Shadow AI está em ascensão e causando problemas para as organizações.
Um estudo recente do MIT revelou que mais de 90% dos funcionários usam recursos pessoais Ferramentas de IA e apenas 40% das organizações gerenciam o uso oficial.
Além disso, o relatório recente da IBM descobriu que 97% das organizações sofreram incidentes de segurança cibernética relacionados com IA, mas a maioria ainda carece de governação.
Diretor Sênior de Pesquisa de Segurança e Inteligência Competitiva da Exabeam.
Um grande jogo de cabo de guerra estourou no segurança cibernética cenários: as organizações deveriam limitar o uso da IA sombria e potencialmente sufocar a criatividade e as oportunidades que a acompanham, ou deveriam deixá-la correr solta e assumir o risco de exploração que a acompanha?
Poderia haver um meio-termo que buscasse encontrar um equilíbrio entre inovação, visibilidade, conformidade e fiscalização?
Shadow AI: O que é e qual é o problema?
Um grande problema é a incerteza que acompanha a IA sombra em geral. Shadow AI não tem uma definição universal, mas geralmente ocorre quando estão sendo usados recursos dos quais a empresa não tem conhecimento para executar funções de negócios.
Uma razão pela qual é tão difícil limitar a IA sombra é a facilidade de implementação, não apenas em todos os setores, mas na vida cotidiana.
As pessoas sempre encontrarão a maneira mais fácil de realizar uma tarefa. Se houver uma forma de adotarem a tecnologia para realizarem o seu trabalho de forma mais eficiente, eles o farão, mesmo que não seja aprovado pela sua organização.
A questão é que a natureza criativa da IA torna difícil o seu controlo. Entre o indivíduo e o prompt, há uma grande área cinzenta para o surgimento de riscos.
As organizações não têm como saber se existe algum segredo Informação sendo captados fora do que é compartilhado pelo usuário, nem podem confirmar se as informações geradas pela IA são corretas, ou mesmo reais.
Os perigos da adoção apressada
A capacidade de adotar tecnologia nova e estimulante sempre virá antes da capacidade de compreendê-la e controlá-la, e a IA mostra isso em uma escala sem precedentes.
O crescimento exponencial e a disseminação da IA no panorama cibernético moderno resultou em que os indivíduos tivessem o maior controlo sobre a sua própria expressão criativa em qualquer momento da história, e com isso surge uma oportunidade indiscutível.
No entanto, por outro lado, as organizações implementaram e adotaram a IA sem realmente a compreenderem. Como resultado, o potencial para violações organizacionais disparou e a quantidade de trabalho e análise que segurança As equipes devem conduzir para mitigar essas violações tornou-se esmagadora a tal ponto que a resposta ao perigo não consegue acompanhar a taxa de crescimento da IA.
Temos que analisar como gerimos o risco de terceiros, bem como indenizações e contratos. A razão para isso é que muitas vezes, embora uma organização possa possuir o agente de IA, ele é desenvolvido usando software de outra empresa.
Aí reside a questão de até que ponto as organizações estão dispostas a ajudar quando surge um problema, com base no quanto de participação no agente ou potencial precipitação eles teriam.
Agentes de IA: a chave para desbloquear a liberdade criativa
Além disso, precisamos de uma forma de criar maior visibilidade nas ações dos agentes de IA. No passado, isso veio de medidas como logs de rede, logs de endpoint e prevenção contra perda de dados estratégias. Precisamos de compreender as entradas e saídas do sistema, quais as identidades envolvidas e qual era o contexto da situação quando os problemas começaram a surgir.
Do lado da resposta, precisamos determinar como podemos identificar rapidamente se há um problema. No entanto, as ações de resposta precisam de ser atualizadas para resolver os problemas que os agentes modernos de IA colocam. Deve ser estabelecido um grupo governamental de IA que seja responsável por reter os agentes de IA para completar as suas tarefas programadas sem criar riscos.
Isto permitiria que os indivíduos utilizassem a liberdade criativa e a conveniência que advêm da IA, ao mesmo tempo que protegeria as organizações do risco de ataques e permitiria que as equipas de segurança confiassem nos agentes para realizar as suas tarefas sem a necessidade de os supervisionar constantemente. Agentes de IA reforçados e confiáveis proporcionam um sistema de defesa de segurança mais eficiente.
É necessária uma ação de resposta adicional onde treinemos novamente, desabilitemos ou forcemos a reaprendizagem dos agentes de IA, o que não existe hoje. Deveria haver uma contraparte dentro do SOC para resposta imediata, e haverá empresários responsáveis pela construção desta estrutura. No momento, estamos no nível um do CMMI para esse processo, talvez até zero.
Os analistas de ameaças internas dependerão fortemente desses ajustes. Se pudermos construir uma estrutura e desenvolver um processo para lidar com a sobrecarga de informações que a IA sombra criou, os analistas de ameaças internas estarão mais preparados para lidar com as ameaças antes que elas se tornem devastadoras para as organizações.
Ter uma política de utilização de IA clara e facilmente aplicável, com ferramentas conhecidas e aprovadas, e um processo para rever, testar e implementar novos agentes ou ferramentas de IA com revisões de engenharia e segurança é a única forma de alcançar um nível adequado de mitigação de riscos. É vital que este processo seja simples e transparente. Caso contrário, os funcionários sempre procurarão formas de contorná-lo.
O caminho a seguir para o uso da IA requer compreensão. As organizações não podem controlar o que não compreendem e muitas priorizaram a implantação rápida em detrimento da visibilidade e da governança. Se conseguirmos encontrar um equilíbrio entre inovação e segurança, as organizações poderão maximizar a sua segurança contra ameaças externas, ao mesmo tempo que permitem aos seus funcionários a liberdade de inovar e mudar o mundo.
Listamos os melhores softwares antivírus: análises, testes e classificações de especialistas.