Tehnologija umjetne inteligencije prešla je put od eksperimentalne igračke do osnovne opreme na radnom mjestu za manje od tri godine. To smo svi znali. Ono što nitko nije očekivao bilo je koliko će brzo nadmašiti tradicionalne SaaS kategorije ne samo u prihvaćanju, već i u riziku.

Naš novi Izvješće o sigurnosti podataka za poduzeća, umjetnu inteligenciju i SaaS, za 2025. godinu, temeljena na telemetriji pregledavanja u stvarnom svijetu od strane poslovnih korisnika LayerX-a - pokazuje nešto iznenađujuće: umjetna inteligencija više nije „nova“ tehnologija. Sada je najveća slijepa točka za krađu podataka u modernom poduzeću.

I za razliku od dijeljenja e-pošte ili datoteka, gdje su sigurnosni timovi godinama gradili upravljanje, većina korištenja umjetne inteligencije događa se u sjeni; izvan SSO-a, vanjske vidljivosti i vanjske kontrole poduzeća.

Usvajanje umjetne inteligencije vrtoglavom brzinom

Krenimo s naslovom: 45% zaposlenika u poduzećima već koristi generativne alate umjetne inteligencije. To je gotovo polovica radne snage, u manje od tri godine otkako su se ti alati pojavili. Za usporedbu, SaaS kategorijama poput dijeljenja datoteka ili video konferencija trebalo je više od desetljeća da postignu sličnu penetraciju.

Još upečatljivije: 92% sve upotrebe umjetne inteligencije u poduzećima koncentrirano je u jednom alatu - ChatGPT-u. To je čini ne samo najbrže rastućom kategorijom, već i najkoncentriranijom. Jedna platforma okrenuta potrošačima postala je de facto standard umjetne inteligencije u poduzećima.

Samo po sebi, prihvaćanje u ovim razmjerima nije iznenađenje. Šok dolazi kada pogledate kako zaposlenici ga koriste.

Iznenađujući put podataka: Kopiranje/lijepljenje, a ne prijenosi

Većina CISO-a brine se o prijenosu datoteka. I to s dobrim razlogom: 40% datoteka prenesenih na GenAI alate sadrži osjetljive PII ili PCI podatke. To je gotovo polovica svih prijenosa.

Ali pravi šok leži negdje drugdje. Naši podaci pokazuju da većina osjetljivih podataka uopće ne napušta poduzeće putem prijenosa. Odlazi putem copy / paste.

  • 77% zaposlenika lijepi podatke u GenAI upite
  • 82% tih pasti dolazi s osobnih računa
  • U prosjeku, zaposlenici dnevno naprave 14 lijepljenja na račune koji nisu korporativni, a najmanje 3 od tih aktivnosti lijepljenja sadrže osjetljive podatke.

To pretvara skromni međuspremnik, često zanemaren kanal bez datoteka i strukture, u vektor broj 1 za izbacivanje osjetljivih podataka. Samo alati GenAI čine 32% svih prijenosa podataka s tvrtke na osobne podatke.

Tradicionalni DLP alati, izgrađeni oko praćenja usmjerenog na datoteke, čak ni ne registriraju ovu aktivnost. Što znači da poduzeća ne samo da zaostaju u upravljanju umjetnom inteligencijom - ona su slijepa.

Osobni računi vode predstavu

Poduzeća su uložila milijune u sigurnost identiteta, federaciju i jednokratnu prijavu (SSO). Pa ipak, prema našim podacima, te kontrole jedva dotiču kategoriju umjetne inteligencije.

  • 67% korištenja umjetne inteligencije događa se putem neupravljanih osobnih računa
  • 71% CRM prijava i 83% ERP prijava nije federirano
  • Čak su i "korporativni" računi često samo s lozinkom, što ih funkcionalno čini nerazlučivima od osobnih prijava

Pouka? Korporativno ≠ sigurno. Sustavima koji sadrže najosjetljivije podatke o korisnicima i financijama, kao što su CRM, ERP, a sada i umjetna inteligencija, pristupa se kao da su potrošačke aplikacije. Kontrole identiteta postoje, ali zaposlenici ih jednostavno zaobilaze.

Upravljanje: Nigdje ga nema

Najkontraintuitivniji nalaz našeg istraživanja je sljedeći: što je umjetna inteligencija više ugrađena u poslovne tijekove rada, to je manje upravljanja oko nje.

Zaposlenici učitavaju osjetljive podatke u upite. Prenose datoteke na korisničke račune. Prijavljuju se s neupravljanim identitetima. I sve se to događa izvan odobrenog nadzora.

Usporedite to s e-poštom, gdje su desetljeća DLP-a, arhiviranja i federacije izgradila barem neku vrstu zaštitnih ograda. Umjetna inteligencija je, za usporedbu, Divlji zapad.

Ipak, umjetna inteligencija više nije u "nastajanju". Već objašnjava 11% svih poslovnih aktivnosti, konkurirajući kategorijama koje su desetljećima definirale produktivnost poduzeća. Poduzeća zaostaju u svojoj najbrže rastućoj kategoriji.

