Ο κρυφός εχθρός που ζει μέσα στην εταιρεία σας

Οι περισσότερες επιχειρήσεις επενδύουν σημαντικά ποσά σε firewalls, antivirus και προηγμένα συστήματα παρακολούθησης. Παρόλα αυτά, η πλειονότητα των πραγματικών κυβερνοεπιθέσεων δεν ξεκινά από εξωτερικούς hackers που σπάνε τα τείχη προστασίας. Ξεκινά από κάτι πολύ πιο καθημερινό και αθώο: μη εγκεκριμένα εργαλεία, συσκευές και εφαρμογές που το τμήμα IT δεν γνωρίζει καν ότι χρησιμοποιούνται.

Με την έκρηξη της τεχνητής νοημοσύνης τα τελευταία χρόνια, το πρόβλημα πολλαπλασιάστηκε. Δημιουργήθηκε μια εντελώς νέα πηγή διαρροής δεδομένων, συχνά χωρίς καν κακόβουλη πρόθεση από τους εργαζόμενους. Απλά προσπαθούν να κάνουν τη δουλειά τους πιο γρήγορα και αποτελεσματικά.

Τι είναι το Shadow IT

Ο όρος Shadow IT αναφέρεται σε κάθε τεχνολογία που χρησιμοποιείται μέσα στην εταιρεία χωρίς επίσημη έγκριση, χωρίς έλεγχο και συχνά χωρίς καν το τμήμα ΙΤ να γνωρίζει την ύπαρξή της. Στην πράξη, αυτό μπορεί να περιλαμβάνει εφαρμογές που δεν έχει εγκρίνει το IT όπως VPNs, εργαλεία διαμοιρασμού αρχείων ή προγράμματα επικοινωνίας, καθώς και online υπηρεσίες με προσωπικούς λογαριασμούς όπως το Notion, το Trello, το Canva ή το ChatGPT. Ακόμα και αυτοματισμοί που δημιουργούνται μέσω πλατφορμών όπως το Zapier, και μεταφέρουν δεδομένα σε άγνωστες για την εταιρεία πλατφόρμες, αποτελούν μέρος του προβλήματος.

Πέρα από τις μη εγκεκριμένες εφαρμογές, υπάρχει και ένα εξίσου σοβαρό ζήτημα: η χρήση προσωπικών laptops ή smartphones για εταιρική εργασία. Αυτές οι συσκευές συνήθως δεν διαθέτουν εταιρικό antivirus, τρέχουν παλιές εκδόσεις λειτουργικών συστημάτων με κενά ασφαλείας, τα προσωπικά cloud services μπορεί να ανεβάσουν κατά λάθος εταιρικά αρχεία. Το χειρότερο; Αν ένας εργαζόμενος αποχωρήσει από την εταιρεία, τα εταιρικά δεδομένα που βρίσκονται στη συσκευή του παραμένουν εκεί.

Shadow AI: Η νέα διάσταση της απειλής

Το Shadow AI αφορά τη χρήση εργαλείων τεχνητής νοημοσύνης από εργαζόμενους χωρίς κανόνες, χωρίς άδεια και χωρίς κανέναν έλεγχο του τι δεδομένα ανεβαίνουν σε αυτά. Μιλάμε για πλατφόρμες όπως το ChatGPT, το Claude ή το Copilot. Η κρίσιμη διαφορά από το Shadow IT είναι ότι εδώ η διαρροή δεδομένων είναι σχεδόν αδύνατο να εντοπιστεί με συμβατικά μέσα. Η επικοινωνία με αυτές τις πλατφόρμες μοιάζει με απλή, ασφαλή σύνδεση μέσω HTTPS και περνά απαρατήρητη από τα παραδοσιακά επίπεδα ασφαλείας που έχει η εταιρεία.

Καθημερινά παραδείγματα: Ένας προγραμματιστής ανεβάζει κομμάτια εταιρικού κώδικα σε AI για debugging. Το HR ανεβάζει βιογραφικά σε πλατφόρμες τεχνητής νοημοσύνης για ανάλυση. Το Marketing χρησιμοποιεί AI generators με λίστες πελατών. Και φυσικά, οποιοσδήποτε εργαζόμενος μπορεί να στείλει screenshots με ευαίσθητα στοιχεία για να ζητήσει βοήθεια ή συμβουλή.

