AI-teknologi gik fra at være et eksperimentelt legetøj til en fast bestanddel af arbejdspladsen på under tre år. Det vidste vi alle. Hvad ingen forventede var, hvor hurtigt den ville overgå traditionelle SaaS-kategorier, ikke kun i implementering, men også i risiko.

Vores nye Rapport om virksomheds-AI og SaaS-datasikkerhed 2025, baseret på browsingtelemetri fra LayerX's virksomhedskunder i den virkelige verden – viser noget overraskende: AI er ikke længere en "fremvoksende" teknologi. Det er nu den største blinde vinkel for dataudvinding i den moderne virksomhed.

Og i modsætning til e-mail- eller fildeling, hvor sikkerhedsteams har opbygget årelang styring, foregår størstedelen af ​​brugen af ​​AI i skyggerne; uden for SSO, uden for synlighed og uden for virksomhedens kontrol.

AI-adoption med halsbrækkende hastighed

Lad os starte med overskriften: 45 % af virksomhedsmedarbejdere bruger allerede generative AI-værktøjer. Det er næsten halvdelen af ​​arbejdsstyrken på mindre end tre år siden disse værktøjer dukkede op. Til sammenligning tog det SaaS-kategorier som fildeling eller videokonferencer over et årti at nå en lignende udbredelse.

Endnu mere slående: 92 % af al brug af AI i virksomheder er koncentreret i et enkelt værktøj – ChatGPT. Dette gør det ikke blot til den hurtigst voksende kategori, men også til den mest koncentrerede. En enkelt, forbrugerrettet platform er blevet den faktiske standard for AI i virksomheder.

I sig selv er implementering i denne skala ikke overraskende. Chokket kommer, når man ser på hvordan medarbejderne bruger det.

Den overraskende datasti: Kopiér/indsæt, ikke uploads

De fleste IT-chefer bekymrer sig om filuploads. Og med god grund: 40 % af de filer, der uploades til GenAI-værktøjer, indeholder følsomme PII- eller PCI-data. Det er næsten halvdelen af ​​alle uploads.

Men det virkelige chok ligger et andet sted. Vores data viser, at størstedelen af ​​følsomme data slet ikke forlader virksomheden via uploads. De forlader via copy / paste.

  • 77% af medarbejderne indsætter data i GenAI-prompter
  • 82% af disse pastaer kommer fra personlige konti
  • I gennemsnit laver medarbejdere 14 indsættelser/dag til ikke-virksomhedskonti, og mindst 3 af disse indsættelsesaktiviteter indeholder følsomme data.

Dette forvandler det ydmyge udklipsholder, en ofte overset filløs og ustruktureret kanal, til den førende vektor for udfiltrering af følsomme data. GenAI-værktøjer alene tegner sig for 32 % af alle overførsler af virksomheds- til privatdata.

Traditionelle DLP-værktøjer, der er bygget op omkring filcentreret overvågning, registrerer ikke engang denne aktivitet. Det betyder, at virksomheder ikke bare er bagud med AI-styring – de er blinde.

Personlige konti styrer showet

Virksomheder har investeret millioner i identitetssikkerhed, føderation og SSO. Men ifølge vores data berører disse kontroller knap nok AI-kategorien.

  • 67% af brugen af ​​AI sker via ikke-administrerede personlige konti
  • 71% af CRM-login og 83% af ERP-login er ikke-fødererede
  • Selv "virksomheds"-konti er ofte kun adgangskoder, hvilket gør dem funktionelt umulige at skelne fra personlige logins.

Konklusionen? Virksomhed ≠ sikker. Systemerne, der indeholder de mest følsomme kunde- og økonomiske data, såsom CRM, ERP og nu AI, tilgås, som var de forbrugerapps. Der findes identitetskontroller, men medarbejderne arbejder blot uden om dem.

Styring: Ingen steder at finde

Det mest kontraintuitive fund fra vores forskning er dette: jo mere integreret AI bliver i virksomhedens arbejdsgange, desto mindre styring er der omkring den.

Medarbejdere indsætter følsomme data i prompts. De uploader filer til forbrugerkonti. De logger ind med ikke-administrerede identiteter. Og alt dette sker uden for sanktioneret tilsyn.

Sammenlign dette med e-mail, hvor årtiers DLP, arkivering og føderation har skabt i det mindste en form for beskyttelsesrækværk. AI er til sammenligning det Vilde Vesten.

Og alligevel er AI ikke længere "fremvoksende". Den tager allerede højde for 11% af al virksomhedsaktivitet, der konkurrerer med kategorier, der har defineret virksomheders produktivitet i årtier. Virksomheder løber i blinde i deres hurtigst voksende kategori.

Hvad CISO'er bør gøre nu

Baseret på disse data er her de tre mest presserende prioriteter:

  1. Behandl AI som en førsteklasses virksomhedskategori.

    GenAI er ikke længere et eksperiment. ChatGPT alene når en virksomhedspenetration på 43 %, hvilket matcher Zooms udbredelse på en brøkdel af tiden. Med 45 % af medarbejderne, der aktivt bruger AI-værktøjer, og AI, der repræsenterer 11 % af al virksomhedens browsingaktivitet, skal GenAI nu styres med samme strenghed som e-mail- og fildelingssystemer. Eksperimentfasen er overstået. Det fortjener den samme styring og kontrol som e-mail- eller fillagring, med overvågning af både uploads og filfrie handlinger som kopier/indsæt.
  2. Behandl ikke-fødererede virksomhedslogins som aktiv skygge-IT

    Undersøgelsen viser, at selv når medarbejdere bruger virksomhedsoplysninger til kritiske apps som ERP (83 % ikke-SSO) og CRM (71 % ikke-SSO), gør manglen på SSO-føderation disse logins funktionelt identiske med ikke-administrerede personlige konti. Så i stedet for blot at prioritere SSO for nye SaaS-apps, øjeblikkeligt omklassificere alle ikke-fødererede konti i kritiske systemer som uadministreret skygge-ITDin umiddelbare handling bør være at udføre en audit med specifik fokus på dine ERP- og CRM-systemer for at identificere alle ikke-fødererede adgangspunkter. Behandl afhjælpning af disse huller med samme hastværk som en offentligt eksponeret server, da de repræsenterer en usynlig og ukontrolleret vej til dataadgang og -tab.
  3. Implementer databevidste politikker i stedet for at blokere adgang til personlige konti

    En betydelig del af uploads og indsættelser til GenAI-værktøjer (67 % personlige konti) og IM-værktøjer (87 % personlige konti) sker via ikke-virksomhedskonti. Det er ofte upraktisk blot at blokere adgangen til disse tjenester og fører til skygge-IT. Skift derfor fra en binær "bloker/tillad"-position til en kontekstbevidst, datacentreret politikTillad medarbejdere at få adgang til personlige instanser af ChatGPT, Google Drive eller WhatsApp Web, men implementer browserniveaukontroller, der specifikt forhindre følsomme virksomhedsdata (identificeret af klassifikatorer) i at blive indsat eller uploadet til demDenne tilgang anerkender realiteterne i moderne arbejdsgange, samtidig med at den skaber en afgørende sikkerhedsgrænse omkring selve dataene, ikke applikationen.
  4. Skift DLP-budgetter fra netværks-/filanalyse til indsætningskontrol på browserniveau:Det viser resultaterne Kopiér/indsæt har overgået filuploads som den primære dataudfiltreringskanal, hvor 77 % af medarbejderne indsætter data i GenAI-værktøjer, og 62 % indsætter data i IM-apps, der indeholder PII/PCI. Traditionelle netværksbaserede DLP-løsninger er blinde for denne filløse dataflytning. Som følge heraf bør organisationer ændre deres databeskyttelsesstrategi og budgetallokering væk fra filcentreret overvågning. Prioriter implementeringen af ​​browser-native sikkerhedsløsninger eller sikre virksomhedsbrowsere, der kan inspicere, klassificere og blokere følsomme data i kopierings-/indsætningshændelser før Den sendes til en webformular, en AI-prompt eller et chatvindue. Nøglen er at kontrollere dataene på handlingsstedet – browseren – ikke kun dataene under overførsel.

Hvorfor LayerX-data er anderledes

Hvorimod andre rapporter om anvendelse af AI er baseret på spørgeskemaundersøgelser eller selvrapporterede data, er vores baseret på direkte browsertelemetri fra virksomhedsbrugerne selv. Det betyder intet gætteri – kun indsigt i aktivitet i den virkelige verden på tværs af godkendte, ikke-godkendte og skyggeapps.

Dette unikke udsigtspunkt afslører, hvad undersøgelser ikke kan: at kopier/indsæt, ikke uploads, er den primære udfiltreringskanal; at personlige konti dominerer selv forretningskritiske arbejdsgange; og at AI ikke bare er en risiko i horisonten – det er den risiko, der opstår lige nu.

The Bottom Line

IT-chefer har brugt årevis på at opbygge governance omkring e-mail, fillagring og godkendt SaaS. I mellemtiden er AI blevet den hurtigst voksende virksomhedskategori, hvor næsten halvdelen af ​​medarbejderne bruger det dagligt. Og næsten intet af det er sikkert.

Det er det paradoks, vores data afdækker: jo mere uundværlig AI bliver, desto mindre tilsyn har den.

Udklipsholderen er nu den nye grænse for datalækager i virksomheder. ChatGPT er blevet den faktiske AI-virksomhedsstandard. Og uadministrerede konti omskriver stille og roligt identitetsreglerne.

Udfordringen for sikkerhedsledere er ikke, om de skal styre AI. Det er, hvor hurtigt de kan få den under kontrol – før den usynlige strøm af datalækage forvandles til en oversvømmelse.

Download hele rapporten for at afdække det fulde omfang af AI- og SaaS-datarisici.