Самавольныя ШІ-профілі супрацоўнікаў ператвараюцца ў бомбу запаволенага дзеяння

Разам з ростам дыпфэйкаў і машынных ідэнтычнасцяў гэта фармуе крытычны крызіс даверу ў лічбавых узаемадзеяннях. Паводле звестак IBM, сёння адзін інцыдэнт Shadow AI абыходзіцца кампаніям у сярэднім у $4,63 мільёна, а да 2027 года страты ад дыпфэйкаў могуць дасягнуць $40 мільярдаў.

За апошнія два гады зафіксаваны 60-разовы рост карпаратыўнага выкарыстання ШІ, пры гэтым амаль 74% акаўнтаў ChatGPT у кампаніях аказаліся несанкцыянаванымі кіраўніцтвам ці ІТ-аддзелам. «Гэта падобна на спробу ўлічыць дым», — прызнаўся адзін з CISO са спісу Fortune 500.

Праблема пагаршаецца экспанентным ростам машынных профіляў: на аднаго супрацоўніка прыходзіцца ўжо 45 сэрвісных акаўнтаў, а традыцыйныя IAM-сістэмы не паспяваюць іх фіксаваць. Хакеры ўжо навучыліся не толькі красці дадзеныя, але і атручваць адказы ШІ-агентаў, паступова падсоўваючы супрацоўнікам ілжывую інфармацыю для прыняцця бізнес-рашэнняў.

Эксперты папярэджваюць: старая мадэль бяспекі — са статычнымі палітыкамі і ручнымі праверкамі доступу — больш не працуе. «Сённяшняя рэальнасць — гэта дыпфэйкі, ШІ-агенты і Shadow AI. Нам патрэбны ШІ супраць ШІ, а роля чалавека — у стратэгіі, а не ў рэагаванні на алерты», — кажа тэхнічны дырэктар CrowdStrike па Амерыцы Крысціян Радрыгес.

Рынак ужо рэагуе: кампаніі ўкараняюць аўтаматызаванае кіраванне сертыфікатамі і API-ключамі, а платформы кшталту Venafi, CyberArk і Microsoft Security Copilot абяцаюць знізіць рызыкі на дзясяткі працэнтаў. Але, як адзначаюць эксперты, у лідараў бяспекі застаецца не больш за 18 месяцаў, каб перабудаваць стратэгіі. У адваротным выпадку — іх арганізацыі стануць ахвярамі самай маштабнай трансфармацыі кіберпагроз з часоў з’яўлення інтэрнэту.