Ko čuva AI? Čak i sigurnosni timovi zaobilaze nadzor

Nova anketa koju je provela AI sigurnosna kompanija Mindgard, na osnovu odgovora više od 500 stručnjaka za sajber sigurnost na konferencijama RSAC 2025 i Infosecurity Europe 2025, otkriva zabrinjavajući trend: čak i sigurnosni timovi, zaduženi za zaštitu organizacija, koriste AI alate bez odobrenja.

“Shadow AI” – Nevidljivi rizik unutar sigurnosnih timova

Slično kao fenomen shadow IT-a, gdje zaposleni koriste neodobrene aplikacije mimo IT odjela, shadow AI se odnosi na neautorizovanu upotrebu AI alata. No, rizici su još veći, jer ti alati često obrađuju:

• osjetljive kodove,
• interna dokumenta,
• podatke korisnika,
  što povećava mogućnosti curenja podataka, kršenja privatnosti i neusklađenosti sa propisima.

Ključni nalazi istraživanja:

• 86% sigurnosnih stručnjaka koristi AI alate,
• 24% koristi lične naloge ili neodobrene ekstenzije pretraživača,
• 76% vjeruje da i njihove kolege to rade, najčešće za:
  • pisanje pravila za detekciju prijetnji,
  • kreiranje edukativnog sadržaja,
  • pregled koda.

Vrsta unesenih podataka dodatno povećava rizik:

• 30% ispitanika je unosilo interna dokumenta i e-mailove,
• Isto toliko priznaje da su unosili podatke korisnika ili poslovne tajne,
• 1 od 5 je rekao da je lično unosio osjetljive informacije,
• 12% nije bilo sigurno šta je sve uneseno.

Stručna perspektiva: Panika nije rješenje, već – upravljanje

“Svaki upload osjetljivih podataka na treće strane – bilo da je to kod, fajl ili AI asistent – nosi rizik. Ali panika nije rješenje. Rješenje su: jasne politike, edukacija i dosljedna SaaS kontrola,”
— Steve Wilson, vođa OWASP GenAI Security projekta

Wilson ističe da pravi sigurnosni izazov nije samo shadow AI, nego kriza identiteta:

• kompromitovani nalozi,
• unutrašnje prijetnje,
• AI-napadi koristeći deepfake i spearphishing metode.

Nedostatak nadzora:

• Samo 32% organizacija prati korištenje AI-a,
• 24% se oslanja na neformalne metode poput anketa ili nadređenih,
• 14% nema nikakav nadzor, što znači da ne znaju šta se dešava s AI rizicima.

Ko je odgovoran za AI rizik?

• 39% ispitanika kaže da niko zvanično nije zadužen,
• 38% navodi sigurnosni tim,
• Ostali pominju data science, menadžment ili pravni tim.

Ova nejasnoća ukazuje na hitnu potrebu za koordinaciju među timovima i definisan plan odgovornosti.

Zaključak:

Organizacije moraju:

• uspostaviti politike za upotrebu AI-a,
• edukovati timove o sigurnom rukovanju podacima,
• povezati sigurnost, pravni sektor i IT odjele u zajednički okvir odgovornosti.

Bez jasnog nadzora, AI koji bi trebao pomoći, lako može postati prijetnja iznutra.

Izvor:Help Net Security