля
Современные системы управления безопасностью позволяют:

• автоматически контролировать соблюдение политик;
• выявлять нарушения;
• отслеживать использование ИИ;
• формировать уведомления и отчеты;
• контролировать соответствие требованиям.

Обучение сотрудников
Сотрудники должны понимать:

• какие данные запрещено передавать;
• как работают риски ИИ;
• почему необходим человеческий контроль;
• чем опасны недостоверные ответы моделей;
• как правильно использовать инструменты искусственного интеллекта.

Важно распространять эти практики не только внутри компании, но и на подрядчиков и партнеров.

Теневой искусственный интеллект развивается не потому, что сотрудники безответственны. Причина в другом: люди пытаются работать быстрее и эффективнее.
Если организация:

• не предоставляет удобные инструменты;
• усложняет процессы;
• замедляет согласования;
• не развивает цифровую среду,

сотрудники начинают искать обходные пути.

Поэтому бизнесу необходимо не только ограничивать риски, но и устранять причины появления теневого ИИ.

Компании, которые хотят безопасно использовать искусственный интеллект, должны:

• формировать единую стратегию ИИ;
• внедрять корпоративные инструменты;
• централизованно управлять доступом;
• контролировать данные;
• развивать внутренние политики;
• обучать сотрудников;
• выстраивать прозрачную архитектуру цифрового управления.

Именно такой подход позволит вывести использование искусственного интеллекта из «теневой зоны» и превратить его в управляемый инструмент повышения эффективности бизнеса.