Shadow AI: The hidden security breach CISOs often miss

Les leaders de la sécurité et les CISO découvrent qu’un essaim croissant d’applications d’ombre AI compromettait leurs réseaux, dans certains cas depuis plus d’un an.

Ils ne sont pas le métier d’attaquants typiques. Ils sont le travail d’employés par ailleurs dignes de confiance créant des applications d’IA sans la surveillance ou l’approbation du département de l’informatique et de la sécurité, des applications conçues pour tout faire, de l’automatisation des rapports qui ont été créés manuellement dans le passé à l’utilisation de l’IA génératrice (Genai) pour rationaliser l’automatisation du marketing, la visualisation et l’avancé Analyse des données. Propulsées par les données propriétaires de l’entreprise, les applications d’IA Shadow forment des modèles de domaine public avec des données privées.

Qu’est-ce que Shadow Ai, et pourquoi se développe-t-il?

Le large assortiment d’applications et d’outils d’IA créés de cette manière rarement, voire jamais, a des garde-corps en place. L’IA de l’ombre présente des risques importants, notamment les violations accidentelles de données, les violations de la conformité et les dommages de réputation.

C’est le stéroïde numérique qui permet à ceux qui l’utilisent pour faire un travail plus détaillé en moins de temps, battant souvent des délais. Les départements entiers ont des applications d’ombre AI qu’ils utilisent pour entraîner plus de productivité en moins d’heures. «Je vois cela chaque semaine», Vineet Arora, CTO à Winwirea récemment déclaré à VentureBeat. «Les départements sautent sur des solutions d’IA non autorisées parce que les avantages immédiats sont trop tentants pour ignorer.»

«Nous voyons 50 nouvelles applications AI par jour, et nous avons déjà catalogué plus de 12 000», a déclaré Itamar Golan, PDG et cofondateur de Sécurité rapidelors d’une récente interview avec VentureBeat. «Environ 40% de ces défauts de formation sur toutes les données que vous leur alimentez, ce qui signifie que votre propriété intellectuelle peut faire partie de leurs modèles.»

La majorité des employés créant des applications d’IA Shadow n’agissent pas de manière malveillante et n’essaient pas de nuire à une entreprise. Ils sont aux prises avec des quantités croissantes de travaux de plus en plus complexes, de pénuries de temps chroniques et de délais plus stricts.

Comme le dit Golan, «c’est comme le dopage dans le Tour de France. Les gens veulent un avantage sans réaliser les conséquences à long terme. »

Un tsunami virtuel que personne n’a vu venir

“Vous ne pouvez pas arrêter un tsunami, mais vous pouvez construire un bateau”, a déclaré Golan à VentureBeat. “La prétention de l’IA n’existe pas ne vous protège pas – cela vous laisse aveugle.” Par exemple, dit Golan, un chef de sécurité d’une entreprise financière de New York pensait que moins de 10 outils d’IA étaient utilisés. Un audit de 10 jours a découvert 65 solutions non autorisées, la plupart sans licence formelle.

Arora a convenu, disant: «Les données confirment qu’une fois que les employés ont sanctionné les voies d’IA et des politiques claires, ils ne se sentent plus obligés d’utiliser des outils aléatoires en furtivité. Cela réduit à la fois le risque et la friction. » Arora et Golan ont souligné à VentureBeat à quelle vitesse le nombre d’applications d’IA de l’ombre qu’ils découvrent dans les entreprises de leurs clients augmentent.

Les résultats d’un nouveau soutien Enquête logicielle AG qui a trouvé 75% des travailleurs du savoir utilisent déjà des outils d’IA et 46% Dire qu’ils ne les abandonneront pas même s’ils sont interdits par leur employeur. La majorité des applications Shadow AI reposent sur Openai Chatgpt et Google Gemini.

Depuis 2023, Chatgpt a permis aux utilisateurs de Créer des bots personnalisés en quelques minutes. VentureBeat a appris qu’un gestionnaire typique responsable des ventes, du marché et des prévisions de prix a, en moyenne, 22 robots personnalisés différents dans Chatgpt aujourd’hui.

