AI-teknologi gikk fra å være et eksperimentelt leketøy til en basisvare på arbeidsplassen på under tre år. Det visste vi alle. Det ingen forventet var hvor raskt den ville overgå tradisjonelle SaaS-kategorier, ikke bare i adopsjon, men også i risiko.

Vår nye Rapport om datasikkerhet for bedrifter innen kunstig intelligens og SaaS 2025, basert på reell nettlesertelemetri fra LayerXs bedriftskunder – viser noe overraskende: AI er ikke lenger en «fremvoksende» teknologi. Det er nå den største blindsonen for datautvinning i moderne bedrifter.

Og i motsetning til e-post eller fildeling, hvor sikkerhetsteam har bygget opp årevis med styring, skjer mesteparten av bruken av AI i skyggene; utenfor SSO, utenfor synlighet og utenfor bedriftskontroll.

AI-adopsjon i halsbrekkende fart

La oss starte med overskriften: 45 % av bedriftsansatte bruker allerede generative AI-verktøy. Det er nesten halvparten av arbeidsstyrken, på mindre enn tre år siden disse verktøyene dukket opp. Til sammenligning tok det SaaS-kategorier som fildeling eller videokonferanser over et tiår å nå lignende gjennomslagskraft.

Enda mer slående: 92 % av all bruk av kunstig intelligens i bedrifter er konsentrert i ett enkelt verktøy – ChatGPT. Dette gjør det ikke bare til den raskest voksende kategorien, men også til den mest konsentrerte. En enkelt, forbrukerrettet plattform har blitt de facto standarden for kunstig intelligens i bedrifter.

Det er ikke overraskende at man i seg selv bruker denne skalaen. Sjokket kommer når man ser på hvordan ansatte bruker det.

Den overraskende datastien: Kopier/lim inn, ikke opplastinger

De fleste IT-sjefer bekymrer seg for filopplastinger. Og med god grunn: 40 % av filene som lastes opp til GenAI-verktøy inneholder sensitive PII- eller PCI-data. Det er nesten halvparten av alle opplastinger.

Men det virkelige sjokket ligger et annet sted. Dataene våre viser at majoriteten av sensitive data ikke forlater bedriften via opplastinger i det hele tatt. De forlater gjennom kopier / lim.

  • 77 % av ansatte limer inn data i GenAI-ledetekster
  • 82 % av disse pastaene kommer fra personlige kontoer
  • I gjennomsnitt limer ansatte inn 14 ganger per dag til ikke-bedriftskontoer, og minst 3 av disse limeaktivitetene inneholder sensitive data.

Dette gjør det beskjedne utklippstavlen, en ofte oversett filløs og ustrukturert kanal, til den fremste vektoren for utvinning av sensitive data. GenAI-verktøy alene står for 32 % av alle overføringer av data fra bedrift til person.

Tradisjonelle DLP-verktøy, bygget rundt filsentrert overvåking, registrerer ikke engang denne aktiviteten. Det betyr at bedrifter ikke bare henger etter når det gjelder AI-styring – de er blinde.

Personlige kontoer styrer showet

Bedrifter har investert millioner i identitetssikkerhet, føderasjon og SSO. Likevel, ifølge våre data, berører disse kontrollene knapt AI-kategorien.

  • 67 % av bruken av kunstig intelligens skjer gjennom uadministrerte personlige kontoer
  • 71 % av CRM-pålogginger og 83 % av ERP-pålogginger er ikke-fødererte
  • Selv «bedriftskontoer» er ofte kun passordbeskyttede, noe som gjør at de ikke kan skilles fra personlige pålogginger.

Konklusjonen? Bedrift ≠ sikker. Systemene som inneholder de mest sensitive kunde- og økonomiske dataene, som CRM, ERP og nå AI, blir nådd som om de var forbrukerapper. Det finnes identitetskontroller, men ansatte jobber bare rundt dem.

Styring: Ingen steder å finne

Det mest kontraintuitive funnet fra forskningen vår er dette: jo mer integrert AI blir i bedriftens arbeidsflyter, desto mindre styring er det rundt den.

Ansatte limer inn sensitive data i ledetekster. De laster opp filer til forbrukerkontoer. De logger inn med uadministrerte identiteter. Og alt dette skjer utenfor godkjent tilsyn.

Sammenlign dette med e-post, hvor flere tiår med DLP, arkivering og føderasjon har bygget i det minste en form for beskyttelse. Til sammenligning er AI det ville vesten.

Og likevel er ikke lenger AI «fremvoksende». Den står allerede for 11 % av all bedriftsaktivitet, konkurrerende kategorier som har definert bedriftsproduktivitet i flere tiår. Bedrifter løper i blinde i sin raskest voksende kategori.

