Jak wynika z nowego raportu firmy LayerX, firmy zajmującej się sztuczną inteligencją i bezpieczeństwem przeglądarek, sztuczna inteligencja stała się największym niekontrolowanym kanałem eksfiltracji danych korporacyjnych, przewyższającym zarówno SaaS w tle, jak i niezarządzane udostępnianie plików. Badanie, oparte na danych telemetrycznych przeglądania w przedsiębiorstwie w rzeczywistym świecie, wskazuje, że głównym ryzykiem związanym ze sztuczną inteligencją w przedsiębiorstwie nie jest zagrożenie przyszłe, ale dzisiejsza rzeczywistość pojawiająca się w codziennych przepływach pracy. Wrażliwe dane korporacyjne już z dużą szybkością przepływają do generatywnych narzędzi sztucznej inteligencji, takich jak ChatGPT, Claude i Copilot, głównie za pośrednictwem niezarządzanych kont osobistych i funkcji kopiowania i wklejania.
Szybkie, niekontrolowane przyjęcie sztucznej inteligencji
Narzędzia AI osiągnęły poziom zastosowania w ciągu zaledwie dwóch lat, który innym technologiom zajął dziesięciolecia. Prawie połowa wszystkich pracowników przedsiębiorstw (45%) korzysta już z generatywnej sztucznej inteligencji, a sam ChatGPT osiąga penetrację 43%. Sztuczna inteligencja odpowiada obecnie za 11% całej aktywności związanej z aplikacjami dla przedsiębiorstw, co stanowi konkurencję dla aplikacji do udostępniania plików i aplikacji biurowych. Wzrost ten nastąpił w dużej mierze bez odpowiedniego zarządzania. Z raportu wynika, że 67% wykorzystania sztucznej inteligencji odbywa się za pośrednictwem niezarządzanych kont osobistych, przez co zespoły ds. bezpieczeństwa nie mają wglądu w to, którzy pracownicy korzystają z jakich narzędzi ani jakie dane są udostępniane.
Wrażliwe dane wyciekają poprzez pliki i kopiują i wklejają
Badanie ujawniło niepokojące trendy w sposobie przetwarzania wrażliwych danych za pomocą platform AI.
- Przesyłanie plików: 40% plików przesłanych do generatywnych narzędzi AI zawiera dane osobowe (PII) lub dane dotyczące branży kart płatniczych (PCI). Prawie cztery na dziesięć takich plików przesyłanych jest za pomocą kont osobistych.
- Kopiuj i wklej: Głównym kanałem wycieku danych jest funkcja kopiuj-wklej. 77% pracowników wkleja dane do generatywnych narzędzi AI, a 82% tej aktywności pochodzi z niezarządzanych kont osobistych. Pracownicy średnio trzy razy dziennie wklejają do tych narzędzi wrażliwe dane za pośrednictwem kont osobistych.
W raporcie wskazano, że kopiowanie i wklejanie do generatywnej sztucznej inteligencji jest wektorem numer jeden w przypadku, gdy dane korporacyjne opuszczają kontrolę przedsiębiorstwa. Tradycyjne programy bezpieczeństwa skupiające się na skanowaniu załączników plików i blokowaniu nieautoryzowanych przesyłań całkowicie pomijają to zagrożenie.
Inne główne martwe punkty bezpieczeństwa
W raporcie zwrócono uwagę na dwa inne krytyczne obszary, w których dane korporacyjne są zagrożone.
- Logowania niefederacyjne: Nawet jeśli pracownicy korzystają z korporacyjnych danych uwierzytelniających na platformach wysokiego ryzyka, takich jak systemy CRM i ERP, w przeważającej mierze omijają jednokrotne logowanie (SSO). 71% loginów do CRM i 83% logowań do ERP nie jest stowarzyszonych, co sprawia, że login korporacyjny jest funkcjonalnie taki sam jak login osobisty z punktu widzenia widoczności bezpieczeństwa.
- Wiadomości błyskawiczne: 87% korzystania z czatów korporacyjnych odbywa się za pośrednictwem niezarządzanych kont osobistych, a 62% użytkowników wkleja do nich dane PII lub PCI.
Zalecenia dotyczące bezpieczeństwa przedsiębiorstw w erze AI
Raport zawiera kilka jasnych zaleceń dla liderów bezpieczeństwa.
- Traktuj bezpieczeństwo sztucznej inteligencji jako podstawową kategorię przedsiębiorstwa, a nie nową, z monitorowaniem przesyłania, monitów i przepływów kopiuj-wklej.
- Przejdź z modelu bezpieczeństwa skoncentrowanego na plikach na model skoncentrowany na działaniu, który uwzględnia metody bezplikowe, takie jak kopiuj-wklej i czat.
- Ogranicz korzystanie z niezarządzanych kont osobistych i wymuszaj logowanie federacyjne do wszystkich aplikacji korporacyjnych.
- Nadaj priorytet kategoriom aplikacji o najwyższym ryzyku, aby uzyskać najściślejszą kontrolę: sztuczna inteligencja, czat i przechowywanie plików.
Odkrycia dają jasny obraz: obszar bezpieczeństwa przedsiębiorstwa przesunął się w stronę przeglądarki, w której pracownicy płynnie przenoszą wrażliwe dane między narzędziami objętymi sankcjami i niezatwierdzonymi. Z raportu wynika, że jeśli zespoły ds. bezpieczeństwa nie dostosują się do nowej rzeczywistości, sztuczna inteligencja nie tylko ukształtuje przyszłość pracy, ale także przyszłość naruszeń danych.