Što bi CISO-i trebali učiniti sljedeće

Na temelju ovih podataka, evo tri najhitnija prioriteta:

  1. Tretirajte umjetnu inteligenciju kao prvoklasnu poduzetničku kategoriju.

    GenAI više nije eksperiment. Samo ChatGPT doseže 43% penetracije u poduzećima, što je jednako prihvaćanju Zooma u djeliću vremena. S 45% zaposlenika koji aktivno koriste AI alate i AI predstavlja 11% svih aktivnosti pregledavanja u poduzećima, GenAI sada mora biti reguliran s istom strogošću kao i sustavi za e-poštu i dijeljenje datoteka. Eksperimentalna faza je završena. Zaslužuje isto upravljanje i kontrole kao i pohrana e-pošte ili datoteka, s praćenjem i prijenosa i radnji bez datoteka poput kopiranja/lijepljenja.
  2. Tretirajte nefederirane korporativne prijave kao Active Shadow IT

    Istraživanje otkriva da čak i kada zaposlenici koriste korporativne vjerodajnice za kritične aplikacije poput ERP-a (83% bez SSO-a) i CRM-a (71% bez SSO-a), nedostatak SSO federacije čini te prijave funkcionalno identičnima neupravljanim osobnim računima. Dakle, umjesto davanja prioriteta SSO-u samo za nove SaaS aplikacije, odmah reklasificirati sve nefederirane račune u kritičnim sustavima kao neupravljani shadow ITVaša hitna akcija trebala bi biti provođenje revizije usmjerene posebno na vaše ERP i CRM sustave kako biste identificirali sve nefederirane pristupne točke. Sanaciju ovih nedostataka tretirajte s istom hitnošću kao i javno izloženi poslužitelj, jer predstavljaju nevidljiv i nekontroliran put za pristup i krađu podataka.
  3. Implementirajte politike svjesne podataka umjesto blokiranja pristupa osobnim računima

    Značajan dio prijenosa i lijepljenja u alate GenAI (67% osobnih računa) i IM (87% osobnih računa) odvija se putem nekorporativnih računa. Jednostavno blokiranje pristupa tim uslugama često je nepraktično i dovodi do shadow IT-a. Stoga, prijeđite s binarnog stava "blokiraj/dopusti" na... politika usmjerena na podatke i svjesna kontekstaOmogućite zaposlenicima pristup osobnim instancama ChatGPT-a, Google diska ili WhatsApp Weba, ali implementirajte kontrole na razini preglednika koje se posebno spriječiti lijepljenje ili učitavanje osjetljivih korporativnih podataka (koje identificiraju klasifikatori) u njihOvaj pristup priznaje stvarnost modernih tijekova rada, a istovremeno stvara ključnu sigurnosnu granicu oko samih podataka, a ne aplikacije.
  4. Prebacivanje DLP proračuna s analize mreže/datoteke na kontrolu lijepljenja na razini preglednika:To pokazuju nalazi kopiranje/lijepljenje nadmašilo je prijenos datoteka kao primarni kanal za izvlačenje podataka, pri čemu 77% zaposlenika lijepi podatke u GenAI alate, a 62% ih lijepi u IM aplikacije koje sadrže PII/PCI. Tradicionalna mrežna DLP rješenja ne svjesna su ovog kretanja podataka bez datoteka. Kao rezultat toga, organizacije bi trebale preusmjeriti svoju strategiju zaštite podataka i raspodjelu proračuna s praćenja usmjerenog na datoteke. Dajte prioritet implementaciji sigurnosnih rješenja prilagođenih pregledniku ili sigurni poslovni preglednici koji mogu pregledavati, klasificirati i blokirati osjetljive podatke unutar događaja kopiranja/lijepljenja prije šalje se u web obrazac, AI upit ili prozor za chat. Ključno je kontrolirati podatke u trenutku radnje - preglednik - ne samo podatke u prijenosu.

Zašto su LayerX podaci drugačiji

Dok se druga izvješća o prihvaćanju umjetne inteligencije oslanjaju na ankete ili samoprocjene podataka, naše se temelji na izravna telemetrija preglednika od samih poslovnih korisnika. To znači da nema nagađanja - samo uvid u aktivnosti u stvarnom svijetu kroz odobrene, neodobrene i skrivene aplikacije.

Ova jedinstvena točka gledišta otkriva ono što ankete ne mogu: da je kopiranje/lijepljenje, a ne prijenosi, primarni kanal za izvlačenje podataka; da osobni računi dominiraju čak i poslovno kritičnim tijekovima rada; i da umjetna inteligencija nije samo rizik na horizontu - to je rizik koji se događa upravo sada.

Bottom Line

CISO-i su godinama gradili upravljanje oko e-pošte, pohrane datoteka i odobrenog SaaS-a. U međuvremenu, umjetna inteligencija postala je najbrže rastuća poslovna kategorija, s gotovo polovicom zaposlenika koji je koriste svakodnevno. I gotovo ništa od toga nije sigurno.

To je paradoks koji naši podaci otkrivaju: što je umjetna inteligencija nezamjenjivija, to je manje nadzora nad njom.

Međuspremnik je sada nova granica curenja podataka u poduzećima. ChatGPT je postao de facto standard umjetne inteligencije u poduzećima. A neupravljani računi tiho prepisuju pravila identiteta.

Izazov za sigurnosne lidere nije treba li upravljati umjetnom inteligencijom. Već koliko brzo je mogu staviti pod kontrolu - prije nego što se nevidljivi curenje podataka pretvori u poplavu.

Preuzmite potpuno izvješće otkriti puni opseg rizika podataka vezanih uz umjetnu inteligenciju i SaaS.