Il est compréhensible comment l’ombre de l’IA prolifère quand 73,8% Des comptes ChatGpt sont des comptes non corporatifs qui n’ont pas les contrôles de sécurité et de confidentialité des implémentations plus sécurisées. Le pourcentage est encore plus élevé pour les Gémeaux (94,4%). Dans une enquête Salesforce, plus de la moitié (55%) des employés mondiaux interrogés ont admis avoir utilisé des outils d’IA non approuvés au travail.

«Ce n’est pas un seul saut que vous pouvez corriger», explique Golan. “C’est une vague de fonctionnalités en constante augmentation lancée à l’extérieur de sa surveillance.” Les milliers de fonctionnalités d’IA intégrées à travers les produits SaaS traditionnelles sont modifiées pour s’entraîner, stocker et divulguer des données d’entreprise sans que personne ni la sécurité ne sache.

Shadow Ai démantèle lentement les périmètres de sécurité des entreprises. Beaucoup ne remarquent pas car ils sont aveugles à la vague de l’ombre que les utilisations de l’IA dans leurs organisations.

Pourquoi Shadow Ai est si dangereux

“Si vous collez le code source ou les données financières, elle vit efficacement à l’intérieur de ce modèle”, a averti Golan. Arora et Golan trouvent les entreprises qui forment des modèles publics qui ont défaillance pour utiliser des applications d’ombre sur une grande variété de tâches complexes.

Une fois que les données propriétaires entrent dans un modèle de domaine public, des défis plus importants commencent pour toute organisation. Il est particulièrement difficile pour les organisations publiques qui ont souvent des exigences importantes de conformité et de réglementation. Golan a souligné la prochaine loi sur l’IA, qui «pourrait éclipser même le RGPD dans les amendes» et avertit que les secteurs réglementés aux États-Unis risquent les pénalités si les données privées se déplacent dans des outils d’IA non approuvés.

Il existe également le risque de vulnérabilités d’exécution et d’attaques d’injection rapides que les systèmes et plateformes traditionnels de sécurité et de prévention des pertes de données (DLP) ne sont pas conçus pour détecter et s’arrêter.

Illuminating Shadow Ai: le plan d’Arora pour une surveillance holistique et une innovation sécurisée

Arora découvre des unités commerciales entières qui utilisent des outils SaaS dirigés par AI sous le radar. Avec une autorité budgétaire indépendante pour plusieurs équipes de commerce des entreprises, les unités commerciales déploient l’IA rapidement et souvent sans déconnexion de sécurité.

“Soudain, vous avez des dizaines d’applications d’IA peu connues qui traitent les données des entreprises sans une seule conformité ou un examen des risques”, a déclaré Arora à VentureBeat.

Les idées clés du plan du plan d’Arora comprennent les éléments suivants:

• L’IA de l’ombre prospère car les cadres informatiques et de sécurité existants ne sont pas conçus pour les détecter. Arora observe que les cadres informatiques traditionnels permettent à l’ombre de l’ombre de prospérer en manquant de visibilité sur la conformité et la gouvernance nécessaires pour assurer une entreprise en sécurité. «La plupart des outils et processus de gestion informatique traditionnels n’ont pas de visibilité et de contrôle complètes sur les applications d’IA», observe Arora.
• L’objectif: activer l’innovation sans perdre le contrôle. Arora souligne rapidement que les employés ne sont pas intentionnellement malveillants. Ils sont simplement confrontés à des pénuries de temps chroniques, à des charges de travail croissantes et à des délais plus stricts. L’IA se révèle être un catalyseur exceptionnel pour l’innovation et ne devrait pas être interdite. «Il est crucial que les organisations définissent des stratégies avec une sécurité solide tout en permettant aux employés d’utiliser efficacement les technologies d’IA», explique Arora. «Les interdictions totales entraînent souvent une utilisation de l’IA sous terre, ce qui amplifie les risques.»
• Plaider en faveur de la gouvernance centralisée de l’IA. «La gouvernance centralisée de l’IA, comme d’autres pratiques de gouvernance informatique, est essentielle pour gérer l’étalement des applications d’ombre AI», recommande-t-il. Il a vu des unités commerciales adopter des outils SaaS dirigés par l’IA «sans une seule conformité ni un examen des risques». Unifier la surveillance aide à empêcher les applications inconnues de fuir tranquillement des données sensibles.
• Détection, surveillance et gestion de l’ombre en permanence en permanence. Le plus grand défi consiste à découvrir des applications cachées. Arora ajoute que les détecter implique la surveillance du trafic réseau, l’analyse du flux de données, la gestion des actifs logiciels, les réquisitions et même les audits manuels.
• Équilibrer la flexibilité et la sécurité continuellement. Personne ne veut étouffer l’innovation. «Offrir des options d’IA sûres garantit que les gens ne sont pas tentés de se faufiler. Vous ne pouvez pas tuer l’adoption de l’IA, mais vous pouvez le canaliser en toute sécurité », note Arora.

