Shadow AI – martwy punkt firmowej cyberochrony

Materiał sponsorowany

Rozwój technologii sztucznej inteligencji postępuje niezwykle dynamicznie, co możemy zaobserwować po nowościach, jakie pojawiają się w naszym otoczeniu. Wystarczy wspomnieć o chatbotach, które dla wielu stały się cennym narzędziem ułatwiającym codzienne czynności: od pisania i redagowania tekstów, przez tworzenie grafik i wideo, po analizę zbiorów danych. Pytanie tylko, gdzie i w jakim celu z nich korzystamy. 

Twoi pracownicy korzystają z narzędzi AI. To ryzyko

Okazuje się, że z perspektywy firm, Shadow AI, czyli nieautoryzowane użycie sztucznej inteligencji (AI), to realne wyzwanie. Mówimy o zjawisku, które już teraz jest postrzegane jako największa luka w zabezpieczeniach korporacyjnych, co potwierdzają liczby.

Według danych Microsoft, 78 proc. użytkowników rozwiązań AI wdraża je na własną rękę w pracy. Zjawisko to określa się terminem BYOAI - Bring Your Own AI. Z kolei IBM wskazuje, że aż 20% organizacji odnotowało w zeszłym roku naruszenie bezpieczeństwa związane właśnie z Shadow AI.

Ciekawy punkt widzenia rysuje się również po lekturze drugiej edycji unikalnego na tle polskiego rynku raportu „Cyberportret polskiego biznesu 2025”. Publikacja opracowana przez ESET i DAGMA Bezpieczeństwo IT zderza ze sobą punkt widzenia pracowników i osób odpowiedzialnych za firmowe cyberbezpieczeństwo.

Zgodnie z opublikowanymi w dokumencie danymi, niemal co piąta osoba (19% pracowników) przyznała, że w pracy zawodowej udostępniała już narzędziom AI, takim jak ChatGPT czy Gemini, dane wrażliwe. Mowa o m.in. informacjach finansowych, danych klientów czy treści objęte tajemnicą biznesową. 

Shadow AI jest obciążeniem dla organizacji

Rosnąca popularność i możliwości tych narzędzi sprawiają, że pracownicy na własną rękę szukają sposobów podniesienia wydajności. Stąd też instalują aplikacje AI na smartfonach, tabletach czy laptopach. 

„Przez lata pracownicy korzystali z niesankcjonowanych narzędzi – znanych jako shadow IT – aby omijać biurokrację i powolne procesy wewnętrzne, które opóźniają wdrażanie technologii. Chociaż pracownicy szukają nowych rozwiązań zwiększających produktywność, podejście to często wprowadza do środowiska organizacji ukryte ryzyka, z którymi przeciążone zespoły IT i bezpieczeństwa nie są w stanie sobie poradzić. Pojawianie się nowych, potężnych i przyjaznych dla użytkownika narzędzi AI dodatkowo napędziło ten trend” – podkreśla Ondrej Kubovič, ESET Security Awareness Specialist.

Jak tłumaczy Ondrej Kubovič, Shadow AI rodzi trudności we właściwej identyfikacji i zarządzaniu ryzykiem i  może finalnie stać się dla organizacji obciążeniem, prowadząc do ewentualnych incydentów.

Nowe funkcje AI w firmie

Warto jednak mieć na uwadze, że świadome wdrożenie i użycie narzędzi AI przez pracowników do wykonywania obowiązków służbowych, to nie jedyna odsłona problemu. 

Analitycy ESET zwracają uwagę na rozszerzenia oprogramowania, które jest wykorzystywane przez firmę. Wystarczy tu wspomnieć o przeglądarkach internetowych zyskujących funkcje AI po aktualizacji lub nowe opcje w legalnym oprogramowaniu biznesowym, jakie użytkownicy włączają bez wiedzy działu IT. 

 „Realny wpływ shadow IT i shadow AI na procesy, produktywność, prywatność danych, bezpieczeństwo oraz jakość produktów będzie można zweryfikować wraz z upływem czasu. Jednym z obszarów budzących szczególne obawy jest oprogramowanie, w którym kod generowany przez AI oraz praktyki takie jak „vibe coding” mogą wprowadzać podatności zakorzenione w złych nawykach programistycznych obecnych w danych treningowych AI” – dodaje Ondrej Kubovič, ESET Security Awareness Specialist.

Wycieki danych, poważne błędy i inne problemy. Z czym wiąże się Shadow AI?

Opisując ryzyko związane z Shadow AI, warto opierać się na konkretach. Zagrożeń możemy wymienić co najmniej kilka. 

Pierwszy na myśli przychodzi brak zapewnienia bezpieczeństwa i zgodności. Wiąże się to z wyciekami danych i ujawnieniem poufnych informacji (np. dokumentów, danych osobowych, notatek służbowych), co wiąże się z poważnymi konsekwencjami dla przedsiębiorstwa: prawnymi, finansowymi i reputacyjnymi. 

Każda tego treść służy do uczenia się modeli, a więc potencjalnie może być w przyszłości udostępniona innym użytkownikom. To szczególnie istotne, gdy mówimy o darmowych, ogólnodostępnych narzędziach AI. 

Innymi przykładami mogą być ryzyka dotyczące zewnętrznych serwerów i zgodności regulacyjnej, a także zagrożenia związane ze złośliwym oprogramowaniem: chatboty mogą zawierać luki w oprogramowaniu lub tylne furtki (tzw. backdoory).

Nietrudno wyobrazić sobie sytuację, gdzie pracownicy chcący korzystać z aplikacji AI na swoich urządzeniach, nieświadomie pobierają złośliwą wersję i infekują sprzęt. W sieci nie brakuje tego typu „pułapek”, wykorzystujących rosnącą popularność technologii sztucznej inteligencji. 

Ale to jednak nie wszystko. Skutki mogą rzutować na relacje biznesowe. Przykładowo, błędy w produktach dla klientów, wynikające z użycia AI, stwarzają ryzyko m.in. zerwania umowy oraz kar. 

Diagnoza, realna polityka, analiza – punkt wyjścia do budowy bezpieczeństwa

Tu trzeba jednoznacznie podkreślić, że brak oficjalnej polityki wewnętrznej sprzyja podatności. Według najnowszych danych PwC, aż 80 proc. pracowników nie posiada formalnej zgody na używanie AI w pracy, a to może prowadzić do sytuacji, w której sztuczna inteligencja jest wykorzystywane w sposób niekontrolowany, po cichu, bez zachowania zasad cyberhigieny i wiedzy przełożonego. 

Warto zatem, aby kadry zarządzające miały świadomość, że produkty bazujące na AI są używane przez pracowników. Samo dodanie takich narzędzi do wewnętrznej listy zakazanych rozwiązań nie załatwia sprawy. 

Należy zdiagnozować skalę oraz sposób wykorzystania AI, a także opracować i wdrożyć politykę dopuszczalnego wykorzystania, która będzie realna do realizacji. Powinno to iść w parze z testami oraz analizą technologii i samych dostawców, co pozwala na ocenę poziomu zagrożenia i zgodności.

Konieczne są inwestycje w edukację

Nie można zapominać o edukacji. Ta jednak nie nadąża za rozwojem technologii i prowadzi do upowszechniania się niebezpiecznych zachowań. 

Zgodnie z przytaczanym raportem „Cyberportret polskiego biznesu 2025”, aż 55% pracowników w Polsce nie uczestniczyło w ciągu ostatnich pięciu lat w żadnym szkoleniu z zakresu cyberbezpieczeństwa. Jednocześnie w grupie, która takie szkolenia odbyła, tylko mniej niż jedna trzecia (30%) omawiała zasady bezpiecznego korzystania z narzędzi AI. Najczęściej temat ten poruszano w szkoleniach dla ekspertów ds. cyberbezpieczeństwa z dużych firm (46%) oraz pracowników IT (39%).

W dobie dynamicznego rozwoju technologii, w tym narzędzi opartych na sztucznej inteligencji, budowanie świadomości użytkowników staje się jeszcze ważniejsze, zwłaszcza wobec zagrożeń, które trudno dostrzec bez odpowiedniego przygotowania.
Justyna Puchała, Dyrektor DAGMA Szkolenia IT, w raporcie „Cyberportret polskiego biznesu 2025"

Konieczne jest zatem inwestowanie w m.in. szkolenia, kursy oraz inne inicjatywy podnoszące poziom wiedzy i świadomości zarówno pracowników niższego szczebla, jak i kadry kierowniczej.