Utmaningar med skugg-AI: Säkerhetsarbete hänger efter

AI-användningen ökar kraftigt, men företag saknar nödvändig insyn och styrning. En ny rapport från Cato Networks visar att många organisationer är dåligt rustade för att hantera riskerna med skugg-AI, vilket syftar på otillåtna AI-verktyg.

Undersökningen, som samlade svar från över 600 IT-chefer, visar en oroande klyfta. Mer än 61 procent har upptäckt oauktoriserade AI-verktyg, men endast 26 procent har mekanismer för att övervaka användningen av AI. Nära hälften, 49 procent, spårar inte användningen eller hanterar AI reaktivt.

Som Michael Norin, Regional Sales Director på Cato Networks, säger:

”I många företag sker AI-adoptionen underifrån. Medarbetare är ofta ute efter att bli mer produktiva och väljer de AI-verktyg de känner sig bekväma med. Men utan ordentlig insyn och styrning medför detta tyvärr den oönskade effekten att organisationers hotexponering ökar, ofta utan att man inser det.”

En annan viktig insikt från studien är den bristande säkerhetsberedskapen. För 71 procent av de svarande är produktivitet och effektivitet det främsta skälet till AI-användning. Samtidigt saknar 69 procent system för att spåra AI-implementeringen, vilket gör att många företag inte vet vilka verktyg som används eller vilken data som delas.

För svenska företag, särskilt de som arbetar under GDPR och i takt med AI-förordningens framsteg, innebär skugg-AI specifika utmaningar. Endast 13 procent av respondenterna anser att deras hantering av skugg-AI-risker är ”mycket effektiv”. Färre än 9 procent bedömer att deras organisation har ett ”mycket effektivt” försvar mot AI-genererade cyberhot som deepfakes och prompt-injektionsattacker.

Skugg-AI liknar skugg-IT, där otillåtna verktyg används för att lösa akuta behov, men kopplade risker medför allvarliga säkerhetsproblem. Rapporten visar att IT-chefer är medvetna om detta; 53 procent uttrycker hög eller mycket hög oro över AI-säkerhetsrisker.

Som Michael Norin avslutar:

”Frågan är inte om det finns skugg-AI i en verksamhet, utan om förmågan att upptäcka, styra och säkra användningen innan något händer finns. Vad som blir tydligt utifrån undersökningen är att de flesta behöver agera snabbt för att få insyn och kontroll över sin AI-användning.”