خطرات Shadow IT مبتنی بر AI به خطرات امنیتی، انطباقی و عملیاتیای اشاره دارد که زمانی پدید میآیند که کارکنان از ابزارهای AI خارج از اطلاع یا تأیید تیمهای IT و امنیت سازمان خود استفاده میکنند، اغلب با نیت خوب اما بدون نردههای محافظی که دادههای شرکت را ایمن نگه میدارد. اگر تصور میکنید که این اتفاق همین حالا در سازمان شما در حال رخ دادن نیست، دادهها خلاف آن را نشان میدهد.
مطالعات بهطور پیوسته نشان میدهند که بخش قابل توجهی از کارکنان در صنایع مختلف از ابزارهای AI استفاده میکنند که کارفرمایانشان مجاز ندانستهاند، نه به این دلیل که تلاش دارند مشکل ایجاد کنند، بلکه چون این ابزارها سریع، رایگان و واقعاً مفیدند. شکاف بین آنچه کسبوکار تأیید کرده و آنچه کارکنان واقعاً استفاده میکنند، همان جایی است که خطرات Shadow IT مبتنی بر AI در آن زندگی میکنند، و این شکاف در اغلب سازمانها بسیار گستردهتر از آن چیزی است که رهبری متوجه میشود. این راهنما توضیح میدهد که این پدیده چیست، چرا رخ میدهد، چه خطرهای مشخصی ایجاد میکند و چگونه میتوان شکاف را بدون کشتن سودهای بهرهوریای که در ابتدا افراد را به جستجوی این ابزارها سوق داد، بست.
Shadow IT چیست و چرا AI آن را بدتر کرده است؟
Shadow IT مشکل تازهای نیست. از زمانی که کارکنان شروع به استفاده از حسابهای شخصی Dropbox برای به اشتراکگذاری فایلهای کاری کردند چون سرور فایل شرکت بسیار کند بود، یا فضای کاری Slack مخصوص خود را راهاندازی کردند چون ابزار ارتباطی تأییدشده دستوپاگیر به نظر میرسید، این پدیده وجود داشته است. الگو همیشه یکی است: کارمندی نیازی دارد، ابزاری مییابد که آن نیاز را بهتر از آنچه IT فراهم کرده برآورده میکند، و بدون طی کردن فرآیند تأیید شروع به استفاده از آن میکند.
AI این الگو را به دو دلیل بهشکل چشمگیری شتاب بخشیده است. اول، ابزارها به طرز فوقالعادهای توانمندند و سودهای بهرهوری فوری و قابلمشاهدهاند. کارمندی که کشف میکند یک ابزار نگارش AI زمان پیشنویس گزارشهایش را نصف میکند، در حین انتظار برای یک بازبینی امنیتی ششماهه از سوی IT استفاده از آن را متوقف نخواهد کرد. دوم، اکثر این ابزارها رایگان یا کمهزینهاند و از طریق مرورگر بدون نیاز به نصب چیزی قابل دسترسی هستند، یعنی هیچ ردپایی در سیستمهایی که IT معمولاً برای رصد نرمافزارهای غیرمجاز پایش میکند به جا نمیگذارند.
نتیجه آن است که خطرات Shadow IT مبتنی بر AI در زمان بسیار کوتاهی از یک مزاحمت قابلمدیریت به یک ریسک واقعی سازمانی تبدیل شده است. تحقیقات چندین شرکت امنیت سازمانی در سال 2024 نشان داد که اکثر کارکنان دانشمحور حداقل از یک ابزار AI استفاده کردهاند که کارفرمایشان آن را رسماً تأیید نکرده است. در بسیاری از سازمانها، این رقم شامل افرادی در نقشهایی است که به دادههای حساس، اطلاعات مشتری و راهبردهای محرمانه کسبوکار دسترسی دارند.
مشکل خود ابزارها نیست. اکثر ابزارهای AI که کارکنان به آنها جذب میشوند، محصولات قانونی و خوشطراحی از شرکتهای معتبر هستند. مشکل، بافتاری است که در آن از این ابزارها استفاده میشود: با دادههای شرکت، بدون نظارت، و خارج از چارچوبهای امنیتی و انطباقیای که سازمان ساخته است.
