Apakah Shadow AI Lebih Buruk Daripada Shadow IT?

Kantor yang tenang bisa terlihat tidak berbahaya. Rak monitor yang dimandikan cahaya, headphone yang menutupi percakapan, dan dengungan pekerjaan berlanjut tanpa tanda bahwa ada sesuatu yang jahat tersembunyi di bawahnya. Namun semakin lama, semakin banyak teknologi tidak sah yang tidak disengaja — folder cloud pribadi di sini dan chatbot AI tidak sah di sana. Segera, organisasi akan perlu mengelola semua risiko baru yang tidak terduga ini. Tetapi shadow IT hanyalah beban pertama dari ancaman tersembunyi. Shadow AI telah meningkatkan taruhannya.

Apa itu Shadow AI dan Mengapa Semakin Berkembang

Sebagai perpanjangan dari shadow IT, shadow AI melibatkan karyawan yang menggunakan teknologi yang tidak disetujui. Shadow IT biasanya mengacu pada teknologi konsumen, seperti aplikasi berbagi file atau perangkat pribadi. Shadow AI biasanya melibatkan sistem yang bergerak cepat, haus data yang perilakunya bisa tidak menentu.

\ Menurut penelitian yang dilakukan oleh Gartner, 80% organisasi mengalami kesenjangan dalam tata kelola data. Kesenjangan ini memudahkan orang untuk melewatkan perilaku yang dihasilkan AI. Banyak tim gagal dalam penilaian kesiapan keamanan siber. Risiko yang terkait dengan AI meningkat karena karyawan mengadopsi alat baru lebih cepat daripada tim mereka dapat meninjau secara memadai. Karena 30% pelanggaran data berasal dari vendor atau pemasok, mengetahui alat apa yang digunakan tim adalah komponen penting dalam mengamankan aset digital perusahaan.

\ Shadow AI telah mendapatkan daya tarik karena karyawan memandang konten yang dihasilkan AI sebagai cara yang lebih cepat untuk membuat konten, merangkum informasi kompleks, dan memecahkan masalah teknis. Ini mengurangi gesekan dalam pekerjaan sehari-hari tetapi memperkenalkan risiko yang sebelumnya tidak terlihat dengan masalah shadow IT, termasuk paparan data, risiko kepatuhan, dan risiko tingkat model.

Shadow AI Versus Shadow IT

Shadow IT telah lama disalahkan atas kerentanan yang tidak diketahui. Persentase tinggi pelanggaran sebelumnya disebabkan oleh alat SaaS yang tidak ditandatangani atau penyimpanan pribadi. Alat AI mengubah persamaan sepenuhnya. Skala dan kecepatan di mana mereka bekerja, bersama dengan kegelapannya, menciptakan risiko yang lebih sulit dideteksi dan ditahan.

\ Dengan 78% organisasi menggunakan AI dalam produksi, beberapa pelanggaran sekarang disebabkan oleh paparan teknologi yang tidak dikelola. Model IT yang lebih besar masih penting, tetapi AI memperkenalkan dimensi baru untuk memperluas permukaan serangan.

Perbedaan Utama Antara Shadow AI dan Shadow IT

Shadow AI mirip dengan shadow IT karena keduanya berasal dari keinginan karyawan untuk lebih produktif, tetapi mereka berbeda dalam hal di mana risiko berada.

• Alat Shadow IT memiliki logika tetap, yang membuat perilaku dapat diprediksi. Meramalkan perilaku alat shadow AI lebih kompleks karena model dapat terus dimodifikasi dan dilatih ulang.
• Risiko Shadow IT termasuk data yang disimpan atau dipindahkan tanpa otorisasi. Risiko Shadow AI termasuk inversi model, peracunan data, dan pelatihan model.
• Shadow IT bersifat deterministik, sementara alat AI mungkin berhalusinasi, menggeneralisasi dengan buruk, dan menghasilkan output yang salah dengan terlalu percaya diri.

\ Shadow AI juga muncul dalam konteks peraturan yang akan datang, seperti Undang-Undang Kecerdasan Buatan UE, yang dapat meningkatkan pengawasan regulasi.

Risiko Keamanan yang Membuat Shadow AI Lebih Mendesak

Shadow AI dapat menyebabkan masalah dalam rekayasa, pemasaran, dan keuangan. Ketika keputusan dibuat berdasarkan output AI, data kepemilikan dapat bocor, dan proses bisnis internal dapat dimanipulasi tanpa ada yang menyadarinya.

\

• Manipulasi model: Penyerang dapat membuat data yang memiringkan hasil.
• Paparan injeksi prompt: Prompt yang dibuat dapat digunakan untuk mengekstrak informasi pribadi dari model.
• Kesenjangan silsilah data: Alat AI dapat menghasilkan dan menyimpan data dengan cara yang tidak dapat dilacak oleh tim keamanan.
• Pergeseran kepatuhan: Alat AI berubah, dan rencana tata kelola yang berkembang mungkin menjadi tidak relevan.

\ Kekhawatiran bertambah dengan munculnya AI generatif. Chatbot yang menjawab pertanyaan vendor atau ringkasan AI generatif mungkin tampak tidak berbahaya, tetapi berisiko mengungkapkan data penggunaan sensitif atau kekayaan intelektual berharga. Carnegie Mellon University menemukan bahwa model bahasa besar jauh lebih rentan terhadap prompt yang merugikan daripada sistem berbasis aturan. Masalah meningkat ketika karyawan dapat menggunakan alat tanpa pengawasan.

\ Pohon keputusan yang didukung AI dapat lebih bias daripada pohon keputusan konvensional. Shadow AI sering menerima informasi pelatihan yang tidak lengkap yang dimasukkan ke dalam alat pihak ketiga. Pengawasan terstruktur terhadap sistem AI akan memastikan integritas pembaruan. Ketika tim mengabaikan hal ini, data dan perilaku model menyimpang.

Bagaimana Tim Keamanan Dapat Mengurangi Paparan Shadow AI

Meskipun shadow AI menimbulkan banyak risiko, organisasi dapat mengurangi banyak dari mereka dengan menggabungkan visibilitas dengan kebijakan dan kontrol teknis, mencapai keseimbangan yang melindungi produktivitas karyawan tanpa membebani mereka dengan check-in yang memakan waktu atau situs yang diblokir. Tim keamanan mendapat manfaat dari memperlakukan shadow AI sebagai masalah tata kelola daripada masalah hukuman. Strategi mitigasi pasti perlu berkembang seiring dengan karyawan menggunakan alat AI untuk meningkatkan produktivitas.

1. Membangun Kerangka Tata Kelola AI yang Jelas

Rencana tata kelola harus menentukan alat AI mana yang akan disetujui, jenis data apa yang dapat digunakan karyawan, bagaimana meninjau output model sebelum membuat keputusan berisiko tinggi, dan apa yang harus dilakukan ketika perilaku model yang tidak dapat diprediksi terjadi. Elemen terakhir termasuk siapa yang meninjau perilaku, siapa yang menyelidiki penyebabnya, dan apa konsekuensinya.

\ Dengan pengawasan yang ada, organisasi dapat memperlakukan AI seperti aset perusahaan lainnya, tunduk pada tanggung jawab penelusuran, audit, keamanan, dan kepatuhan yang sama seperti sistem perusahaan lama lainnya.

2. Menyediakan Alat AI yang Disetujui

Tim dengan akses ke alat AI terpusat yang telah diverifikasi cenderung tidak beralih ke AI publik yang tidak disetujui untuk melewati pemblokir. Seiring pekerjaan menjadi lebih otomatis, staf akan mencurahkan lebih banyak upaya ke berbagai model. Pekerja sudah menghabiskan sekitar 4,6 jam per minggu menggunakan AI dalam pekerjaan, melebihi waktu penggunaan pribadi rata-rata 3,6 jam per minggu. AI dari pihak ketiga, tanpa pemantauan yang tepat, mungkin sudah lebih umum daripada alat perusahaan yang telah diverifikasi dan disetujui. Perusahaan harus mengambil langkah segera untuk menegakkan kebijakan mereka.

\ Dengan lingkungan yang dikelola, organisasi dapat memantau penggunaan melalui alat, mengatur izin dalam database, dan menegakkan tata kelola data di seluruh departemen. Ini meningkatkan produktivitas karyawan sekaligus melindungi integritas data dan kepatuhan bisnis.

3. Memantau Pergerakan Data dan Penggunaan Model

Alat visibilitas yang menandai perilaku abnormal — seperti peningkatan mendadak dalam penggunaan AI, mengunggah data ke titik akhir yang tidak biasa, atau mengakses model dalam jangka waktu singkat dengan data sensitif — dapat membantu tim keamanan mengidentifikasi penyalahgunaan dan kebocoran data. Laporan menunjukkan bahwa selama tahun lalu, sebanyak 60% karyawan menggunakan alat AI yang tidak disetujui, dan 93% mengaku memasukkan data perusahaan tanpa otorisasi.

\ Mendeteksi pola ini sejak dini dapat memungkinkan remediasi, pendidikan ulang, rekonfigurasi izin, atau penghentian proses sebelum menyebabkan kebocoran data atau pelanggaran kepatuhan.

4. Melatih Karyawan tentang Risiko Khusus AI

Pelatihan keamanan siber secara umum tidak cukup. AI dapat berhalusinasi dengan salah menafsirkan maksud di balik prompt dan menghasilkan konten yang tampaknya otoritatif, palsu, atau bias. Selain itu, pekerja harus memahami bahwa penggunaan AI berbeda dari penggunaan perangkat lunak atau layanan. Penggunaan yang aman memerlukan perubahan model mental, pemahaman risiko prompt, dan penanganan data pribadi.

\ Pengguna dengan literasi mesin dasar akan memeriksa fakta output dan cenderung tidak terlalu banyak berbagi data pribadi. Mereka akan memperlakukan alat sebagai co-pilot yang berharga, tetapi harus digunakan di bawah pengawasan manusia.

Melindungi Organisasi Terhadap Shadow AI

Shadow AI tumbuh lebih cepat dan lebih sulit diidentifikasi daripada shadow IT. Meskipun skala dan kompleksitas risiko berbeda, melibatkan bantuan karyawan dapat mengidentifikasi keduanya dengan lebih efektif. Kebijakan tata kelola dapat membantu perusahaan mencapai keseimbangan yang tepat. Tim keamanan harus menilai kembali paparan mereka, tetap waspada terhadap ancaman yang muncul, dan bertindak segera sebelum alat berbasis AI yang tidak terlihat membuat keputusan penting dalam aplikasi bisnis.