Η τεχνολογία τεχνητής νοημοσύνης μετατράπηκε από ένα πειραματικό παιχνίδι σε ένα βασικό στοιχείο στον χώρο εργασίας σε λιγότερο από τρία χρόνια. Αυτό ξέραμε όλοι. Αυτό που κανείς δεν περίμενε ήταν πόσο γρήγορα θα ξεπέρασε τις παραδοσιακές κατηγορίες SaaS, όχι μόνο σε υιοθέτηση, αλλά και σε κίνδυνο.

Το νέο μας Έκθεση για την Ασφάλεια Δεδομένων Επιχειρηματικής Τεχνητής Νοημοσύνης και SaaS 2025, βασισμένο σε τηλεμετρία περιήγησης σε πραγματικό κόσμο από εταιρικούς πελάτες της LayerX—δείχνει κάτι εκπληκτικό: Η Τεχνητή Νοημοσύνη δεν είναι πλέον μια «αναδυόμενη» τεχνολογία. Είναι πλέον το μεγαλύτερο τυφλό σημείο για την εξαγωγή δεδομένων στις σύγχρονες επιχειρήσεις.

Και σε αντίθεση με το email ή την κοινή χρήση αρχείων, όπου οι ομάδες ασφαλείας έχουν χτίσει χρόνια διακυβέρνησης, η πλειονότητα της χρήσης της Τεχνητής Νοημοσύνης συμβαίνει στη σκιά, εκτός SSO, εξωτερικής ορατότητας και εξωτερικού ελέγχου της επιχείρησης.

Υιοθέτηση Τεχνητής Νοημοσύνης με Ιλιγγιώδη Ταχύτητα

Ας ξεκινήσουμε με τον τίτλο: Το 45% των εργαζομένων σε επιχειρήσεις χρησιμοποιεί ήδη εργαλεία γενετικής τεχνητής νοημοσύνης. Αυτό αντιστοιχεί σχεδόν στο μισό του εργατικού δυναμικού, σε λιγότερο από τρία χρόνια από την εμφάνιση αυτών των εργαλείων. Συγκριτικά, χρειάστηκε πάνω από μια δεκαετία για να επιτύχουν παρόμοια διείσδυση κατηγορίες SaaS, όπως η κοινή χρήση αρχείων ή οι βιντεοδιασκέψεις.

Ακόμα πιο εντυπωσιακό: το 92% της συνολικής χρήσης τεχνητής νοημοσύνης σε επιχειρήσεις συγκεντρώνεται σε ένα μόνο εργαλείο - το ChatGPT. Αυτό το καθιστά όχι μόνο την ταχύτερα αναπτυσσόμενη κατηγορία, αλλά και την πιο συγκεντρωμένη. Μια ενιαία πλατφόρμα που απευθύνεται στον καταναλωτή έχει γίνει το de facto πρότυπο τεχνητής νοημοσύνης για επιχειρήσεις.

Από μόνη της, η υιοθέτηση σε αυτή την κλίμακα δεν αποτελεί έκπληξη. Το σοκ έρχεται όταν κοιτάξει κανείς Αυτό που μπερδεύει, είναι το πώς. οι εργαζόμενοι το χρησιμοποιούν.

Η εκπληκτική διαδρομή δεδομένων: Αντιγραφή/Επικόλληση, όχι μεταφορτώσεις

Οι περισσότεροι CISO ανησυχούν για τις μεταφορτώσεις αρχείων. Και για καλό λόγο: Το 40% των αρχείων που μεταφορτώνονται στα εργαλεία GenAI περιέχουν ευαίσθητα δεδομένα PII ή PCI. Αυτό είναι σχεδόν το ήμισυ όλων των μεταφορτώσεων.

Αλλά το πραγματικό σοκ βρίσκεται αλλού. Τα δεδομένα μας δείχνουν ότι η πλειονότητα των ευαίσθητων δεδομένων δεν εγκαταλείπουν την επιχείρηση μέσω μεταφορτώσεων. Φεύγουν μέσω... αντιγραφή / επικόλληση.

  • Το 77% των εργαζομένων επικολλούν δεδομένα σε μηνύματα GenAI
  • Το 82% αυτών των επικολλήσεων προέρχεται από προσωπικούς λογαριασμούς
  • Κατά μέσο όρο, οι εργαζόμενοι πραγματοποιούν 14 επικολλήσεις/ημέρα σε μη εταιρικούς λογαριασμούς και τουλάχιστον 3 από αυτές τις δραστηριότητες επικόλλησης περιέχουν ευαίσθητα δεδομένα.

Αυτό μετατρέπει το ταπεινό πρόχειρο, ένα συχνά παραβλεπόμενο κανάλι χωρίς αρχεία και δομημένο, στον νούμερο 1 φορέα για την εξαγωγή ευαίσθητων δεδομένων. Τα εργαλεία GenAI από μόνα τους αντιπροσωπεύουν το 32% όλων των μεταφορών δεδομένων από εταιρικά σε προσωπικά δεδομένα.

Τα παραδοσιακά εργαλεία DLP, που βασίζονται στην παρακολούθηση με επίκεντρο τα αρχεία, δεν καταγράφουν καν αυτήν τη δραστηριότητα. Αυτό σημαίνει ότι οι επιχειρήσεις δεν υστερούν απλώς στη διακυβέρνηση της Τεχνητής Νοημοσύνης - είναι τυφλές.

Οι προσωπικοί λογαριασμοί τρέχουν την παράσταση

Οι επιχειρήσεις έχουν επενδύσει εκατομμύρια στην ασφάλεια ταυτοτήτων, την ομοσπονδία και την SSO. Ωστόσο, σύμφωνα με τα δεδομένα μας, αυτοί οι έλεγχοι μόλις που αγγίζουν την κατηγορία της Τεχνητής Νοημοσύνης.

  • Το 67% της χρήσης τεχνητής νοημοσύνης γίνεται μέσω μη διαχειριζόμενων προσωπικών λογαριασμών
  • Το 71% των συνδέσεων στο CRM και το 83% των συνδέσεων στο ERP δεν είναι ομοσπονδιακά συνδεδεμένες.
  • Ακόμη και οι «εταιρικοί» λογαριασμοί συχνά χρησιμοποιούν μόνο κωδικό πρόσβασης, με αποτέλεσμα να μην διακρίνονται λειτουργικά από τις προσωπικές συνδέσεις.

Το συμπέρασμα; Εταιρική ≠ ασφάλεια. Τα συστήματα που φιλοξενούν τα πιο ευαίσθητα δεδομένα πελατών και οικονομικά δεδομένα, όπως το CRM, το ERP και τώρα η Τεχνητή Νοημοσύνη, έχουν πρόσβαση σαν να ήταν εφαρμογές καταναλωτών. Υπάρχουν έλεγχοι ταυτότητας, αλλά οι εργαζόμενοι απλώς τους παρακάμπτουν.

Διακυβέρνηση: Πουθενά

Το πιο αντιφατικό εύρημα από την έρευνά μας είναι το εξής: όσο περισσότερο ενσωματώνεται η Τεχνητή Νοημοσύνη στις ροές εργασίας των επιχειρήσεων, τόσο λιγότερη διακυβέρνηση υπάρχει γύρω από αυτήν.

Οι εργαζόμενοι επικολλούν ευαίσθητα δεδομένα σε μηνύματα προτροπής. Ανεβάζουν αρχεία σε λογαριασμούς καταναλωτικού επιπέδου. Συνδέονται με μη διαχειριζόμενες ταυτότητες. Και όλα αυτά συμβαίνουν εκτός εγκεκριμένης εποπτείας.

Συγκρίνετε αυτό με το email, όπου δεκαετίες DLP, αρχειοθέτησης και ομοσπονδιοποίησης έχουν δημιουργήσει τουλάχιστον κάποια μορφή προστατευτικών κιγκλιδωμάτων. Η Τεχνητή Νοημοσύνη, συγκριτικά, είναι η Άγρια Δύση.

Κι όμως, η Τεχνητή Νοημοσύνη δεν είναι πλέον «αναδυόμενη». Ήδη αντιπροσωπεύει 11% του συνόλου της επιχειρηματικής δραστηριότητας, ανταγωνιστικές κατηγορίες που έχουν καθορίσει την παραγωγικότητα των επιχειρήσεων εδώ και δεκαετίες. Οι επιχειρήσεις λειτουργούν αθόρυβα στην ταχύτερα αναπτυσσόμενη κατηγορία τους.

Τι πρέπει να κάνουν στη συνέχεια οι CISOs

Με βάση αυτά τα δεδομένα, οι τρεις πιο επείγουσες προτεραιότητες είναι οι εξής:

  1. Αντιμετωπίστε την Τεχνητή Νοημοσύνη ως επιχειρηματική κατηγορία πρώτης κατηγορίας.

    Η Γενική Τεχνητή Νοημοσύνη (GenAI) δεν αποτελεί πλέον πείραμα. Μόνο το ChatGPT φτάνει το 43% της διείσδυσης σε επιχειρήσεις, ισοφαρίζοντας την υιοθέτηση του Zoom σε πολύ μικρότερο χρονικό διάστημα. Με το 45% των εργαζομένων να χρησιμοποιούν ενεργά εργαλεία AI και την AI να αντιπροσωπεύει το 11% της συνολικής δραστηριότητας περιήγησης σε επιχειρήσεις, η Γενική Τεχνητή Νοημοσύνη (GenAI) πρέπει πλέον να διέπεται με την ίδια αυστηρότητα όπως τα συστήματα email και κοινής χρήσης αρχείων. Η πειραματική φάση ολοκληρώθηκε. Αξίζει την ίδια διακυβέρνηση και τους ίδιους ελέγχους με τα email ή την αποθήκευση αρχείων, με παρακολούθηση τόσο για τις μεταφορτώσεις όσο και για ενέργειες χωρίς αρχεία, όπως η αντιγραφή/επικόλληση.
  2. Αντιμετώπιση μη ομοσπονδιακών εταιρικών συνδέσεων ως ενεργών Shadow IT

    Η έρευνα αποκαλύπτει ότι ακόμη και όταν οι εργαζόμενοι χρησιμοποιούν εταιρικά διαπιστευτήρια για κρίσιμες εφαρμογές όπως το ERP (83% μη SSO) και το CRM (71% μη SSO), η έλλειψη ομοσπονδίας SSO καθιστά αυτές τις συνδέσεις λειτουργικά πανομοιότυπες με τους μη διαχειριζόμενους προσωπικούς λογαριασμούς. Έτσι, αντί να δίνεται προτεραιότητα στο SSO για νέες εφαρμογές SaaS, άμεση αναταξινόμηση όλων των μη ομοσπονδιακών λογαριασμών σε κρίσιμα συστήματα ως μη διαχειριζόμενη σκιώδης πληροφορικήΗ άμεση ενέργειά σας θα πρέπει να είναι η διεξαγωγή ενός ελέγχου που θα επικεντρώνεται ειδικά στα συστήματα ERP και CRM σας, για να εντοπίσετε όλα τα μη ομοσπονδιακά σημεία πρόσβασης. Αντιμετωπίστε την αποκατάσταση αυτών των κενών με την ίδια επείγουσα ανάγκη όπως ένας δημόσια εκτεθειμένος διακομιστής, καθώς αντιπροσωπεύουν μια αόρατη και ανεξέλεγκτη οδό για πρόσβαση και εξαγωγή δεδομένων.
  3. Εφαρμόστε πολιτικές που λαμβάνουν υπόψη τα δεδομένα αντί να αποκλείετε την πρόσβαση σε προσωπικούς λογαριασμούς

    Ένα σημαντικό μέρος των μεταφορτώσεων και επικολλήσεων σε εργαλεία GenAI (67% προσωπικοί λογαριασμοί) και άμεσων μηνυμάτων (87% προσωπικοί λογαριασμοί) γίνεται μέσω μη εταιρικών λογαριασμών. Το απλό μπλοκάρισμα της πρόσβασης σε αυτές τις υπηρεσίες είναι συχνά μη πρακτικό και οδηγεί σε σκιώδη IT. Επομένως, η μετάβαση από μια δυαδική στάση «αποκλεισμού/επιτροπής» σε μια πολιτική με επίγνωση του πλαισίου και επίκεντρο τα δεδομέναΕπιτρέψτε στους υπαλλήλους να έχουν πρόσβαση σε προσωπικές παρουσίες του ChatGPT, του Google Drive ή του WhatsApp Web, αλλά αναπτύξτε στοιχεία ελέγχου σε επίπεδο προγράμματος περιήγησης που αποτρέψτε την επικόλληση ή την μεταφόρτωση ευαίσθητων εταιρικών δεδομένων (που αναγνωρίζονται από ταξινομητές) σε αυτάΑυτή η προσέγγιση αναγνωρίζει την πραγματικότητα των σύγχρονων ροών εργασίας, δημιουργώντας παράλληλα ένα κρίσιμο όριο ασφαλείας γύρω από τα ίδια τα δεδομένα και όχι την εφαρμογή.
  4. Μετατόπιση προϋπολογισμών DLP από ανάλυση δικτύου/αρχείων σε έλεγχο επικόλλησης σε επίπεδο προγράμματος περιήγησης:Τα ευρήματα δείχνουν ότι Η αντιγραφή/επικόλληση έχει ξεπεράσει τις μεταφορτώσεις αρχείων ως το κύριο κανάλι εξαγωγής δεδομένων, με το 77% των εργαζομένων να επικολλούν δεδομένα σε εργαλεία GenAI και το 62% να επικολλούν δεδομένα σε εφαρμογές IM που περιέχουν PII/PCI. Οι παραδοσιακές λύσεις DLP που βασίζονται σε δίκτυο δεν βλέπουν αυτή την κίνηση δεδομένων χωρίς αρχεία. Ως αποτέλεσμα, οι οργανισμοί θα πρέπει να στραφούν στη στρατηγική προστασίας δεδομένων και στην κατανομή του προϋπολογισμού τους μακριά από την παρακολούθηση που επικεντρώνεται στα αρχεία. Δώστε προτεραιότητα στην ανάπτυξη λύσεων ασφαλείας που είναι εγγενείς σε προγράμματα περιήγησης ή ασφαλή εταιρικά προγράμματα περιήγησης που μπορούν να επιθεωρήσουν, να ταξινομήσουν και να αποκλείσουν ευαίσθητα δεδομένα σε συμβάντα αντιγραφής/επικόλλησης πριν Υποβάλλεται σε μια φόρμα ιστού, σε μια προτροπή τεχνητής νοημοσύνης ή σε ένα παράθυρο συνομιλίας. Το κλειδί είναι να ελέγχονται τα δεδομένα στο σημείο της δράσης - το πρόγραμμα περιήγησης - όχι μόνο τα δεδομένα κατά τη μεταφορά.

Γιατί τα δεδομένα LayerX είναι διαφορετικά

Ενώ άλλες αναφορές σχετικά με την υιοθέτηση της Τεχνητής Νοημοσύνης βασίζονται σε έρευνες ή δεδομένα που υποβάλλονται από τους ίδιους τους χρήστες. Η δική μας βασίζεται σε άμεση τηλεμετρία προγράμματος περιήγησης από τους ίδιους τους εταιρικούς χρήστες. Αυτό σημαίνει ότι δεν χρειάζεται να κάνετε εικασίες—απλώς έχετε ορατότητα στην πραγματική δραστηριότητα σε εφαρμογές με ή χωρίς έγκριση, καθώς και σε εφαρμογές που δεν έχουν εγκριθεί και δεν έχουν εγκριθεί.

Αυτό το μοναδικό σημείο θέασης αποκαλύπτει αυτό που οι έρευνες δεν μπορούν: ότι η αντιγραφή/επικόλληση, όχι οι μεταφορτώσεις, είναι το κύριο κανάλι εξαγωγής· ότι οι προσωπικοί λογαριασμοί κυριαρχούν ακόμη και στις κρίσιμες για την επιχείρηση ροές εργασίας· και ότι η Τεχνητή Νοημοσύνη δεν είναι απλώς ένας κίνδυνος στον ορίζοντα — είναι ο κίνδυνος που συμβαίνει αυτή τη στιγμή.

Η κατώτατη γραμμή

Οι CISO έχουν αφιερώσει χρόνια στην οικοδόμηση διακυβέρνησης γύρω από το email, την αποθήκευση αρχείων και το εγκεκριμένο SaaS. Εν τω μεταξύ, η Τεχνητή Νοημοσύνη έχει γίνει η ταχύτερα αναπτυσσόμενη επιχειρηματική κατηγορία, με σχεδόν τους μισούς υπαλλήλους να τη χρησιμοποιούν καθημερινά. Και σχεδόν τίποτα από αυτά δεν είναι ασφαλές.

Αυτό είναι το παράδοξο που αποκαλύπτουν τα δεδομένα μας: όσο πιο απαραίτητη γίνεται η Τεχνητή Νοημοσύνη, τόσο λιγότερη εποπτεία έχει.

Το πρόχειρο είναι πλέον το νέο σύνορο των διαρροών εταιρικών δεδομένων. Το ChatGPT έχει γίνει το de facto πρότυπο τεχνητής νοημοσύνης για επιχειρήσεις. Και οι μη διαχειριζόμενοι λογαριασμοί ξαναγράφουν αθόρυβα τους κανόνες της ταυτότητας.

Η πρόκληση για τους ηγέτες της ασφάλειας δεν είναι το αν θα κυβερνήσουν την Τεχνητή Νοημοσύνη. Είναι το πόσο γρήγορα μπορούν να την θέσουν υπό έλεγχο — πριν η αόρατη σταγόνα διαρροής δεδομένων μετατραπεί σε πλημμύρα.

Κατεβάστε το πλήρες κείμενο της έκθεσης για να αποκαλυφθεί η πλήρης κλίμακα των κινδύνων δεδομένων που σχετίζονται με την Τεχνητή Νοημοσύνη και το SaaS.