shadow AIDLPdata leakagegovernance AIbezpieczeństwo danych

Shadow AI: dane firmowe wychodzą przez ChatGPT i dział IT o tym nie wie

Dyrektor finansowy wkleja projekt umowy fuzji wartej €200 milionów do bezpłatnej wersji ChatGPT, żeby poprawić styl przed wysłaniem. Analityk HR wgrywa bazę danych pracowników do Claude.ai, żeby wygenerować raporty efektywnościowe. Developer kopiuje fragment kodu produkcyjnego do Copilota na prywatnym koncie, żeby debugować w domu. Żadna z tych osób nie myśli “właśnie naruszyłem bezpieczeństwo danych”. Wszyscy robią coś, co im ułatwia pracę.

To jest shadow AI. I jest znacznie trudniejszy do kontrolowania niż shadow IT kiedykolwiek był.

Analogia do shadow IT — ale gorsza

W latach 2010-2015 security walczyło z shadow IT: pracownicy używali Dropboxa i Google Drive zamiast firmowego repozytorium, Slacka zamiast firmowego komunikatora, Trello zamiast firmowego PM. Problem był realny — dane trafiały poza kontrolowany obwód.

Ale shadow IT miało kilka właściwości, które ograniczały szkody:

  • Dane były przesyłane jako pliki — dało się monitorować upload
  • Narzędzia były identyfikowalne w ruchu sieciowym — można było blokować domeny
  • Dane pozostawały strukturalne — wiedziałeś co to za plik i gdzie trafił

Shadow AI działa inaczej. Dane nie wychodzą jako plik — wychodzą jako prompt. Użytkownik nie przesyła dokumentu do zewnętrznego serwera — wkleja jego zawartość w interfejsie webowym. DLP nie widzi transferu pliku. SIEM nie widzi alertu. Proxy może zablokować domenę OpenAI, ale pracownik otwiera telefon i używa tej samej aplikacji przez LTE.

Obwód bezpieczeństwa firmyDane HRumowy, płaceKod źródłowyIP firmyStrategiaplany, umowyDane klientówPII, kontraktyChatGPTprywatne kontoClaude.aibez EnterpriseAI Extensionsbrowser pluginsdane opuszczająfirmę przezprompty

Skala problemu: liczby

Badania branżowe konsekwentnie pokazują, że znaczna część pracowników używa narzędzi AI niezatwierdzonych przez dział IT. Microsoft Work Trend Index 2024 wykazał, że 75% pracowników wiedzy używa AI w pracy, z czego wielu korzysta z własnych narzędzi zamiast lub obok firmowych rozwiązań.

Dla specyficznego kontekstu danych: badanie Cyberhaven z 2023 wykazało, że 11% danych wklejanych do narzędzi AI przez pracowników korporacyjnych to dane wrażliwe — dokumenty finansowe, dane klientów, kod źródłowy, dane osobowe.

To nie jest problem niszowy ani futurystyczny. To obecna, aktywna eksfiltracja danych przez narzędzia, których firmy nigdy nie zatwierdziły do przetwarzania informacji chronionych.

Wektory shadow AI

Bezpośrednie użycie konsumenckiego AI — pracownicy logują się na prywatne konta ChatGPT, Claude, Gemini i wklejają treści firmowe. Darmowe i tańsze plany konsumenckie zazwyczaj nie mają takich gwarancji prywatności jak Enterprise (sam OpenAI przyznaje, że dane z ChatGPT Free mogą być używane do trenowania modeli — choć z opt-outem).

AI browser extensions — rozszerzenia do przeglądarek z AI (Compose AI, Merlin, Monica, dziesiątki innych) wbudowują się w każdy formularz webowy, czytają zawartość stron, przechwytują dane. Wiele z nich przesyła pełny kontekst strony do zewnętrznych serwerów. Typowy pracownik nie czyta regulaminu przed instalacją.

Coding assistants na prywatnych kontach — GitHub Copilot, Cursor, Codeium — jeśli developer używa ich na prywatnym koncie bez firmowej licencji enterprise, kod który pisze (włącznie z fragmentami kopiowanymi z produkcji) może trafiać do zewnętrznych serwerów i być używany do trenowania modeli.

AI integracje w SaaS — Notion AI, Slack AI, Microsoft Copilot — narzędzia do których firma ma dostęp, ale których AI features nie były przedmiotem oceny bezpieczeństwa.

Jak to wykryć (realistycznie)

Całkowite zablokowanie jest nierealistyczne i kontraproduktywne — pracownicy znajdą obejście, a firmę ominie korzyść produktywnościowa.

Realistyczne opcje wykrywania:

  • DNS/proxy monitoring z kategoryzacją AI — blokowanie lub alertowanie na dostęp do znanych domen AI z firmowych sieci (openai.com, claude.ai, etc.)
  • Browser extension inventory — regularna inwentaryzacja rozszerzeń przez MDM; flagowanie rozszerzeń AI w high-risk categories
  • DLP na poziomie endpoint — nie tylko transfer plików, ale monitoring schowka i zawartości formularzy webowych (nowoczesne rozwiązania jak Nightfall, Cyberhaven)
  • Employee training z przykładami — abstract “nie wklejaj danych firmowych do AI” nie działa; konkretne scenariusze co jest problem i co nie

Governance: jak to ogarnąć

Zamiast zakazów (które nie działają), podejście, które faktycznie redukuje ryzyko:

1. Przejrzysty wykaz zatwierdzonych narzędzi AI z opisem co można w nich robić i z jakimi danymi. Lista nie może mieć 200 pozycji w PDF — musi być dostępna i zrozumiała.

2. Tier system dla danych — jasna klasyfikacja: co jest “public safe” (można do AI), co “internal” (tylko do zatwierdzonych narzędzi enterprise), co “restricted” (nie do AI w ogóle). Pracownicy muszą wiedzieć do której klasy należy to co mają przed sobą.

3. Enterprise licencje z odpowiednimi DPA — jeśli firma chce żeby pracownicy używali AI, musi im dać zatwierdzone narzędzia z umowami przetwarzania danych (Data Processing Agreement) które spełniają wymogi RODO.

4. Anonymizacja przed AI — dla dużych use casów (analityka, raportowanie): procedura anonimizacji danych przed przekazaniem do AI.

Shadow AI jest objawem, nie przyczyną. Przyczyną jest luka między tym czego pracownicy potrzebują do efektywnej pracy, a tym co firma oficjalnie im zapewnia. Zamknięcie tej luki jest trudniejsze niż blokowanie domen, ale jedyna ścieżka która realnie działa.

← wszystkie posty