Dziennik Gazeta Prawana logo

Shadow AI – nowe, ciche zagrożenie dla firm. Czym jest i jak chronić bezpieczeństwo informacji?

oprac. Tomasz Lipczyński
dzisiaj, 13:18
Ten tekst przeczytasz w 4 minuty
Shadow AI – nowe, ciche zagrożenie dla firm. Czym jest i jak chronić bezpieczeństwo informacji?
Shadow AI – nowe, ciche zagrożenie dla firm. Czym jest i jak chronić bezpieczeństwo informacji?/shutterstock
Coraz częściej to nie zewnętrzni hakerzy, lecz sami pracownicy mogą nieświadomie narażać firmowe dane na wyciek – wszystko za sprawą tzw. shadow AI, czyli przesyłania do narzędzi sztucznej inteligencji dokumentów zawierających wrażliwe informacje. Eksperci ostrzegają, że takie praktyki stają się jednym z najpoważniejszych zagrożeń dla bezpieczeństwa danych w firmach, ponieważ cyberprzestępcy są w stanie zdobyć później te dane.

Brak polityki korzystania z narzędzi AI w pracy

Według ekspertki w dużej części przedsiębiorstw ciągle nie ma żadnej polityki, która dotyczyłaby korzystania z narzędzi AI w pracy. A wynika to z braku świadomości, że taka odpowiedzialność ciąży na pracodawcy - podkreśliła rozmówczyni PAP.

- Obecnie największym zagrożeniem dla danych firmowych jest tzw. shadow AI. Chodzi o to, że pracownicy wrzucają do swoich ulubionych narzędzi AI, głównie do czatbotów, dokumenty z wrażliwymi danymi o firmie lub klientach - oceniła Wziątek-Ładosz. Zaznaczyła, że później cyberprzestępcy, korzystając z odpowiednych promptów, czyli zapytań, mogą zdobyć te informacje.

Dodała, że to zarząd i prezes powinni określić, które dokumenty mogą trafiać i do jakich narzędzi AI oraz czy w ogóle jest to dozwolone w danej firmie. Obowiązki te wynikają z unijnego aktu o sztucznej inteligencji.

Brak zarządzania dostępami do plików

Jak wskazała Wziątek-Ładosz, kolejna przyczyna wycieków danych z organizacji to brak zarządzania dostępami do plików. - Firmy często nie pilnują, kto i do czego ma dostęp. To może spowodować, że np. były pracownik z łatwością przekaże strategiczne informacje konkurencji - podkreśliła.

Polityka haseł w firmie

Często problematyczną kwestią jest również polityka haseł w firmie, które nie są odpowiednio długie i złożone, a powinny mieć od 12 do 16 znaków. Dodatkowo w wielu firmach nie stosuje się uwierzytelniania dwuetapowego, co powinno być standardem. - Jeśli hakerowi uda się złamać hasło, drugi składnik może uniemożliwić mu dostęp do zasobów w firmie - zauważyła rozmówczyni PAP. Dodała, że nie musi to być aplikacja z kodami na prywatnym telefonie pracownika, jak często się uważa. Nowoczesne rozwiązania pozwalają np. na wykorzystanie do dwuetapowego uwierzytelnia specjalnego klucza o wyglądzie pendrive’a czy karty dostępowej pracownika - wskazała.

Korespondencja mailowa

Według ekspertki częstym źródłem wycieków danych z firm jest także wysyłanie przeróżnych załączników w mailach. - Czasami pracodawca uniemożliwia wysyłanie pocztą służbową danych uznanych za poufne, ale pracownicy potrafią to obchodzić np. wysyłając sobie krytyczny plik korzystając ze swojej prywatnej skrzynki mailowej, która może stać się celem cyberprzestępcy - podkreśliła.

Jak ograniczyć ryzyko?

Pytana, jak ograniczać ryzyko wycieku danych z firmy, Wziątek-Ładosz wskazała, że w pierwszej kolejności należy ustalić, jakie dane są krytyczne; które są ważne, a które mniej i nawet jeżeli zostaną upublicznione nie zaszkodzi to organizacji. Do danych krytycznych należą m.in. informacje o klientach, dane finansowe, płacowe, dokumenty do przetargów, własność intelektualna i wszelkiego rodzaju strategie - sprecyzowała.