Commencez à poursuivre une stratégie en sept parties pour la gouvernance de l’ombre AI

Arora et Golan conseillent à leurs clients qui découvrent les applications d’administration de l’ombre qui prolifèrent à travers leurs réseaux et leurs effectifs pour suivre ces sept directives pour la gouvernance de l’IA fantôme:

Mener un audit d’ombre formel AI. Établir une base de référence débutante basée sur un audit complet de l’IA. Utilisez l’analyse proxy, la surveillance du réseau et les stocks pour éliminer l’utilisation non autorisée de l’IA.

Créez un bureau d’IA responsable. Centraliser l’élaboration des politiques, les examens des fournisseurs et les évaluations des risques à travers l’informatique, la sécurité, le juridique et la conformité. Arora a vu cette approche fonctionner avec ses clients. Il note que la création de ce bureau doit également inclure de solides cadres de gouvernance d’IA et une formation des employés sur les fuites potentielles de données. Un catalogue d’IA pré-approuvé et une solide gouvernance des données garantira aux employés des employés avec des solutions sécurisées et sanctionnées.

Déployez les contrôles de sécurité AI-AI-AWARE. Les outils traditionnels manquent les exploits textuels. Adoptez le DLP axé sur l’IA, la surveillance en temps réel et l’automatisation qui signale des invites suspectes.

Configurez l’inventaire et le catalogue centralisés AI. Une liste vérifiée des outils d’IA approuvée réduit l’attrait des services ad hoc, et lorsque l’informatique et la sécurité prennent l’initiative de mettre à jour la liste fréquemment, la motivation pour créer des applications d’IA fantômes est diminuée. La clé de cette approche est de rester vigilant et de répondre aux besoins des utilisateurs pour les outils d’IA avancés sécurisés.

Formation des employés du mandat Cela fournit des exemples de la raison pour laquelle Shadow AI est nocif pour toute entreprise. «La politique est sans valeur si les employés ne le comprennent pas», explique Arora. Éduquer le personnel sur l’utilisation sûre de l’IA et les risques potentiels de mal gérant les données.

Intégrez à la gouvernance, au risque et à la conformité (GRC) et à la gestion des risques. Arora et Golan soulignent que la surveillance de l’IA doit être liée aux processus de gouvernance, de risque et de conformité cruciaux pour les secteurs réglementés.

Sachez que les interdictions de couverture échouent et trouvez de nouvelles façons de livrer rapidement des applications AI légitimes. Golan ne souligne pas que les interdictions de couverture ne fonctionnent jamais et conduisent ironiquement à la création et à l’utilisation de l’application AI d’ombre encore plus grande. Arora conseille à ses clients de fournir des options d’IA en matière d’entreprise (par exemple, Microsoft 365 Copilot, ChatGpt Enterprise) avec des directives claires pour une utilisation responsable.

Déverrouiller les avantages de l’IA en toute sécurité

En combinant une stratégie de gouvernance centralisée de l’IA, une formation des utilisateurs et une surveillance proactive, les organisations peuvent exploiter le potentiel de Genai sans sacrifier la conformité ou la sécurité. Le dernier point à retenir d’Arora est le suivant: «Une seule solution de gestion centrale, soutenue par des politiques cohérentes, est cruciale. Vous autonomiserez l’innovation tout en protégeant les données des entreprises – et c’est le meilleur des deux mondes. » Shadow Ai est là pour rester. Plutôt que de le bloquer carrément, les dirigeants avant-gardistes se concentrent sur la productivité sécurisée afin que les employés puissent tirer parti du pouvoir transformateur de l’IA à leurs conditions.