امنیت داده‌های شرکتی در معرض خطر از حساب‌های Shadow AI

استفاده روزافزون از هوش مصنوعی در محیط کار باعث افزایش سریع مصرف داده شده و توانایی شرکت برای حفاظت از داده های حساس را به چالش می کشد.

گزارشی که در ماه مه از شرکت امنیت داده Cyberhaven با عنوان «مقصران اتاقک» منتشر شد، روند پذیرش هوش مصنوعی و ارتباط آنها با افزایش ریسک را روشن می کند. تجزیه و تحلیل Cyberhaven از مجموعه داده ای از الگوهای استفاده از سه میلیون کارگر برای ارزیابی پذیرش هوش مصنوعی و پیامدهای آن در محیط شرکت استفاده کرد.

رشد سریع هوش مصنوعی از تغییرات دگرگون کننده قبلی مانند اینترنت و رایانش ابری تقلید می کند. به گفته هاوارد تینگ، مدیرعامل Cyberhaven، درست همانطور که پذیرندگان اولیه ابر چالش‌های جدید را دنبال می‌کردند، شرکت‌های امروزی نیز باید با پیچیدگی‌های ایجاد شده توسط پذیرش گسترده هوش مصنوعی مقابله کنند.

او به TechNewsWorld گفت: «تحقیق ما در مورد استفاده و خطرات هوش مصنوعی نه تنها تأثیر این فناوری‌ها را برجسته می‌کند، بلکه بر خطرات نوظهوری که می‌تواند به موازات آن‌هایی که در جریان تحولات مهم فناوری در گذشته با آن مواجه شده‌اند، تأکید کند».

یافته‌ها هشدار می‌دهند که احتمال سوءاستفاده از هوش مصنوعی وجود دارد

گزارش Cubicle Culprits شتاب سریع پذیرش هوش مصنوعی در محیط کار و استفاده توسط کاربران نهایی را نشان می دهد که از فناوری اطلاعات شرکت ها پیشی می گیرد. این روند، به نوبه خود، حساب های مخاطره آمیز “هوش مصنوعی سایه”، از جمله انواع بیشتری از داده های حساس شرکت را تحریک می کند.

محصولات سه غول فناوری هوش مصنوعی – OpenAI، گوگل و مایکروسافت – بر استفاده از هوش مصنوعی غالب هستند. محصولات آنها 96 درصد از استفاده از هوش مصنوعی در محل کار را تشکیل می دهند.

طبق این تحقیق، کارگران در سراسر جهان داده‌های حساس شرکتی را به ابزارهای هوش مصنوعی وارد کردند که از مارس 2023 تا مارس 2024 به میزان نگران کننده 485 درصد افزایش یافت. ما هنوز در مراحل اولیه پذیرش هستیم. تنها 4.7 درصد از کارکنان شرکت های مالی، 2.8 درصد در رشته های داروسازی و علوم زیستی و 0.6 درصد در شرکت های تولیدی از ابزارهای هوش مصنوعی استفاده می کنند.

73.8 درصد قابل توجهی از استفاده از ChatGPT در محل کار از طریق حساب های غیر شرکتی انجام می شود. برخلاف نسخه‌های سازمانی، این حساب‌ها داده‌های مشترک را در مدل‌های عمومی ترکیب می‌کنند که خطر قابل‌توجهی برای امنیت داده‌های حساس به همراه دارد.»

بخش قابل توجهی از داده های حساس شرکتی به حساب های غیر شرکتی ارسال می شود. این شامل تقریباً نیمی از کد منبع (50.8٪)، مواد تحقیق و توسعه (55.3٪) و سوابق منابع انسانی و کارکنان (49.0٪) است.

داده های به اشتراک گذاشته شده از طریق این حساب های غیر شرکتی در مدل های عمومی گنجانده می شوند. درصد استفاده از حساب غیر شرکتی برای Gemini (94.4٪) و Bard (95.9٪) حتی بیشتر است.

خونریزی غیرقابل کنترل داده های هوش مصنوعی

این روند نشان دهنده یک آسیب پذیری بحرانی است. تینگ گفت که حساب‌های غیرشرکتی فاقد اقدامات امنیتی قوی برای محافظت از این داده‌ها هستند.

