Opinion

Do Shadow IT ao Shadow AI: o perigo do uso não autorizado de IA nas empresas

No cenário atual, dominado pela ascensão rápida de sistemas de Inteligência Artificial (IA) como o ChatGPT, as organizações enfrentam um novo desafio: a Shadow IA

Por João Sequeira, especialista e Director of Secure e-Solutions at GMV . 30/08/2024

Do Shadow IT ao Shadow AI: o perigo do uso não autorizado de IA nas empresas

Este termo refere-se à utilização não autorizada de ferramentas e tecnologias de IA dentro das empresas, frequentemente sem o conhecimento ou supervisão dos departamentos de TI. Esta prática é uma evolução do conceito de Shadow IT, onde os colaboradores utilizavam soluções tecnológicas sem aprovação formal para satisfazer as suas necessidades. No entanto, a Shadow AI introduz uma série de complexidades e riscos que exigem atenção imediata por parte dos líderes empresariais e dos profissionais de TI.

Dados recentes sublinham a urgência deste problema. De acordo com um relatório da Cyberhaven, houve um aumento de 485% na quantidade de dados corporativos inseridos em ferramentas de IA entre março de 2023 e março de 2024. A previsão da Gartner sugere que até 2027, 75% dos funcionários utilizarão IA para aumentar a eficiência sem qualquer supervisão do departamento de TI. Este crescimento exponencial das atividades de Shadow AI destaca a necessidade de as organizações abordarem essa questão de forma proativa para garantir segurança e conformidade.

A Shadow AI pode assumir várias formas dentro de uma organização. Os funcionários podem usar ferramentas populares de IA, como o ChatGPT, para ajudar em tarefas como redigir e-mails, gerar relatórios ou no desenvolvimento de aplicações. Embora essas ferramentas possam aumentar a produtividade, o seu uso sem supervisão, visibilidade e controlo adequados pode levar a riscos significativos, representando uma séria ameaça à segurança e à conformidade das organizações.

Os riscos da Shadow AI

Um dos principais riscos associados à Shadow AI é o potencial de violação de dados sensíveis. Por exemplo, os dados introduzidos numa ferramenta como a versão gratuita ou pessoal do ChatGPT podem ser utilizados para treinar modelos futuros, o que pode levar à divulgação não intencional de informação sensível.

Vários incidentes de grande visibilidade evidenciam estes riscos. A Samsung, por exemplo, proibiu a utilização do ChatGPT e de outros chatbots alimentados por IA pelos seus funcionários, depois de ter descoberto uma fuga acidental de código fonte interno. Do mesmo modo, a Amazon avisou os seus funcionários para não partilharem qualquer código ou informações confidenciais com o ChatGPT, na sequência de relatos de respostas que se assemelhavam a dados internos da empresa.

Outro exemplo é o da  JPMorgan Chase que restringiu fortemente a utilização do ChatGPT devido a preocupações com potenciais riscos regulamentares relacionados com a partilha de informações financeiras sensíveis.

Além disso, a Shadow AI pode introduzir novas vulnerabilidades, como os ataques de prompt injection, onde textos ocultos em documentos processados por chatbots podem desencadear consequências indesejadas. Ferramentas como o GitHub Copilot, já usadas para gerar quase metade do código por alguns programadores, podem inadvertidamente produzir códigos com vulnerabilidades perigosas, aumentando ainda mais os riscos.

Identificar e gerir Shadow AI

A formação dos colaboradores desempenha um papel crucial na mitigação dos riscos da Shadow AI. Devemos educar as equipas sobre práticas seguras na utilização da IA generativa e fornecer orientações claras sobre quando e como estas podem ser usadas com segurança. Evitar a utilização inadvertida de soluções de IA não geridas garante que os funcionários estejam cientes dos riscos e das melhores práticas.

O estabelecimento de frameworks centralizadas de governo de IA é essencial para evitar a sua utilização não autorizada. Uma combinação de consciencialização e políticas de IA mais claras pode ajudar a criar proteções contra a Shadow AI. As organizações devem realizar auditorias para entender os dados que possuem, atualizar as permissões para garantir que apenas funcionários autorizados tenham acesso a informação potencialmente sensível bem como rotular e cifrar dados confidenciais para evitar que sejam enviados a modelos de IA sem autorização.

A implementação destas estratégias garante que os funcionários têm o conhecimento e as ferramentas de que necessitam para utilizar a IA de forma segura e sensata, mantendo ao mesmo tempo boas práticas de governação de dados.

As organizações devem também equilibrar a necessidade de inovação com a de manter o controlo sobre este tipo de ferramentas. Promovendo uma cultura de transparência, de comunicação contínua e uso responsável da IA incentiva os funcionários a inovar sem expor a empresa a riscos excessivos, relatando quaisquer preocupações num ambiente aberto.

O aumento da Shadow AI apresenta riscos e desafios significativos para as organizações. Violações de segurança de dados, problemas de conformidade e privacidade e novas vulnerabilidades estão entre as principais preocupações associadas ao uso não sancionado de ferramentas de IA. Para proteger a integridade organizacional e garantir a utilização segura e eficaz da inteligência artificial no atual panorama tecnológico em rápida evolução, as organizações devem adotar uma abordagem holística que inclua componentes técnicos, estratégicos e educacionais.

As medidas proativas, como a educação e a sensibilização dos funcionários, as estratégias de política e governação, a monitorização ativa e o equilíbrio entre inovação e controlo são essenciais para gerir os riscos da Shadow AI. 


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.