Hva IT-sjefer bør gjøre videre

Basert på disse dataene er her de tre mest presserende prioriteringene:

  1. Behandle AI som en førsteklasses bedriftskategori.

    GenAI er ikke lenger et eksperiment. ChatGPT alene når 43 % bedriftspenetrasjon, noe som matcher Zooms adopsjon på en brøkdel av tiden. Med 45 % av ansatte som aktivt bruker AI-verktøy og AI som representerer 11 % av all nettleseraktivitet i bedrifter, må GenAI nå styres med samme strenghet som e-post- og fildelingssystemer. Eksperimentfasen er over. Den fortjener samme styring og kontroller som e-post- eller fillagring, med overvåking av både opplastinger og filløse handlinger som kopier/lim inn.
  2. Behandle ikke-fødererte bedriftspålogginger som aktiv skygge-IT

    Forskningen viser at selv når ansatte bruker bedriftslegitimasjon for kritiske apper som ERP (83 % ikke-SSO) og CRM (71 % ikke-SSO), gjør mangelen på SSO-føderasjon disse påloggingene funksjonelt identiske med uadministrerte personlige kontoer. Så i stedet for bare å prioritere SSO for nye SaaS-apper, umiddelbart omklassifisere alle ikke-fødererte kontoer i kritiske systemer som uadministrert skygge-ITDin umiddelbare handling bør være å kjøre en revisjon spesifikt fokusert på ERP- og CRM-systemene dine for å identifisere alle ikke-fødererte tilgangspunkter. Behandle utbedring av disse hullene med samme hastverk som en offentlig eksponert server, ettersom de representerer en usynlig og ukontrollert vei for datatilgang og -utvinning.
  3. Implementer databevisste retningslinjer i stedet for å blokkere tilgang til personlige kontoer

    En betydelig andel av opplastinger og liminger til GenAI-verktøy (67 % personlige kontoer) og direktemeldingsverktøy (87 % personlige kontoer) skjer via kontoer som ikke er bedriftskontoer. Det er ofte upraktisk å bare blokkere tilgang til disse tjenestene og fører til skygge-IT. Gå derfor fra en binær «blokker/tillat»-holdning til en kontekstbevisst, datasentrisk policyTillat ansatte å få tilgang til personlige forekomster av ChatGPT, Google Drive eller WhatsApp Web, men distribuer kontroller på nettlesernivå som spesifikt forhindre at sensitive bedriftsdata (identifisert av klassifikatorer) limes inn i eller lastes opp i demDenne tilnærmingen anerkjenner realiteten til moderne arbeidsflyter, samtidig som den skaper en viktig sikkerhetsgrense rundt selve dataene, ikke applikasjonen.
  4. Flytt DLP-budsjetter fra nettverks-/filanalyse til innlimingskontroll på nettlesernivå:Funnene viser det Kopier/lim inn har overgått filopplastinger som den primære datautfiltreringskanalen, med 77 % av ansatte som limer inn data i GenAI-verktøy og 62 % som limer inn data i IM-apper som inneholder PII/PCI. Tradisjonelle nettverksbaserte DLP-løsninger er blinde for denne filløse dataflyten. Som et resultat av dette bør organisasjoner endre sin databeskyttelsesstrategi og budsjettallokering bort fra filsentrisk overvåking. Prioriter utrullingen av nettleserbaserte sikkerhetsløsninger eller sikre bedriftsnettlesere som kan inspisere, klassifisere og blokkere sensitive data i kopierings-/limehendelser før du den sendes inn til et nettskjema, en AI-ledetekst eller et chatvindu. Nøkkelen er å kontrollere dataene på handlingsstedet – nettleseren – ikke bare dataene som sendes.

Hvorfor LayerX-data er annerledes

Mens andre rapporter om bruk av kunstig intelligens er basert på spørreundersøkelser eller selvrapporterte data, er vår basert på direkte nettlesertelemetri fra bedriftsbrukerne selv. Det betyr ingen gjetting – bare innsikt i aktivitet i den virkelige verden på tvers av godkjente, ikke-godkjente og skyggeapper.

Dette unike utsiktspunktet avslører hva spørreundersøkelser ikke kan: at kopier/lim inn, ikke opplastinger, er den primære eksfiltreringskanalen; at personlige kontoer dominerer selv forretningskritiske arbeidsflyter; og at AI ikke bare er en risiko i horisonten – det er risikoen som oppstår akkurat nå.

Bunnlinjen

IT-sjefer har brukt årevis på å bygge styring rundt e-post, fillagring og godkjent SaaS. Samtidig har AI blitt den raskest voksende bedriftskategorien, med nesten halvparten av de ansatte som bruker den daglig. Og nesten ingenting av det er sikkert.

Det er paradokset dataene våre avdekker: jo mer uunnværlig AI blir, desto mindre tilsyn har den.

Utklippstavlen er nå den nye grensen for lekkasjer av data i bedrifter. ChatGPT har blitt den faktiske AI-standarden for bedrifter. Og uadministrerte kontoer omskriver i stillhet identitetsreglene.

Utfordringen for sikkerhetsledere er ikke hvorvidt de skal styre AI. Det er hvor raskt de kan få den under kontroll – før den usynlige strømmen av datalekkasje blir til en flom.

Last ned hele rapporten for å avdekke hele omfanget av AI- og SaaS-datarisikoer.