نرخ پذیرش هوش مصنوعی به سرعت در حال رسیدن به بخش های جدید است و از مواردی که شامل داده های حساس است استفاده می کنند. حدود 27 درصد از داده‌هایی که کارمندان در ابزارهای هوش مصنوعی قرار می‌دهند حساس هستند، در مقایسه با 10.7 درصد در سال گذشته.

به عنوان مثال، 82.8 درصد از اسناد حقوقی که کارمندان در ابزارهای هوش مصنوعی قرار داده‌اند، به حساب‌های غیرشرکتی می‌روند و به طور بالقوه اطلاعات را در معرض دید عموم قرار می‌دهند.

تینگ هشدار داد که گنجاندن مطالب ثبت شده در محتوای تولید شده توسط ابزارهای هوش مصنوعی خطرات فزاینده ای دارد. درج کد منبع تولید شده توسط هوش مصنوعی خارج از ابزارهای کدگذاری می تواند خطر آسیب پذیری را ایجاد کند.

برخی از شرکت‌ها از توقف جریان داده‌های غیرمجاز و حساس صادر شده به ابزارهای هوش مصنوعی خارج از دسترس فناوری اطلاعات بی‌اطلاع هستند. آنها به ابزارهای امنیتی داده های موجود تکیه می کنند که فقط محتوای داده ها را اسکن می کنند تا نوع آن را شناسایی کنند.

«آنچه گم شده است، زمینه این است که داده ها از کجا آمده اند، چه کسی با آن تعامل داشته است، و کجا ذخیره شده است. مثالی را در نظر بگیرید که یک کارمند کد را در یک حساب هوش مصنوعی شخصی قرار می دهد تا به رفع اشکال آن کمک کند. آیا این کد منبع از یک مخزن است؟ آیا این اطلاعات مشتری از یک برنامه SaaS است؟

کنترل جریان داده ممکن است

به گفته تینگ، آموزش کارگران در مورد مشکل نشت داده، اگر به درستی انجام شود، بخشی قابل اجرا از راه حل است. اکثر شرکت ها آموزش های دوره ای آگاهی از امنیت را راه اندازی کرده اند.

با این حال، ویدئوهایی که کارگران باید دو بار در سال ببینند به زودی فراموش می شوند. آموزشی که بهترین نتیجه را دارد اصلاح رفتار بد بلافاصله در لحظه است.»

Cyberhaven دریافت که وقتی کارگران یک پیام بازشو دریافت می کنند که آنها را در طول فعالیت های مخاطره آمیز راهنمایی می کند، مانند چسباندن کد منبع در یک حساب شخصی ChatGPT، رفتار بد مداوم تا 90٪ کاهش می یابد.

فناوری شرکت او، تشخیص داده و پاسخ (DDR) می‌داند که چگونه داده‌ها حرکت می‌کنند و از آن زمینه برای محافظت از داده‌های حساس استفاده می‌کنند. این فناوری همچنین تفاوت بین حساب شرکتی و شخصی برای ChatGPT را درک می کند.

این قابلیت شرکت‌ها را قادر می‌سازد تا سیاستی را اعمال کنند که کارمندان را از چسباندن داده‌های حساس به حساب‌های شخصی مسدود می‌کند و در عین حال اجازه می‌دهد این داده‌ها به حساب‌های سازمانی جریان پیدا کنند.

پیچ و تاب شگفت انگیز در چه کسی مقصر است

Cyberhaven شیوع خطرات داخلی را بر اساس ترتیبات محل کار، از جمله از راه دور، در محل و ترکیبی تجزیه و تحلیل کرد. محققان دریافتند که موقعیت مکانی یک کارگر بر روی انتشار داده ها هنگام وقوع یک حادثه امنیتی تأثیر می گذارد.

“تحقیق ما پیچش شگفت انگیزی را در روایت کشف کرد. کارمندان در دفتر که به طور سنتی امن‌ترین شرط در نظر گرفته می‌شدند، اکنون در استخراج داده‌های شرکتی پیشرو هستند.»

به طور متضاد، کارکنان مستقر در دفتر 77 درصد بیشتر از همتایان از راه دور خود احتمال دارد داده های حساس را استخراج کنند. با این حال، به گفته Ting، زمانی که کارکنان اداری از خارج از سایت وارد می شوند، 510 درصد بیشتر از زمانی که در محل هستند، داده ها را استخراج می کنند، که این زمان را به خطرناک ترین زمان برای داده های شرکت تبدیل می کند.

منبع