Zjawisko Shadow AI to nie futurystyczna wizja, ale codzienność w wielu firmach. Z nowego raportu IBM wynika, że brak nadzoru nad działaniami AI kosztuje organizacje średnio 670 tys. dol.
W raporcie IBM „Cost of a Data Breach 2024” wskazano, że niemal wszystkie organizacje (97%) korzystają z narzędzi AI bez odpowiednich polityk bezpieczeństwa. Mowa tu nie o eksperymentach badawczych, ale o aktywnym wykorzystaniu modeli LLM, narzędzi generatywnych czy chatbotów przez pracowników. Dzieje się to bez zgody działów IT. Tzw. Shadow AI, podobnie jak wcześniej Shadow IT, stanowi coraz większy problem. W efekcie rosną koszty, ryzyko wycieku danych, a także podatność na ataki z zewnątrz i wewnątrz organizacji.
670 tys. dolarów drożej na incydent
Zgodnie z danymi IBM, incydenty związane z nieautoryzowanym wykorzystaniem AI były droższe o średnio 670 tys. dol. niż pozostałe przypadki naruszenia danych. Całkowity koszt naruszenia danych wynosił w 2024 roku średnio 4,45 mln dol. Niemal jedna piąta przypadała na sytuacje związane z Shadow AI.
Nie chodzi jedynie o kwestie finansowe. Brak kontroli oznacza także utratę reputacji, wiarygodności i zaufania klientów oraz inwestorów. Raport pokazuje, że największe ryzyko niesie korzystanie z modeli LLM bez nadzoru, aż w 53% przypadków incydenty dotyczyły generatywnej AI.
Gdzie leży problem? W edukacji, nadzorze i kulturze organizacyjnej
Firmy często nie zdają sobie sprawy, że pracownicy korzystają z narzędzi takich jak ChatGPT, Claude, DALL-E czy GitHub Copilot w ramach codziennej pracy. W wielu przypadkach dzieje się to poza kontrolą działów IT i bez żadnych procedur audytu. Problem nie leży w samej technologii, lecz w braku świadomości zagrożeń. Istnieje również nieumiejętność zarządzania ryzykiem.
Z raportu wynika, że najskuteczniejszym sposobem ograniczania skutków Shadow AI jest połączenie edukacji użytkowników, polityk wewnętrznych oraz inwestycji w systemy wykrywania nieautoryzowanych działań AI. Organizacje, które wdrożyły takie działania, skróciły średni czas reakcji na incydent o ponad 100 dni.
Bez paniki, ale z planem
Shadow AI nie zniknie. Kluczem nie jest zakaz, lecz kontrola i transparentność. Firmy powinny stworzyć rejestry używanych modeli, wprowadzić polityki korzystania z narzędzi generatywnych oraz zapewnić bieżący monitoring ich wykorzystania. Bez tego AI stanie się nie tylko narzędziem, ale i zagrożeniem.
Materiał powstał we współpracy z AI:
