Tehnologija umetne inteligence se je iz eksperimentalne igrače v manj kot treh letih spremenila v osnovno orodje na delovnem mestu. To smo vsi vedeli. Nihče pa ni pričakoval, kako hitro bo presegla tradicionalne kategorije SaaS, ne le po sprejetju, ampak tudi po tveganju.

Naša nova Poročilo o varnosti podatkov o podjetniški umetni inteligenci in SaaS za leto 2025, ki temelji na telemetriji brskanja v resničnem svetu s strani poslovnih strank LayerX-a – kaže nekaj presenetljivega: umetna inteligenca ni več »nastajajoča« tehnologija. Zdaj je največja slepa pega za iztekanje podatkov v sodobnem podjetju.

In za razliko od e-pošte ali deljenja datotek, kjer so varnostne ekipe gradile leta upravljanja, se večina uporabe umetne inteligence dogaja v senci; zunaj enotne prijave (SSO), zunanje vidljivosti in zunanjega nadzora podjetja.

Uvajanje umetne inteligence z vrtoglavo hitrostjo

Začnimo z naslovom: 45 % zaposlenih v podjetjih že uporablja generativna orodja umetne inteligence. To je skoraj polovica delovne sile v manj kot treh letih, odkar so se ta orodja pojavila. Za primerjavo, kategorije SaaS, kot sta deljenje datotek ali videokonference, so potrebovale več kot desetletje, da so dosegle podobno penetracijo.

Še bolj presenetljivo: 92 % vse uporabe umetne inteligence v podjetjih je skoncentriranih v enem samem orodju – ChatGPT. Zaradi tega ni le najhitreje rastoča kategorija, ampak tudi najbolj skoncentrirana. Enotna platforma, usmerjena k potrošnikom, je postala dejanski standard umetne inteligence v podjetjih.

Samo po sebi sprejetje v takšnem obsegu ni presenetljivo. Šok pride, ko pogledate kako zaposleni ga uporabljajo.

Presenetljiva podatkovna pot: Kopiranje/lepljenje, ne nalaganje

Večina direktorjev za varnost informacijske tehnologije (CISO) skrbi nalaganje datotek. In to z dobrim razlogom: 40 % datotek, naloženih v orodja GenAI, vsebuje občutljive osebne podatke ali podatke PCI. To je skoraj polovica vseh naloženih vsebin.

Toda pravi šok se skriva drugje. Naši podatki kažejo, da večina občutljivih podatkov sploh ne zapusti podjetja prek nalaganja. Odidejo prek copy / paste.

  • 77 % zaposlenih prilepi podatke v pozive GenAI
  • 82 % teh past prihaja iz osebnih računov.
  • Zaposleni v povprečju opravijo 14 vlog na dan v račune, ki niso poslovni subjekti, in vsaj 3 od teh vlog vsebujejo občutljive podatke.

Zaradi tega se skromno odložišče, pogosto spregledan kanal brez datotek in nestrukturiran kanal, spremeni v vektor št. 1 za izkrcavanje občutljivih podatkov. Samo orodja GenAI predstavljajo 32 % vseh prenosov podatkov iz podjetja v osebne podatke.

Tradicionalna orodja za preprečevanje izgube podatkov (DLP), ki temeljijo na spremljanju, osredotočenem na datoteke, te dejavnosti sploh ne beležijo. Kar pomeni, da podjetja ne zaostajajo le pri upravljanju umetne inteligence – so slepa.

Osebni računi vodijo predstavo

Podjetja so vložila milijone v varnost identitet, federacijo in enotno prijavo (SSO). Vendar pa se po naših podatkih ti nadzor komaj dotikajo kategorije umetne inteligence.

  • 67 % uporabe umetne inteligence se zgodi prek neupravljanih osebnih računov
  • 71 % prijav v CRM in 83 % prijav v ERP ni združenih
  • Tudi »korporativni« računi so pogosto samo z geslom, zaradi česar jih je funkcionalno neločljivo od osebnih prijav.

Povzetek? Korporativno ≠ varno. Do sistemov, ki hranijo najobčutljivejše podatke o strankah in financah, kot so CRM, ERP in zdaj umetna inteligenca, se dostopa, kot da bi šlo za potrošniške aplikacije. Nadzor identitete obstaja, vendar ga zaposleni preprosto obidejo.

Upravljanje: Nikjer ga ni mogoče najti

Najbolj neintuitivna ugotovitev naše raziskave je naslednja: bolj ko je umetna inteligenca vgrajena v delovne procese podjetij, manj je upravljanja okoli nje.

Zaposleni v pozive vstavljajo občutljive podatke. Nalagajo datoteke v uporabniške račune. Prijavljajo se z neupravljanimi identitetami. In vse to se dogaja zunaj odobrenega nadzora.

V primerjavi z elektronsko pošto, kjer so desetletja zaščite pred izgubo podatkov (DLP), arhiviranja in združevanja zgradila vsaj nekakšne varovalne ograje, je umetna inteligenca v primerjavi z njo Divji zahod.

Pa vendar se umetna inteligenca ne "vstaja" več. Že zdaj upošteva 11 % vseh dejavnosti podjetij, ki konkurirajo kategorijam, ki so desetletja opredeljevale produktivnost podjetij. Podjetja v svoji najhitreje rastoči kategoriji zaostajajo.

