Toen generatieve AI -tools eind 2022 op grote schaal beschikbaar werden, waren het niet alleen technologen die aandacht schonken. Werknemers in alle industrieën erkenden onmiddellijk het potentieel van generatieve AI om de productiviteit te stimuleren, communicatie te stroomlijnen en het werk te versnellen. Zoals zoveel golven van consumenten-first IT IT-innovatie voordat het-het delen van vals, cloudopslag en samenwerkingsplatforms-in de onderneming niet via officiële kanalen is geland, maar door de handen van werknemers die graag slimmer willen werken.
Geconfronteerd met het risico dat gevoelige gegevens worden ingevoerd in openbare AI -interfaces, reageerden veel organisaties met urgentie en kracht: ze blokkeerden de toegang. Hoewel begrijpelijk als een eerste verdedigende maatregel, is het blokkeren van openbare AI-apps geen strategie op lange termijn-het is een stopgap. En in de meeste gevallen is het niet eens effectief.
Shadow AI: het ongeziene risico
Het ZScaler Threatlabz -team heeft gevolgd AI en Machine Learning (ML) verkeer over ondernemingen, en de cijfers vertellen een boeiend verhaal. Alleen al in 2024 analyseerde Threatlabz 36 keer meer AI- en ML -verkeer dan in het voorgaande jaar en identificeerde hij meer dan 800 verschillende AI -toepassingen in gebruik.
Blokkering heeft niet weerhouden dat werknemers AI gebruiken. Ze e -mailen bestanden naar persoonlijke accounts, gebruiken hun telefoons of thuisapparaten en maken screenshots vast om in te voeren in AI -systemen. Deze oplossingen verplaatsen gevoelige interacties in de schaduw, uit het zicht van enterprise monitoring en bescherming. Het resultaat? Een groeiende blinde vlek staat bekend als Shadow AI.
Het blokkeren van niet -goedgekeurde AI -apps kan het gebruik op nul laten dalen bij het melden van dashboards, maar in werkelijkheid is uw organisatie niet beschermd; Het is gewoon blind voor wat er echt gebeurt.
Lessen van SaaS -adoptie
We zijn hier eerder geweest. Toen vroege software als servicetool naar voren kwam, klauterde het teams om het niet-gesanctioneerde gebruik van cloudgebaseerde bestandsopslagtoepassingen te regelen. Het antwoord was echter niet om het delen van bestanden te verbieden; Het was eerder om een veilig, naadloos alternatief met één teken te bieden dat overeenkwam met de verwachtingen van werknemers voor gemak, bruikbaarheid en snelheid.
Deze keer rond de inzet is echter nog hoger. Met SaaS betekent gegevenslekkage vaak een misplaatst bestand. Met AI zou dit kunnen betekenen dat het onbedoeld een openbaar model op uw intellectuele eigendom traint zonder die gegevens te verwijderen of op te halen zodra deze weg is. Er is geen knop “ongedaan maken” in het geheugen van een groot taalmodel.
Zichtbaarheid eerst, dan beleid
Voordat een organisatie op intelligente wijze AI -gebruik kan regeren, moet het begrijpen wat er daadwerkelijk gebeurt. Het blokkeren van verkeer zonder zichtbaarheid is als het bouwen van een hek zonder te weten waar de vastgoedlijnen zijn.
We hebben eerder dergelijke problemen opgelost. De positie van ZScaler in de verkeersstroom geeft ons een ongeëvenaard uitkijkpunt. We zien welke apps toegankelijk zijn, door wie en hoe vaak. Deze realtime zichtbaarheid is essentieel voor het beoordelen van het risico, het vormgeven van beleid en het mogelijk maken van slimmer, veiligere AI-acceptatie.
Vervolgens hebben we ontwikkeld hoe we omgaan met beleid. Veel providers geven gewoon de zwart-wit opties van “toestaan” of “blok”. De betere aanpak is contextbewuste, beleidsgestuurde governance die aansluit op nul-trust-principes die geen impliciete vertrouwen en vraag aannemen, contextuele evaluatie. Niet elk gebruik van AI presenteert hetzelfde risiconiveau en beleid zou dat moeten weerspiegelen.
We kunnen bijvoorbeeld toegang geven tot een AI-applicatie met voorzichtigheid voor de gebruiker of de transactie alleen toestaan in de browser-isolatiemodus, wat betekent dat gebruikers niet in staat zijn om potentieel gevoelige gegevens in de app te plakken. Een andere aanpak die goed werkt, is gebruikers omleiden naar een door bedrijven goedgekeurde alternatieve app die on-premise wordt beheerd. Hierdoor kunnen werknemers productiviteitsvoordelen plukken zonder de blootstelling aan gegevens te riskeren. Als uw gebruikers een veilige, snelle en gesanctioneerde manier hebben om AI te gebruiken, hoeven ze niet om u heen te gaan.
Ten slotte betekent de hulpmiddelen voor gegevensbescherming van ZSCALER dat we werknemers in staat kunnen stellen bepaalde openbare AI -apps te gebruiken, maar voorkomen dat ze onbedoeld gevoelige informatie verzenden. Ons onderzoek toont meer dan 4 miljoen overtredingen voor gegevensverliespreventie (DLP) in de ZScaler -cloud, die gevallen vertegenwoordigen waarin gevoelige bedrijfsgegevens – zoals financiële gegevens, persoonlijk identificeerbare informatie, broncode en medische gegevens – bedoeld waren om naar een AI -aanvraag te worden verzonden en die transactie werd geblokkeerd door ZSCALER -beleid. Echt gegevensverlies zou hebben plaatsgevonden in deze AI -apps zonder de DLP -handhaving van ZScaler.
Balancing enablement met bescherming
Dit gaat niet over het stoppen van AI -adoptie – het gaat over het verantwoorde manier vormgeven. Beveiliging en productiviteit hoeven niet op gespannen voet te staan. Met de juiste tools en mindset kunnen organisaties zowel bereiken: gebruikers empowerment en het beschermen van gegevens.
Meer informatie op zscaler.com/security