Γιατί κανείς δεν παραδέχεται το πρόβλημα

Υπάρχει ένας λόγος που το Shadow IT και το Shadow AI παραμένουν “shadow”. Κανείς δεν θέλει να παραδεχτεί ότι στο δίκτυό του υπάρχουν εργαλεία που δεν γνωρίζει ή ότι εταιρικά δεδομένα διαρρέουν σε τρίτες υπηρεσίες. Οι μικρές επιχειρήσεις το επιτρέπουν λόγω περιορισμένων πόρων. Οι μεγάλες εταιρείες το ανέχονται για λόγους ευελιξίας και πίεσης χρόνου. Φανταστείτε μια διαρροή δεδομένων που ξεκινά επειδή ένας εργαζόμενος στέλνει ένα αρχείο στον εαυτό του μέσω ενός προσωπικού chat app. Απλό, αθώο, αλλά με δυνητικά τεράστιες συνέπειες.

Πώς εντοπίζονται αυτές οι αόρατες απειλές

Οι σύγχρονες εταιρείες σήμερα χρησιμοποιούν εργαλεία για να αντιμετωπίσουν το πρόβλημα, όπως  logs από proxy servers και firewalls που μπορούν να εντοπίζουν επισκέψεις σε ΑΙ πλατφόρμες και λύσεις Data Loss Prevention που εντοπίζουν αυτόματα ανεβασμένα αρχεία με ευαίσθητα δεδομένα σε μη εγκεκριμένες υπηρεσίες.

Όμως, όλες αυτές οι τεχνολογίες βλέπουν μόνο ένα κομμάτι της εικόνας. Το βασικό πρόβλημα παραμένει ο ίδιος ο εργαζόμενος, που επιλέγει τα εργαλεία που τον διευκολύνουν στην καθημερινότητά του και όχι απαραίτητα αυτά που είναι ασφαλή. Η λύση βρίσκεται στην ουσιαστική εκπαίδευση του προσωπικού με πραγματικά παραδείγματα που δείχνουν πώς μπορούν να χρησιμοποιούν τα AI εργαλεία με ασφάλεια και αποτελεσματικότητα. Η απειλή δεν είναι τα νέα εργαλεία, αλλά η χρήση τους χωρίς πλαίσιο.

Πώς μπορεί να σας βοηθήσει το εξειδικευμένο μας τμήμα ασφάλειας Sima Security

Στη Sima Security, κατανοούμε ότι η σύγχρονη κυβερνοασφάλεια αφορά τόσο την τεχνολογία όσο και τους ανθρώπους.

Μέσω της υπηρεσίας CISO as a Service παρέχουμε έμπειρη εξωτερική ηγεσία στον τομέα της κυβερνοασφάλειας, εξασφαλίζοντας την πλήρη προστασία των ψηφιακών περιουσιακών στοιχείων, τη συμμόρφωση με ευρωπαϊκές οδηγίες και διεθνείς κανονισμούς όπως οι NIS2 και ISO/IEC 27001, και την πλήρη ενσωμάτωση της ασφάλειας στη συνολική στρατηγική του οργανισμού, υποστηρίζοντας τη διοίκηση στη λήψη τεκμηριωμένων αποφάσεων και διαχειρίζοντας κινδύνους ασφάλειας σε όλα τα επίπεδα.

Μέσω του IT Security Audit, εντοπίζουμε μη εγκεκριμένα εργαλεία και ευπάθειες που μπορεί να επηρεάσουν το δίκτυο και τα συστήματά σας, παρέχοντας σαφή εικόνα των κινδύνων και προτάσεις για άμεσες και μακροπρόθεσμες βελτιώσεις. Σε συνδυασμό με την υλοποίηση ISMS, δημιουργούμε και εφαρμόζουμε πολιτικές και διαδικασίες διακυβέρνησης, διαχείρισης κινδύνων και κανονιστικής συμμόρφωσης, ενώ με το User Awareness Training εκπαιδεύουμε το προσωπικό ώστε να ενισχύεται η κουλτούρα ασφάλειας σε όλα τα επίπεδα του οργανισμού.

Οι οργανισμοί που συνεργάζονται μαζί μας αποκτούν τη δυνατότητα να διαχειρίζονται αποτελεσματικά τις απειλές και τους κινδύνους, διασφαλίζοντας την εμπιστοσύνη των πελατών και συνεργατών τους, αναπτύσσοντας παράλληλα μια ανθεκτική, ασφαλή και σύγχρονη ψηφιακή υποδομή, χωρίς το κόστος και την πολυπλοκότητα μιας εσωτερικής δομής CISO.

Μην περιμένετε να συμβεί ένα περιστατικό ασφαλείας για να ανακαλύψετε τι χρησιμοποιείται “κάτω από το ραντάρ”. Μιλήστε με την εξειδικευμένη ομάδα μας, Sima Security.

Πηγή: simasecurity.gr/shadow-it-shadow-ai-η-μεγαλύτερη-απειλή-που-δεν-παραδ/