خطرات مشخصی که Shadow AI را متفاوت میکند
همه شکلهای Shadow IT پروفایل خطر یکسانی ندارند. کارمندی که از یک اپلیکیشن مدیریت پروژه تأییدنشده استفاده میکند، سطح متفاوتی از مواجهه ایجاد میکند نسبت به کارمندی که قراردادهای مشتری را در یک ابزار خلاصهسازی AI میچسباند. خطرات Shadow IT مبتنی بر AI به چند دلیل که ارزش درک روشن آنها را دارند، در انتهای بالایی این طیف قرار دارند.
جریان داده غیرقابلکنترل. وقتی یک کارمند از یک ابزار AI سازمانی تأییدشده استفاده میکند، سازمان معمولاً قرارداد پردازش داده در محل دارد، میداند چه دادهای میتواند به اشتراک گذاشته شود، و دید مشخصی به نحوه مدیریت آن داده دارد. وقتی همان کارمند برای همان کار از یک حساب AI شخصی یا یک ابزار مصرفکننده رایگان استفاده میکند، هیچیک از این زیرساختها وجود ندارد. دادههای شرکت از محیط کنترلشده خارج میشوند و تحت شرایطی که سازمان هرگز با آن موافقت نکرده، به یک سیستم شخص ثالث وارد میشوند.
افشای داده آموزش. ابزارهای AI مصرفکننده معمولاً بهطور پیشفرض از دادههای مکالمه برای بهبود مدلهای خود استفاده میکنند. کارمندی که نمیداند باید این تنظیم را غیرفعال کند، ممکن است اطلاعات تجاری اختصاصی، دادههای مشتری یا برنامههای راهبردی را به مجموعه داده آموزش یک مدل AI عمومی منتقل کند. آن اطلاعات با پایان جلسه از بین نمیرود.
شکافهای انطباقی و قانونی. سازمانهای فعال در صنایع تنظیمشده تحت الزامات سختگیرانهای درباره چگونگی و چه کسی پردازش داده فعالیت میکنند. یک شرکت خدمات مالی مشمول الزامات اقامت داده، یک سازمان درمانی فعال تحت HIPAA یا یک دفتر حقوقی مقید به قواعد امتیاز وکیل-موکل، ممکن است هر بار که کارمندی از یک ابزار AI تأییدنشده با دادههای مرتبط استفاده میکند، فارغ از اینکه آسیبی رخ دهد یا نه، در نقض فنی تعهدات خود قرار گیرند.
فقدان رد ممیزی. وقتی چیزی در یک ابزار تأییدشده اشتباه پیش میرود، معمولاً ثبتگزارش، توانایی پاسخ به رویداد و زنجیرهای روشن از مسئولیتپذیری وجود دارد. در ابزارهای Shadow AI اغلب هیچچیز وجود ندارد. سازمان نمیتواند تعیین کند چه دادهای، با چه ابزاری، توسط چه کسی و چه زمانی به اشتراک گذاشته شده است.
کیفیت ناهمسان خروجی که به تصمیمگیریها خوراک میدهد. ابزارهای مختلف AI قابلیتها، نرخ خطا و تمایلات توهم متفاوتی دارند. وقتی کارکنان از ترکیبی پراکنده از ابزارهای تأییدنشده بدون استاندارد مشترک استفاده میکنند، کیفیت کار با کمک AI به شیوههایی تغییر میکند که برای مدیران و ذینفعانی که فقط خروجی نهایی را میبینند، نامرئی است.
| نوع خطر | در عمل به چه معناست | چه کسی بیشتر آن را حس میکند |
|---|---|---|
| جریان داده غیرقابلکنترل | دادههای شرکت در سیستمهای ثالث ارزیابینشده | تمام سازمانها |
| افشای داده آموزش | اطلاعات اختصاصی در مجموعههای آموزش AI عمومی | کسبوکارهای حساس به مالکیت فکری |
| شکافهای انطباقی | نقضهای مقرراتی ناشی از اشتراکگذاری داده تأییدنشده | سلامت، مالی، حقوقی |
| فقدان رد ممیزی | عدم دید درباره چه چیزی به اشتراک گذاشته شد یا کی | تیمهای امنیت و انطباق |
| کیفیت ناهمسان خروجی | کیفیت متغیر کار AI میان تیمها | عملیات و رهبری |
نکاتی درباره اینکه چرا متوقف کردن Shadow AI اینقدر دشوار است
پیش از آنکه بتوانید خطرات Shadow IT مبتنی بر AI را بهطور مؤثر مدیریت کنید، باید بفهمید چرا پاسخ استاندارد IT یعنی مسدودسازی و ممنوعکردن، در این بافتار خاص تمایل دارد نتیجه عکس بدهد.