Kaj naj bi CISO storili naprej

Na podlagi teh podatkov so tukaj tri najnujnejše prednostne naloge:

  1. Umetno inteligenco obravnavajte kot prvovrstno poslovno kategorijo.

    GenAI ni več eksperiment. Samo ChatGPT doseže 43-odstotno penetracijo v podjetjih, kar je v delčku časa enako kot uvedba Zooma. Ker 45 % zaposlenih aktivno uporablja orodja umetne inteligence in umetna inteligenca predstavlja 11 % vseh dejavnosti brskanja v podjetjih, je treba GenAI zdaj upravljati z enako strogostjo kot sisteme za e-pošto in skupno rabo datotek. Eksperimentalna faza je končana. Zasluži si enako upravljanje in nadzor kot e-pošta ali shranjevanje datotek, s spremljanjem tako nalaganja kot dejanj brez datotek, kot sta kopiranje/lepljenje.
  2. Obravnavaj nezvezne korporativne prijave kot Active Shadow IT

    Raziskava razkriva, da tudi ko zaposleni uporabljajo korporativne poverilnice za kritične aplikacije, kot sta ERP (83 % brez SSO) in CRM (71 % brez SSO), zaradi odsotnosti federacije SSO so te prijave funkcionalno enake neupravljanim osebnim računom. Torej namesto da bi dali prednost SSO za nove aplikacije SaaS, takoj prerazvrstite vse nefederirane račune v kritičnih sistemih kot neupravljane senčne IT sistemeVaš takojšnji ukrep bi moral biti izvedba revizije, osredotočene posebej na vaše sisteme ERP in CRM, da bi odkrili vse nefederirane dostopne točke. Odpravo teh vrzeli obravnavajte enako nujno kot odpravo javno izpostavljenega strežnika, saj predstavljajo nevidno in nenadzorovano pot za dostop do podatkov in njihovo uhajanje.
  3. Uvedite pravilnike, ki upoštevajo podatke, namesto da blokirate dostop do osebnih računov

    Precejšen delež nalaganj in lepljenja v orodja GenAI (67 % osebnih računov) in IM (87 % osebnih računov) se izvede prek računov, ki niso poslovni. Preprosto blokiranje dostopa do teh storitev je pogosto nepraktično in vodi do senčne IT. Zato je treba preiti z binarnega načina »blokiraj/dovoli« na politika, ki upošteva kontekst in je osredotočena na podatkeZaposlenim omogočite dostop do osebnih primerkov ChatGPT, Google Drive ali WhatsApp Web, vendar uvedite kontrole na ravni brskalnika, ki so posebej namenjene preprečijo lepljenje ali nalaganje občutljivih poslovnih podatkov (ki jih prepoznajo klasifikatorji) vanjeTa pristop priznava realnost sodobnih delovnih procesov, hkrati pa ustvarja ključno varnostno mejo okoli samih podatkov, ne pa aplikacije.
  4. Preusmeritev proračunov za preprečevanje izgube podatkov (DLP) iz analize omrežja/datotek na nadzor lepljenja na ravni brskalnika:To kažejo ugotovitve Kopiranje/lepljenje je preseglo nalaganje datotek kot primarni kanal za izkrcavanje podatkov, pri čemer 77 % zaposlenih podatke prilepi v orodja GenAI, 62 % pa v aplikacije za neposredno sporočilo, ki vsebujejo osebne podatke/PCI. Tradicionalne omrežne rešitve DLP so slepe za to premikanje podatkov brez datotek. Zato bi morale organizacije svojo strategijo varstva podatkov in dodeljevanje proračuna preusmeriti stran od spremljanja, osredotočenega na datoteke. Dajte prednost uvajanju varnostnih rešitev, ki so izvorno v brskalniku ali varne poslovne brskalnike, ki lahko pregledujejo, razvrščajo in blokirajo občutljive podatke v dogodkih kopiranja/lepljenja pred Pošlje se v spletni obrazec, poziv umetne inteligence ali okno za klepet. Ključno je nadzorovati podatke na mestu dejanja – brskalnik – ne le podatke med prenosom.

Zakaj so podatki LayerX drugačni

Medtem ko druga poročila o uvajanju umetne inteligence temeljijo na anketah ali samoporočanih podatkih, naše temelji na neposredna telemetrija brskalnika od samih uporabnikov v podjetju. To pomeni, da ni treba ugibati – le vpogled v dejavnosti v resničnem svetu v odobrenih, neodobrenih in senčnih aplikacijah.

Ta edinstvena izhodiščna točka razkriva, česar ankete ne morejo: da je kopiranje/lepljenje, ne pa nalaganje, glavni kanal za izkoriščanje podatkov; da osebni računi prevladujejo celo v poslovno kritičnih delovnih procesih; in da umetna inteligenca ni le tveganje na obzorju – je tveganje, ki se dogaja prav zdaj.

Bottom Line

Vodje informacijske varnosti (CISO) so leta gradili upravljanje e-pošte, shranjevanja datotek in odobrenega programa kot storitve (SaaS). Medtem je umetna inteligenca postala najhitreje rastoča kategorija podjetij, saj jo skoraj polovica zaposlenih uporablja dnevno. In skoraj nič od tega ni varno.

To je paradoks, ki ga razkrivajo naši podatki: bolj nepogrešljiva kot postaja umetna inteligenca, manj nadzora ima.

Odložišče je zdaj nova meja uhajanja podatkov v podjetjih. ChatGPT je postal dejanski standard umetne inteligence za podjetja. Neupravljani računi pa tiho prepisujejo pravila identitete.

Izziv za varnostne vodje ni, ali naj upravljajo z umetno inteligenco. Gre za to, kako hitro jo lahko obvladajo – preden se nevidni curek uhajanja podatkov spremeni v poplavo.

Prenesti celotno poročilo da bi odkrili celoten obseg tveganj za podatke, povezane z umetno inteligenco in SaaS.