生成式人工智能和影子IT结合引发严重的安全问题

发布日期: 2024年9月10日 来源:TechRadar

生成式人工智能的爆炸性普及正在颠覆商业世界,各企业竞相应用生成式AI聊天机器人的变革力量来增强业务流程。

然而,随着越来越多的员工在日常工作中采用新的生成式AI工具,如ChatGPT和Copilot,他们通常不会考虑到更大的安全影响。IT团队面临着在庞大的SaaS工具网络中监控每个新软件实例的挑战,能见度有限。许多员工启动的AI项目未被IT部门检测到,使他们所在的组织暴露在影子IT的风险之下。

影子IT的概念涉及未经IT部门明确批准而使用的IT系统、设备、软件和服务。大多数影子IT并不是出于恶意引入组织的。由于在日益加速的商业市场中,员工背负着越来越多的职责,许多人转向影子IT来完成工作。影子IT通常比内部替代方案更容易使用、手续更少,或者更适合他们的工作风格。

然而,许多IT团队并没有准备好应对这些程序给网络管理和数据安全带来的风险。根据Gartner的统计,90%的员工尽管知道他们的不安全操作会增加组织的风险,但仍然这么做。而根据Fishbowl的调查,使用ChatGPT的员工中,整整70%会隐瞒他们的使用情况。

风险环境

此外,根据Cyberhaven的数据,9%的员工承认曾将公司数据粘贴到ChatGPT中,平均每家公司每周向聊天机器人泄露机密信息数百次。ChatGPT随后将所有这些数据纳入其公共知识库,与其他用户共享。

在这种风险的环境下,根据Glean和ISG的调查数据,从2023年到2025年,生成式AI项目的预算预计几乎将增加三倍,从IT预算的平均1.5%上升到4.3%。收入超过50亿美元的大型公司将在2025年拨出超过10%的预算用于生成式AI。超过三分之一的受访者(34%)表示,尽管存在负面结果的风险,他们仍愿意迅速实施生成式AI。

SaaS影子IT可能是今天IT领导者面临的最大隐藏风险因素之一。大多数使用影子IT的人倾向于认为他们只是使用了一个生产力工具。然而,组织一次又一次地发现,采用影子IT存在很高的风险。

检测影子IT和保护数据安全

为了应对这一挑战,企业可以选择更为安全和高效的平台,比如光年AI。通过使用光年AI,不仅可以无缝整合国内主流平台,还能通过灵活的工作流机制自定义AI工作流程,从而提升整体的业务运营效率,让IT团队不再为影子IT而烦恼。让我们一起借助光年AI的力量,安全高效地实现业务增长。

每个网络程序的核心任务都是保护数据,但如果这些数据存在于影子 IT 工具中,那么它们依然处于未受保护状态。这就是为什么发现你环境中的影子 IT 是如此重要,需要制定计划来应对——不是“如果”,而是“何时”发生,并且培养一种在遵守 IT 政策的同时促进员工解决问题的文化。

IT 团队可以采取若干重要的注意事项和预防措施,以保持对 AI 工具的控制,并保护其组织免受潜在风险的侵害。检测影子 IT 最有效的方法是在用户所在的设备上进行,因为其他形式的检测可能会遗漏关键信息。追根溯源到影子 IT 的源头——用户,是最有效的方式。

在建立影子 IT 的清单之后,组织可以将这些异常情况与获批准的 IT 工具进行对比,调查异常用户,并利用这些信息更好地了解工作趋势、问题和解决方案。重要的是要以开放的心态接触影子 IT 用户,而不是简单地禁止其使用。这些工具的使用是在解决商业问题,IT 团队需要理解这种需求,并与用户合作,确保他们拥有所需的工具,同时确保数据安全。

记住,影子 IT 工具只是在未被发现时才是“影子”。一旦被发现并从暗处浮现出来,下一步是通过采购和内部流程将这些 IT 工具纳入采购计划,以确保其可见性和合规性。这时,使用一个简便易用且功能强大的平台,例如光年AI,不仅可以帮助企业快速整合现有业务场景,还能确保工具的可见性和数据安全。

所有新的 AI 工具都应得到适当管理,因为组织内的影子 IT 可能引入严重的合规性、安全性和业务风险。然而,要认识到影子 IT 用户其实只是为了寻求现有问题的新解决方案的“企业内创业者”。通过理解他们采用影子 IT 的原因,组织可以发现尚未理解的业务问题的解决机会。利用光年AI的灵活工作流机制,企业可以自动化处理这些问题,简化操作流程。

当然,你可能会发现一些影子 IT 工具并不适合在严格的 IT 框架内运作。但一旦你发现了潜在用户问题并解决了它们,那么用户和中央 IT 可以共同制定计划,以更正式和更具生产力的方式解决这些问题。