کارکنان در اینجا دشمن نیستند. انگیزههای پشت پذیرش Shadow AI تقریباً همیشه مشروعاند. کار سریعتر، خروجی بهتر، فشار رقابتی و سرخوردگی از فرآیندهای تأیید کند، نشانههایی از قصد بد نیستند. برخورد با Shadow AI بهعنوان یک مسئله انضباطی به جای یک مسئله طراحی سازمانی، تقریباً همیشه اوضاع را بدتر میکند و استفاده را به جای حذف کردن، بیشتر به سمت زیرزمینی شدن سوق میدهد.
ابزارها سریعتر از فرآیندهای تأیید تغییر میکنند. ارزیابی متعارف یک نرمافزار سازمانی چند ماه طول میکشد. ابزارهای جدید AI هر هفته راهاندازی میشوند و قابلیت به دست میآورند. هر چارچوب حاکمیتی که قبل از اینکه کارمندی بتواند با یک ابزار AI آزمایش کند، نیازمند بازبینی کامل امنیتی باشد، همیشه عقب خواهد ماند و کارکنان این را خواهند دانست.
نسخههای مصرفکننده و سازمانی یک ابزار یکسان نیستند. بسیاری از کارکنانی که از نسخه مصرفکننده رایگان یک ابزار AI استفاده میکنند، نمیدانند که کارفرمایشان میتواند در نسخه سازمانی با شرایط مدیریت داده کاملاً متفاوت ثبتنام کند. معماری امنیتی سکوهای AI سازمانی اغلب بسیار محافظتکنندهتر از محصول مصرفکننده است، اما این تفاوت برای کارمندی که فقط همان رابط را میبیند، نامرئی است.
مسدودسازی کمتر از گذشته مؤثر است. ابزارهای AI مرورگرمحور بدون نیاز به نصب، در سطح شبکه بسیار سختتر از نرمافزارهای سنتی قابل مسدود کردناند. و چون کارکنان بیش از پیش از دستگاههای شخصی برای کارهای شغلی استفاده میکنند، کنترلهای در سطح شبکه حتی به بخش قابل توجهی از استفاده واقعی نیز اعمال نمیشوند.
بهترین پاسخ، ترکیبی از سیاست، جایگزینهای تأییدشده و پایش است. سازمانهایی که در مورد خطرات Shadow IT مبتنی بر AI پیشرفت واقعی داشتهاند، با کاهش جذابیت ابزارهای shadow این کار را انجام دادهاند، نه صرفاً با محدود کردن دسترسی به آنها. ارائه ابزارهای تأییدشدهای که واقعاً برای برآورده ساختن نیازهای کارکنان بهاندازه کافی خوب هستند، ساختن سیاستهای روشن که توضیح میدهند چه چیزی مجاز است و چرا، و اجرای پایشی که بدون مجازات بهرهوری مشروع، دید ایجاد میکند، همگی بخشی از رویکردی هستند که در واقع کار میکند.
آیا Shadow IT خوب است یا بد؟ پاسخ صادقانه
قاببندی Shadow IT صرفاً بهعنوان چیزی بد از منظر امنیتی قابل درک است، اما چیز مهمی را درباره اینکه چرا در هر سازمانی که تلاش میکند آن را ریشهکن کند مدام تکرار میشود، نادیده میگیرد.
Shadow IT، از جمله Shadow AI، اغلب یک سیگنال است. به شما میگوید که ابزارها و فرآیندهای تأییدشده به اندازه کافی نیازهای کارکنان را برآورده نمیکنند تا با آنچه کارکنان بهتنهایی میتوانند پیدا کنند، رقابت کنند. برخورد با آن صرفاً بهعنوان تهدیدی که باید مدیریت شود، یعنی پرداختن به علامت در حالی که علت زیربنایی دستنخورده باقی میماند.
در عین حال، خطرات توصیفشده در بالا واقعیاند و در برخی موارد عواقب جدی به همراه دارند. پاسخ، جشن گرفتن Shadow AI یا نادیده گرفتن آن نیست، بلکه درک آن بهعنوان اطلاعاتی درباره اینکه ابزارها و فرآیندهای رسمی شما در کجا کوتاهی میکنند، و استفاده از آن اطلاعات برای بستن شکاف است.
سازمانهایی که این موضوع را بهتر مدیریت میکنند، تمایل دارند چند ویژگی مشترک داشته باشند. آنها فرآیند ارزیابی سریعترکی برای ابزارهای AIای که کارکنان واقعاً استفاده میکنند ایجاد کردهاند، تا ابزارهای امیدوارکننده ظرف هفتهها به جای ماهها بررسی شوند و یا تأیید گردند یا با یک جایگزین بررسیشده عوض شوند. آنها بهروشنی درباره آنچه مجاز است و دلیل وجود محدودیتهای موجود ارتباط برقرار میکنند، که گرایش به دور زدن قواعدی را که خودسرانه به نظر میرسند کاهش میدهد. و در ویژگیهای امنیتی و پایش سرمایهگذاری میکنند که به آنها دید نسبت به الگوهای استفاده از AI بدون ایجاد فرهنگ نظارتی که اعتماد را آسیب بزند، میدهد.
مزایا و معایب Shadow IT: دیدن تصویر کامل
درک هر دو طرف بحث Shadow IT برای ساختن پاسخی متناسب با خطر واقعی به جای محدودکننده غریزی، ضروری است.
جایی که Shadow IT و Shadow AI ارزش واقعی ایجاد میکنند:
کارکنان در خط مقدم یک گردشکار، اغلب ابزارهای واقعاً مفیدی را پیش از آنکه تیمهای IT حتی از وجودشان مطلع شوند، کشف میکنند. از نظر تاریخی، Shadow IT منشأ بسیاری از ابزارهایی بوده که سرانجام به استانداردهای سازمانی رسمی تبدیل شدهاند. پذیرش مردمی فضای ذخیره ابری، اپلیکیشنهای پیامرسانی و اکنون ابزارهای AI دقیقاً همین الگو را دنبال کرده است. انرژی پشت پذیرش Shadow AI سیگنالی است که کارکنان ارزش واقعی میبینند و میخواهند بهرهورتر باشند. هدایت آن انرژی به سمت مسیرهای تأییدشده پایدارتر از تلاش برای حذف آن است.
جایی که خطرات بهوضوح بر منافع چربهاند:
وقتی دادههای حساس درگیر باشند، تعهدات قانونی و قراردادیای که سازمانها تحت آن فعالیت میکنند، استثنایی برای راحتی کارمند ندارند. پیامدهای یک نقض انطباق که در حین یک ممیزی کشف شود یا یک افشای داده مشتری که به یک ابزار AI تأییدنشده ردیابی شود، با سودهای بهرهوریای که استفاده در سایه را برانگیخت، متناسب نیست. وقتی دادههای تنظیمشده در تصویرند، محاسبه ریسک-منفعت بهسادگی به نفع Shadow AI مدیریتنشده کار نمیکند.
| جنبه | مزایا | معایب |
|---|---|---|
| بهرهوری | سودهای واقعی از ابزارهای بهتر | ناهمسانی کیفیت میان تیمها |
| نوآوری | کارکنان ابزارهای جدید مفید را شناسایی میکنند | بدون استانداردسازی یا حاکمیت |
| تجربه کارمند | اصطکاک از کار روزمره حذف میشود | مواجهه انطباقی ایجاد میکند |
| IT و امنیت | خلأهای ابزارهای تأییدشده را آشکار میکند | سطح حمله پایشنشده ایجاد میکند |
| انطباق | هیچچیز برای بافتارهای دادههای تنظیمشده | نقضهای مقرراتی احتمالی |
چرا، چگونه و کدام: ساختن پاسخی که واقعاً کار میکند
چرا درست انجام دادن این کار اکنون بیش از یک سال پیش اهمیت دارد؟ زیرا شکاف توانایی بین ابزارهای سازمانی تأییدشده و ابزارهای AI مصرفکننده پیشرفته در حال افزایش بوده است، یعنی انگیزه پذیرش shadow هرگز قویتر از این نبوده است. در عین حال، AI agentهایی که میتوانند از طرف کاربران اقدام انجام دهند و نه صرفاً متن تولید کنند، پیامدهای بالقوه استفاده مدیریتنشده در سایه را بیش از هر زمان دیگری جدی میکنند. کارمندی که از یک ابزار نگارش AI تأییدنشده استفاده میکند، یک سطح خطر است. کارمندی که از یک AI agent تأییدنشده با دسترسی به سیستمهای شرکت استفاده میکند، سطحی بنیادی متفاوت است.
چگونه چارچوب حاکمیتیای میسازید که شکاف را بدون ایجاد مقاومت ببندد؟ قبل از سیاست، با دید آغاز کنید. ابزارهای پایش را مستقر کنید که تصویری از اینکه چه ابزارهای AI واقعاً در سراسر سازمان شما استفاده میشوند به شما بدهند، پیش از آنکه قواعدی درباره آنچه مجاز است وضع کنید. شما نمیتوانید سیاستی علیه خطرهایی که وجودشان را نمیدانید بنویسید، و نمیتوانید گفتوگوی معتبر با کارکنان درباره جایگزینهای تأییدشده داشته باشید اگر ندانید آنها در حال حاضر به جای آن از چه چیزی استفاده میکنند.
سپس فرآیند تأیید لایهای بسازید. هر ابزار AI به یک سطح بررسی نیاز ندارد. ابزاری که برای طوفان فکری داخلی بدون ورودی داده حساس استفاده میشود، خطری متفاوت از ابزاری که برای پردازش اسناد مشتری استفاده میشود، به همراه دارد. یک دستهبندی مسیر سریع برای ابزارهای کمخطر، سرخوردگیای را که پذیرش shadow را پیش میبرد کاهش میدهد و در عین حال بررسی مناسب را برای موارد استفاده پرخطر حفظ میکند.
کدام کنترلهای مشخص بزرگترین تفاوت عملی را ایجاد میکنند؟ سیاستهای روشن استفاده قابلقبول که کارکنان واقعاً آنها را میفهمند، جایگزینهای تأییدشدهای که با آنچه خود میتوانستند بیابند رقابتی هستند، آموزشی که خطرها را با اصطلاحات عینی به جای زبان امنیتی انتزاعی توضیح میدهد، و پایشی که الگوها را برجسته میکند بدون اینکه افراد را به خاطر آزمایش مجازات کند. این راهنمای عملی برای استقرار AI به شما نشان میدهد چگونه این اجزا را بهترتیب پیادهسازی کنید بدون اینکه تیمتان را خفه کنید یا سربار سیاستی ایجاد کنید که سازمان را کند میسازد.
بازبینی ویژگیهای سکوهای AI سازمانی با کاهش خطر Shadow IT بهعنوان معیار ارزیابی، بهویژه با نگاه به کنترلهای مدیر، دید استفاده و تعهدات مدیریت داده، به شما کمک میکند ابزارهایی را شناسایی کنید که شکاف بین آنچه کارکنان میخواهند و آنچه IT میتواند بهسلامت تأیید کند، میبندند.
اندیشههای پایانی درباره خطرات Shadow IT مبتنی بر AI
پس از مرور آنچه پذیرش Shadow AI را پیش میبرد، خطرهای مشخصی که ایجاد میکند، مزایا و معایب صادقانه و چارچوب پاسخ عملی، روشنترین نتیجه آن است که خطرات Shadow IT مبتنی بر AI اساساً یک مسئله حاکمیتی با بعد بهرهوریاند، نه یک مسئله امنیتی با یک راهحل فنی ساده.
سازمانهایی که این موضوع را خوب مدیریت میکنند، آنهایی هستند که با رفتار کارکنان بهعنوان اطلاعات و نه نافرمانی برخورد میکنند، مسیرهای تأییدشدهای میسازند که واقعاً با جایگزینهای shadow رقابتیاند، و پیش از سرمایهگذاری در محدودیتها، در دید سرمایهگذاری میکنند. آنهایی که با مشکل مواجهاند، با ممنوعیتهای فراگیر پاسخ میدهند، تماشا میکنند آن ممنوعیتها دور زده شوند، و هرگز شکاف زیربناییای را که در ابتدا پذیرش shadow را جذاب کرد، برطرف نمیکنند.
ابزارهای AI به جعبه بازنمیگردند. ارزش بهرهوری واقعی است و کارکنان این را میدانند. پرسشی که هر سازمانی باید به آن پاسخ دهد این نیست که آیا افرادش از AI استفاده خواهند کرد، بلکه این است که آیا از آن به شیوههایی استفاده خواهند کرد که سازمان بتواند ببیند، مدیریت کند و وقتی پاسخگویی مهم میشود، پشت آن بایستد.
پرسشهای متداول
خطرات Shadow AI چیست؟
خطرات اصلی Shadow AI شامل جریان داده غیرقابلکنترل به سیستمهای شخص ثالث ارزیابینشده، افشای بالقوه اطلاعات اختصاصی از طریق جمعآوری دادههای آموزش AI، نقضهای انطباق مقرراتی، فقدان ردهای ممیزی، و کیفیت ناهمسان خروجی میان تیمهاست.
شدت هر خطر به حساسیت دادههای در حال پردازش و محیط مقرراتیای که سازمان در آن فعالیت میکند، بستگی دارد.
خطرات استفاده از Shadow IT چیست؟
Shadow IT بهطور کلی خطراتی پیرامون امنیت داده، نقضهای انطباق، فقدان دید و کنترل IT، ناسازگاری با سیستمهای موجود، و نبود پشتیبانی یا پاسخگویی هنگام بروز خطا ایجاد میکند.
ابزارهای AI این خطرها را تشدید میکنند زیرا محتوایی را که کارکنان با آنها به اشتراک میگذارند بهطور فعال پردازش و بالقوه حفظ میکنند، نه فقط ذخیره یا انتقال.
کدام خطرها برای Shadow AI نسبت به سایر Shadow IT اختصاصیاند؟
خطرهای ویژه Shadow AI شامل احتمال گنجانده شدن دادههای شرکت در مجموعههای آموزش AI عمومی، دشواری ممیزی اینکه چه اطلاعاتی از طریق ورودیهای زبان طبیعی به اشتراک گذاشته شده، و خطر استفاده از خروجیهای تولیدشده توسط AI در تصمیمگیریها بدون هیچ ثبتی از چگونگی تولید آنهاست.
این خطرها به اکثر ابزارهای سنتی Shadow IT مانند اپلیکیشنهای تأییدنشده اشتراک فایل یا ارتباط که داده را ذخیره و منتقل میکنند اما آن را از طریق مدلی که ممکن است آن را حفظ کند و از آن یاد بگیرد پردازش نمیکنند، تعمیم نمییابد.
آیا Shadow IT خوب است یا بد؟
Shadow IT نه بهطور جهانی خوب است و نه بد. این یک سیگنال است که ابزارهای تأییدشده بهاندازه کافی نیازهای کارکنان را برآورده نمیکنند، که بهعنوان اطلاعات سازمانی ارزش واقعی دارد، اما در عین حال مواجهه واقعی امنیتی و انطباقیای ایجاد میکند که نمیتوان بهسادگی نادیده گرفت.
سازندهترین پاسخ آن است که از الگوهای Shadow IT بهعنوان ورودی برای بهبود ابزارها و فرآیندهای رسمی استفاده شود، نه اینکه صرفاً بهعنوان تهدیدی که باید سرکوب شود تلقی گردد.
مزایا و معایب Shadow IT چیست؟
مزایا شامل دسترسی سریعتر کارکنان به ابزارهای واقعاً مفید، نوآوری مردمی که گاه ابزارهایی را مطرح میکند که به استانداردهای رسمی تبدیل میشوند، و کاهش اصطکاک در کار روزانه است. معایب شامل مواجهه امنیتی پایشنشده، خطر انطباق هنگامی که دادههای حساس درگیر هستند، فقدان دید سازمانی و ناهمسانی در نحوه انجام کار میان تیمهاست.
وقتی دادههای تنظیمشده، اطلاعات مشتری یا محتوای اختصاصی کسبوکار بخشی از گردشکاری باشد که در آن از ابزارهای shadow استفاده میشود، تعادل بهوضوح به سمت خطر متمایل میگردد.