Technologie umělé inteligence se z experimentální hračky stala za necelé tři roky standardní součástí pracovního prostředí. To jsme všichni věděli. Nikdo však nečekal, jak rychle překoná tradiční kategorie SaaS, a to nejen v přijetí, ale i v riziku.

Náš nový Zpráva o podnikové AI a SaaS datové bezpečnosti za rok 2025, založený na telemetrii prohlížení v reálném světě od podnikových zákazníků LayerX – ukazuje něco překvapivého: Umělá inteligence již není „vznikající“ technologií. Nyní je největším slepým místem pro únik dat v moderním podniku.

A na rozdíl od e-mailů nebo sdílení souborů, kde si bezpečnostní týmy vybudovaly roky správy a řízení, většina využívání umělé inteligence probíhá ve stínu; mimo SSO, mimo dohled a mimo kontrolu podniku.

Zavádění umělé inteligence závratnou rychlostí

Začněme titulkem: 45 % zaměstnanců podniků již používá generativní nástroje umělé inteligence. To je téměř polovina pracovní síly za méně než tři roky od doby, kdy se tyto nástroje objevily. Pro srovnání, kategoriím SaaS, jako je sdílení souborů nebo videokonference, trvalo více než deset let, než dosáhly podobného rozšíření.

Ještě pozoruhodnější je, že 92 % veškerého využití podnikové umělé inteligence je soustředěno v jediném nástroji – ChatGPT. Díky tomu je to nejen nejrychleji rostoucí kategorie, ale také ta nejkoncentrovanější. Jedna platforma orientovaná na zákazníka se stala de facto standardem podnikové umělé inteligence.

Samotné přijetí v tomto měřítku není překvapením. Šok přichází, když se podíváte na jak zaměstnanci to používají.

Překvapivá datová cesta: Kopírování/vkládání, ne nahrávání

Většina CISO si dělá starosti s nahráváním souborů. A to z dobrého důvodu: 40 % souborů nahraných do nástrojů GenAI obsahuje citlivé osobní údaje (PII) nebo údaje PCI. To je téměř polovina všech nahraných příspěvků.

Skutečný šok ale spočívá jinde. Naše data ukazují, že většina citlivých dat vůbec neopouští podnik nahráváním. Opouští se prostřednictvím copy / paste.

  • 77 % zaměstnanců vkládá data do výzev GenAI
  • 82 % těchto past pochází z osobních účtů
  • Zaměstnanci v průměru provedou 14 vkládání denně do nefiremních účtů a alespoň 3 z těchto aktivit obsahují citlivá data.

Díky tomu se obyčejná schránka, často přehlížený kanál bez souborů a bez struktury, stává vektorem číslo 1 pro únik citlivých dat. Jen nástroje GenAI představují 32 % všech přenosů dat z firem do osobních dat.

Tradiční nástroje DLP, postavené na monitorování zaměřeném na soubory, tuto aktivitu ani neregistrují. Což znamená, že podniky nejen zaostávají v oblasti správy umělé inteligence – jsou slepé.

Osobní účty řídí show

Podniky investovaly miliony do zabezpečení identit, federace a jednotného přihlašování (SSO). Přesto se podle našich údajů tyto kontroly sotva dotýkají kategorie umělé inteligence.

  • 67 % využití umělé inteligence probíhá prostřednictvím nespravovaných osobních účtů
  • 71 % přihlášení do CRM a 83 % přihlášení do ERP není federovaných
  • Dokonce i „firemní“ účty jsou často pouze s heslem, takže jsou funkčně nerozeznatelné od osobních přihlašovacích údajů.

Ponaučení? Firemní ≠ bezpečné. Systémy, které obsahují nejcitlivější zákaznická a finanční data, jako jsou CRM, ERP a nyní i umělá inteligence, jsou přístupné, jako by se jednalo o spotřebitelské aplikace. Kontroly identity existují, ale zaměstnanci je jednoduše obcházejí.

Správa věcí veřejných: Nikde k nalezení

Nejvíce protiintuitivní zjištění z našeho výzkumu je toto: čím více je umělá inteligence integrována do podnikových pracovních postupů, tím méně kolem ní existuje řízení.

Zaměstnanci vkládají citlivá data do výzev. Nahrávají soubory do uživatelských účtů. Přihlašují se s nespravovanými identitami. A to vše se děje mimo schválený dohled.

Srovnejte to s e-mailem, kde desetiletí DLP, archivace a federace vybudovala alespoň nějakou formu zábran. Umělá inteligence je pro srovnání Divoký západ.

A přesto se umělá inteligence již „neobjevuje“. Už teď odpovídá za… 11 % veškeré podnikové aktivity, což soupeří s kategoriemi, které po celá desetiletí definovaly produktivitu podniků. Podniky ve své nejrychleji rostoucí kategorii zaostávají.

