Программное обеспечение как услуга (Software-as-a-Service, SaaS) и инструменты генеративного ИИ (GenAI) кардинально изменили методы работы многих организаций. Такие технологии обеспечивают значительные преимущества в плане масштабируемости, эффективности и инноваций, но вместе с тем они влекут за собой и ряд сложных проблем.
Легкий доступ к SaaS-приложениям, таким как M365, Google Workspace, Slack, Zoom и Shopify, позволяет сотрудникам самостоятельно использовать новые инструменты без должного контроля. Такая тенденция приводит к явлению, известному как “Теневой SaaS” (Shadow SaaS) – использование несанкционированных приложений, о которых IT-отделы не осведомлены. Такое использование может привести к серьезным нарушениям безопасности данных, утечке конфиденциальной информации и несоблюдению необходимых отраслевых нормативов.
Подобным образом, интеграция в бизнес-процессы генеративного ИИ (ChatGPT, DALL-E, Copilot и другие) вызывает опасения по поводу кражи интеллектуальной собственности, неправильного использования ИИ и случайного создания несоответствующих данных. Такие проблемы подчеркивают необходимость строгого управления данными и контрольных механизмов для снижения рисков и обеспечения соблюдения нормативных требований.
Опрос ИБ-специалистов
Компания Next DLP провела опрос более 250 ИБ-специалистов, чтобы изучить новые вызовы в области безопасности данных и соответствия требованиям, которые принесли SaaS-приложения и генеративный ИИ. Результаты показали критически важные инсайты о несанкционированном использовании подобных технологий и связанных с ними рисках.
Опрос выявил удивительную тенденцию: 73% ИБ-специалистов признались в использовании SaaS-приложений, которые не были предоставлены их IT-отделом. Несмотря на осведомленность о рисках, такие как утечка данных (65%), отсутствие видимости и контроля (62%) и нарушения безопасности данных (52%), 10% респондентов уверены, что их организация уже пострадала от утечки данных или потери информации вследствие использования несанкционированных инструментов.
Также был выявлен либеральный подход к Теневому SaaS, в то время как использование генеративного ИИ вызывает больше осторожности. Половина респондентов отметили, что использование ИИ было ограничено определенными функциями и ролями в их организации, а 16% полностью запретили эту технологию. При этом 46% организаций внедрили инструменты и политики для контроля использования генеративного ИИ сотрудниками.
Также 40% специалистов по безопасности считают, что сотрудники недостаточно понимают риски безопасности данных, связанные с Теневым SaaS и ИИ. Тем не менее, меры по борьбе с риском принимаются слабо. Только 37% ИБ-специалистов разработали четкие политики и понимают последствия использования таких инструментов, и лишь 28% продвигают одобренные альтернативы для борьбы с использованием Теневого SaaS. Лишь половина получала рекомендации и обновленные политики по Теневому SaaS и ИИ за последние 6 месяцев, а 1 из 5 сотрудников никогда не получал такие рекомендации.
В ответ на эти вызовы специалисты рекомендуют применять следующие меры:
- Использовать инструменты для обнаружения и контроля Теневого SaaS, а также для мониторинга потока данных;
- Использовать средства для управления и мониторинга использования генеративного ИИ, включая анализ контента, интеграцию с API и анализ поведения для потенциально вредоносного или несоответствующего использования ИИ;
- Установить средства автоматизации выполнения политик безопасности для всех облачных и SaaS-приложений;
- Внедрить систему оповещений о возможных утечках данных или нарушениях политик;
- Регулярно проводить обучение сотрудников.