Następnie - dodała - firma powinna ustalić, gdzie w infrastrukturze znajdują się dokumenty, kto ma do nich dostęp, a kto powinien go mieć. - Kolejna istotna kwestia to kopia zapasowa danych (backup), która powinna być tworzona regularnie. Trzeba ustalić, gdzie znajduje się backup – nie powinien być trzymany w tym samym miejscu, co oryginały. Co najmniej jedna kopia powinna być przechowywana offline, czyli zostać całkowicie odseparowana od internetu i sieci firmowej. Warto też regularnie robić test odtworzeniowy, który pokaże, czy można prawidłowo przywrócić dane po ataku i czy firma będzie mogła dalej funkcjonować - tłumaczyła ekspertka.

Aktualne oprogramowanie urządzeń brzegowych

Podkreśliła, że firmy powinny również zadbać, by oprogramowanie urządzeń brzegowych, czyli tych które łączą sieć firmową z internetem, było aktualne. - Należy regularnie sprawdzać, czy w urządzeniach brzegowych nie ma groźnych luk bezpieczeństwa czyli podatności, przez które haker może dostać się do infrastruktury firmy - dodała.

Zdaniem Wziątek-Ładosz ważne jest także ustalenie procedury dla pracowników, którzy mogą otrzymać polecenie o zmianie numeru konta bankowego do płatności. Taka informacja może bowiem wyjść od cyberprzestępcy, który podszywa się pod szefa czy klienta. - Dobrym rozwiązaniem jest też ustalenie limitu kwoty, od której księgowa zawsze powinna dodatkowo zatwierdzać przelew wychodzący u prezesa czy dyrektora finansowego - radzi ekspertka.

Szkolenia z zagrożeń cybernetycznych

Według niej firmy powinny również wprowadzić regularne szkolenia edukacyjne z zagrożeń cybernetycznych (z tzw. awareness) dla personelu i kadry zarządzającej. - Szkolenia powinny być krótkie, oparte o aktualne praktyki cyberbezpieczeństwa i prawdziwe przykłady oraz prowadzone na żywo przez drugiego człowieka. Badania pokazują, że szkolenia online nie są skuteczne, ponieważ pracownicy często nie skupiają się na ich treści, a jedynie je „przeklikują” w celu zaliczenia. A takie podejście nie ochroni danych firmowych - zaznaczyła ekspertka.

- Najlepszym zabezpieczeniem w firmie nie jest technologia, tylko świadomy pracownik. Ale świadomość nie przychodzi z przeklikania slajdów, tylko z rozmowy z drugim człowiekiem - podkreśliła Wziątek-Ładosz.

Monika Blandyna Lewkowicz

Copyright
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Źródło PAP
Tematy: Sztuczna inteligencjacyberbezpieczeństwobiznesshadow AI
Powiązane
Kurtka skórzana, która ładuje Twój smartwatch? Naukowcy udowodnili, że to możliwe
Kurtka skórzana, która ładuje smartwatch? Naukowcy udowodnili, że to możliwe
Deepfake wymyka się spod kontroli? Każdy może manipulować w sieci. Ekspert ostrzega
Deepfake wymyka się spod kontroli? Każdy może manipulować w sieci. Ekspert ostrzega
Koniec klikania w aplikacje? Tak mają działać telefony nowej generacji
Koniec klikania w aplikacje? Tak mają działać telefony nowej generacji
oprac. Tomasz Lipczyński
Zobacz wszystkie artykuły tego autoraShadow AI – nowe, ciche zagrożenie dla firm. Czym jest i jak chronić bezpieczeństwo informacji? »
Zobacz
|
Ujęcie zza pleców policjanta w odblaskowej kamizelce z napisem POLICJA, który stoi przy zatrzymanym samochodzie. Obok widoczne jest czerwone powiększenie fragmentu prawa jazdy z zaznaczoną datą i rocznikiem dokumentu
Masz bezterminowe prawo jazdy? Od tej daty będzie nieważne. Rząd podał też wyższe ceny
Daktyle pomagają regulować ciśnienie i obniżają poziom złego cholesterolu. Polacy wciąż ich nie doceniają
Regulują ciśnienie i obniżają poziom złego cholesterolu. Polacy wciąż ich nie doceniają
policja
42-letni kierowca spowodował wypadek. Media donoszą, że to Baron
Zapisz się na newsletter
Najważniejsze wydarzenia polityczne i społeczne, istotne wiadomości kulturalne, najlepsza rozrywka, pomocne porady i najświeższa prognoza pogody. To wszystko i wiele więcej znajdziesz w newsletterze Dziennik.pl. Trzymamy rękę na pulsie Polski i świata. Zapisz się do naszego newslettera i bądź na bieżąco!

Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich

Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj