AI-användningen växer explosionsartat, men leder också till ökade sårbarheter. IT-konsulten Wipro ger råd om hur verksamheter ska agera för att minska riskerna och maximera nyttan.
Skugg-it är ett sedan många år etablerat begrepp i IT-världen, och kan enklast sammanfattas med att anställda använder verksamhetens tid på ett sätt som är svårt att överblicka och riskerar att skapa sårbarheter – till exempel genom att använda icke godkända appar på sin arbetsdator eller telefon, eller att använda företagets system på sina privata enheter.
I spåren av den snabba utvecklingen av AI-verktyg börjar nu även skugg-AI bli ett växande orosmoment. AI-tjänster innebär många möjligheter till att öka produktivitet och kvalitet, inom de flesta branscher. Men som med alla tekniker som utvecklas i snabb takt finns det fallgropar.
Dels finns det stora och svåröverskådliga risker med vilka AI-tjänster anställda använder och var de data AI-modellerna använder lagras. Nyligen genomförda studier visar att mellan mars 2023 och mars 2024 ökade mängden företagsdata som matades in i olika AI-verktyg ökade med 485 procent, och andelen data som var konfidentiell eller på annat sätt känslig beräknades till 27 procent, jämfört med 10 procent ett år tidigare.
– Det är lätt att se att detta är en stor utmaning för organisationer som inte har starka och tydliga riktlinjer och regelverk för AI-användning på plats, säger Saugat Sindhu, Global Head of Advisory Services på den globala IT-tjänstekonsulten Wipro.
Samtidigt har hotaktörer aktivt börjat rikta sina cyberattacker mot olika AI-modeller vilket både ger dem möjlighet att komma över data och användaruppgifter, och försämra prestationen.
Saugat Sindhu konstaterar att ett stort ansvar för att AI-tillämpningar görs säkert läggs på IT-säkerhetsansvariga och att de därför måste få befogenheter som motsvarar ansvaret:
– CISO-rollen har utvecklats under de senaste åren till en punkt där den idag är en viktig del av affärsledningen, och behöver agera som möjliggörare snarare än övervakare och utförare. Det innebär att de behöver vara en del av beslutsprocessen, och kommunicera öppet och transparent med styrelsen om cybersäkerhet och risker.