Co by měli CISO dělat dál

Na základě těchto údajů jsou zde tři nejnaléhavější priority:

  1. Zacházejte s umělou inteligencí jako s prvotřídní podnikovou kategorií.

    GenAI už není experiment. Samotný ChatGPT dosahuje 43% penetrace v podniku, což se za zlomek času vyrovná přijetí Zoomu. Vzhledem k tomu, že 45 % zaměstnanců aktivně používá nástroje umělé inteligence a umělá inteligence představuje 11 % veškeré aktivity prohlížení v podniku, musí být GenAI nyní řízena se stejnou přísností jako systémy pro sdílení e-mailů a souborů. Experimentální fáze skončila. Zaslouží si stejnou správu a kontroly jako e-mail nebo ukládání souborů, s monitorováním jak nahrávání, tak i akcí bez souborů, jako je kopírování/vkládání.
  2. Zacházet s nefederovanými firemními přihlášeními jako s Active Shadow IT

    Výzkum ukazuje, že i když zaměstnanci používají firemní přihlašovací údaje pro kritické aplikace, jako je ERP (83 % bez SSO) a CRM (71 % bez SSO), absence federace SSO činí tyto přihlašovací údaje funkčně identickými s nespravovanými osobními účty. Takže místo upřednostňování SSO pouze pro nové SaaS aplikace, okamžitě překlasifikovat všechny nefederované účty v kritických systémech jako nespravované stínové ITVaším okamžitým krokem by mělo být provedení auditu zaměřeného konkrétně na vaše ERP a CRM systémy s cílem identifikovat všechny nefederované přístupové body. Odstranění těchto mezer berte stejně naléhavě jako odstranění veřejně vystaveného serveru, protože představují neviditelnou a nekontrolovanou cestu pro přístup k datům a jejich únik.
  3. Implementujte zásady pro práci s daty namísto blokování přístupu k osobním účtům

    Významná část nahrávání a vkládání do nástrojů GenAI (67 % osobních účtů) a IM (87 % osobních účtů) probíhá prostřednictvím nefiremních účtů. Pouhé blokování přístupu k těmto službám je často nepraktické a vede ke stínování IT. Proto je třeba přejít od binárního přístupu „blokovat/povolit“ k… kontextově orientovaná, datově orientovaná politikaUmožněte zaměstnancům přístup k osobním instancím ChatGPT, Disku Google nebo WhatsApp Web, ale nasaďte ovládací prvky na úrovni prohlížeče, které se konkrétně týkají zabránit vkládání nebo nahrávání citlivých firemních dat (identifikovaných klasifikátory) do nichTento přístup uznává realitu moderních pracovních postupů a zároveň vytváří klíčovou bezpečnostní hranici kolem samotných dat, nikoliv aplikace.
  4. Přesun rozpočtů DLP z analýzy sítě/souborů na ovládání vkládání na úrovni prohlížeče:Zjištění to ukazují kopírování a vkládání překonalo nahrávání souborů jako primární kanál pro exfiltraci dat, přičemž 77 % zaměstnanců vkládá data do nástrojů GenAI a 62 % je vkládá do aplikací IM obsahujících PII/PCI. Tradiční síťová DLP řešení jsou k tomuto bezsouborovému přesunu dat slepá. V důsledku toho by organizace měly odklonit svou strategii ochrany dat a alokaci rozpočtu od monitorování zaměřeného na soubory. Upřednostněte nasazení nativních bezpečnostních řešení pro prohlížeče nebo zabezpečené podnikové prohlížeče, které dokáží kontrolovat, klasifikovat a blokovat citlivá data v rámci událostí kopírování/vkládání před odesílá se do webového formuláře, výzvy umělé inteligence nebo okna chatu. Klíčem je kontrola dat v okamžiku akce – v prohlížeči – nejen dat během přenosu.

Proč jsou data LayerX odlišná

Zatímco jiné zprávy o zavádění umělé inteligence se opírají o průzkumy nebo data od samotných uživatelů. Ta naše je postavena na přímá telemetrie prohlížeče od samotných podnikových uživatelů. To znamená žádné dohady – pouze přehled o aktivitách v reálném světě napříč schválenými, neschválenými a stínovými aplikacemi.

Tento jedinečný úhel pohledu odhaluje, co průzkumy nemohou: že primárním kanálem pro úniky dat je kopírování/vkládání, nikoli nahrávání; že osobní účty dominují i ​​v kritických pracovních postupech; a že umělá inteligence není jen rizikem na obzoru – je to riziko, které se děje právě teď.

Bottom Line

Vedoucí oddělení informační bezpečnosti (CISO) strávili roky budováním správy a řízení v oblasti e-mailů, ukládání souborů a schváleného SaaS. Mezitím se umělá inteligence stala nejrychleji rostoucí kategorií podniků, kterou používá denně téměř polovina zaměstnanců. A téměř nic z toho není bezpečné.

To je paradox, který naše data odhalují: čím nepostradatelnější se umělá inteligence stává, tím menší dohled má.

Schránka je nyní novým prvkem úniků podnikových dat. ChatGPT se stal de facto podnikovým standardem umělé inteligence. A nespravované účty tiše přepisují pravidla identity.

Výzvou pro bezpečnostní lídry není, zda řídit umělou inteligenci. Jde o to, jak rychle ji dokážou dostat pod kontrolu – než se neviditelný pramínek úniku dat promění v záplavu.

Stáhněte si úplnou zprávu odhalit plný rozsah datových rizik umělé inteligence a SaaS.