المخاطر الخفية لـ Shadow AI في المؤسسات

المخاطر الخفية لـ Shadow AI في المؤسسات
المخاطر الخفية لـ Shadow AI في المؤسسات
شارك هذا الخبر

مع تزايد سهولة الوصول إلى أدوات الذكاء الاصطناعي، بدأ الموظفون في استخدامها دون موافقة رسمية من فرق تقنية المعلومات والأمن، ما أدى إلى ظهور ما يُعرف بـ Shadow AI. هذا المفهوم يتجاوز ظاهرة “Shadow IT” التقليدية، إذ لا يتعلق فقط ببرمجيات غير معتمدة، بل بأنظمة تعالج وتولد وربما تحتفظ ببيانات حساسة خارج نطاق الرقابة المؤسسية. النتيجة هي مخاطر جديدة تشمل تسرب البيانات، توسع سطح الهجوم، وإضعاف أمن الهوية.

لماذا ينتشر Shadow AI بهذه السرعة؟

وفقاً لاستطلاع أجرته Salesforce عام 2024، أقر 55% من الموظفين باستخدام أدوات ذكاء اصطناعي غير معتمدة من مؤسساتهم. السبب يعود إلى سهولة الاستخدام وعدم الحاجة إلى إعداد معقد، إضافة إلى غياب سياسات واضحة لاستخدام الذكاء الاصطناعي داخل المؤسسات. هذا يدفع الموظفين إلى اتخاذ قرارات فردية بشأن الأدوات التي يستخدمونها، غالباً دون إدراك العواقب الأمنية. على سبيل المثال، قد يستخدم الموظفون أدوات توليد النصوص مثل ChatGPT أو Claude في مهام يومية، ما يؤدي إلى مشاركة بيانات حساسة خارج حدود المؤسسة.

كيف يتحول Shadow AI إلى مشكلة أمنية؟

يُنظر إلى Shadow AI أحياناً كقضية حوكمة، لكنه في جوهره يمثل مشكلة أمنية. فالموظفون قد يشاركون بيانات العملاء أو معلومات مالية أو وثائق داخلية مع أدوات الذكاء الاصطناعي، أو قد يقوم المطورون بلصق شيفرات تحتوي على مفاتيح API أو بيانات اعتماد قواعد البيانات، ما يؤدي إلى تسرب غير قابل للتتبع. هذه الممارسات قد تشكل انتهاكاً لقوانين مثل GDPR وHIPAA. إضافة إلى ذلك، كل أداة ذكاء اصطناعي غير معتمدة تمثل منفذاً محتملاً للهجمات، خصوصاً إذا تضمنت واجهات برمجية أو إضافات غير آمنة.

تجاوز الضوابط الأمنية التقليدية وتأثيره على الهوية الرقمية

أدوات الذكاء الاصطناعي غالباً ما تعمل عبر بروتوكول HTTPS، ما يجعل من الصعب على أنظمة المراقبة التقليدية فحص محتوى التفاعلات. كما أن واجهات المحادثة لا تشبه التطبيقات التقليدية، ما يعقد عملية تسجيل الأنشطة أو مراقبتها. الأخطر أن Shadow AI يخلق تحديات في إدارة الهوية والوصول (IAM)، حيث قد ينشئ الموظفون حسابات متعددة عبر منصات مختلفة، أو يربط المطورون الأدوات بحسابات خدمة غير خاضعة للرقابة، ما يؤدي إلى هويات رقمية غير مُدارة تزيد من خطر الوصول غير المصرح به.

خطوات لتقليل المخاطر

لمواجهة هذه التحديات، يجب على المؤسسات الانتقال من سياسة الحظر الكامل إلى إدارة الاستخدام الآمن، عبر:

  • وضع سياسات واضحة تحدد الأدوات المسموح بها والبيانات التي يمكن مشاركتها.
  • توفير بدائل معتمدة وآمنة لتقليل الحاجة إلى أدوات غير رسمية.
  • تحسين الرؤية عبر مراقبة حركة الشبكة والأنشطة المرتبطة بالوصول المميز وواجهات API.
  • تدريب الموظفين على المخاطر الأمنية المرتبطة بالذكاء الاصطناعي.

إدارة Shadow AI بشكل فعال تمنح المؤسسات رؤية كاملة للأدوات المستخدمة والبيانات المتداولة، وتقلل من التعرض للمساءلة القانونية، وتسرّع اعتماد أدوات آمنة ومعتمدة، ما يعزز الإنتاجية دون التضحية بالأمن.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1427

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة