De stiekeme opkomst van schaduw-AI op de werkplek

Gregg Bayes-Brown hielp bij het ontwikkelen van het AI-beleid tijdens een voormalige baan in biotechonderzoek, maar zelfs als regelmaker zegt hij dat hij het zich niet kon veroorloven om geen regelovertreder te zijn. Hoewel hij de technologie en de risico’s ervan begreep, gebruikte hij voor zijn werk een niet-goedgekeurd persoonlijk zakelijk Google-account NotebookLM om grote hoeveelheden informatie te ordenen waarvoor doorgaans veel heen en weer moet worden gegaan tussen de klantenservice en andere afdelingen. Hij schat dat de kortere weg 150 uur werk in 30 minuten heeft omgezet.

Terwijl zijn IT-afdeling maandenlang debatteerde over de manier waarop AI-tools moesten worden gereguleerd, nam volgens Bayes-Brown de druk op werknemers om efficiënter met AI te werken toe. Hij was van mening dat de kans dat bedrijfsinformatie uit zijn persoonlijke NotebookLM-account zou lekken (Google zegt dat het geen gegevens gebruikt die in NotebookLM zijn geplaatst om zijn modellen te trainen) kleiner was dan het risico om achterop te raken.

“Dat minuscule risico dat gegevens uitgaan, is heel klein”, zegt hij. “Maar de kans dat je wordt overschaduwd door een Chinese collega, is een enorm risico.”

Schaduw-AI is de afkorting voor het omzeilen van het IT-beleid van het bedrijf door uw favoriete chatbot te waarschuwen of een agent uw inbox te laten opruimen. Uit gegevens blijkt dat de praktijk zo ver uit de hand is gelopen dat het waarschijnlijk is dat de meesten van ons in strijd zijn met het beleid. Uit een onderzoek van Microsoft onder Britse werknemers bleek dat 71% zei dat ze op het werk niet-goedgekeurde AI-tools voor consumenten hebben gebruikt, en de helft doet dit wekelijks. Volgens Reco, een AI-beveiligingsplatform, worden bij middelgrote bedrijven doorgaans 200 niet-goedgekeurde AI-tools per 1.000 werknemers gebruikt. Uit een rapport uit 2024 van Microsoft bleek dat bijna 80% van de werknemers die AI gebruikten, afhankelijk waren van hun eigen tools.

Leslie Nielsen, hoofd informatiebeveiliging bij Mimecast, noemt de opkomst van schaduw-AI ‘dood door duizend bezuinigingen, en mensen begrijpen het gewoon niet’. Als iemand een document met financiële gegevens uploadt naar een AI-tool, kan een chatbot of agent de gegevens, of een analyse ervan, doorgeven aan iemand buiten het bedrijf, als deze de juiste aanwijzingen gebruikt. Drie jaar geleden, Samsung verbood werknemers om generatieve AI-tools op bedrijfsapparaten te gebruiken nadat software-ingenieurs er interne code in hadden gestopt ChatGPT. Amazone werd ook op zijn hoede toen de reacties van ChatGPT op sommige aanwijzingen veel op interne bedrijfsgegevens begonnen te lijken. Deze incidenten vonden plaats voordat OpenAI zijn zakelijke versie van de chatbot uitrolde, die geen input gebruikt om modellen te trainen. Sindsdien hebben gespecialiseerde apps met ingebouwde AI-functies de markt echter overspoeld, waardoor er een enorme hoeveelheid beveiligingsbedreigingen is ontstaan ​​die IT in de gaten moet houden.

Terwijl bedrijven hun best doen om de drang naar groei te combineren met zekerheid, kan de race om die topwerker te worden betekenen dat de regels worden overtreden.

Schaduw-IT – het gebruik van technische snelkoppelingen en software die niet door een bedrijf is goedgekeurd – is niet nieuw. In 2014 bereikte het ministerie van Volksgezondheid en Human Services een Schikking van $ 4,8 miljoen met Columbia University en New York Presbyterian Hospital nadat een arts die applicaties ontwikkelde voor zowel het ziekenhuis als de school een computerserver in persoonlijk bezit had gedeactiveerd op een netwerk dat gezondheidsinformatie van patiënten bevatte. Duizenden patiëntendossiers waren toegankelijk via Google.

Tegenwoordig is het stiekem doorgeven van bedrijfsinformatie aan AI bijzonder aanlokkelijk, maar het kan ook per ongeluk zijn. Mensen ontwikkelen emotionele gehechtheden aan hun AI-tools. Geen enkele technologie is ooit zo behendig gebleken in het personaliseren van zichzelf aan individuen. Technische innovatie op kantoor vindt doorgaans van bovenaf plaats. Het management kiest de tools die het bedrijf zal gebruiken en beslist tussen Gmail of Microsoft 365, Slack of Discord. De AI-hype de cyclus heeft de imperatief omgedraaid; Big Tech-bedrijven hebben generatieve technologieën ontketend en de verantwoordelijkheid bij bedienden gelegd om erachter te komen welk werk ze kunnen automatiseren.

De race om vandaag de dag een topwerker te worden, kan het overtreden van de regels vereisen.

“Het schaduw-AI-probleem is erger” dan schaduw-IT, zegt Nicole Jiang, medeoprichter van Fable Security. “Bedrijven staan ​​feitelijk meer AI-adoptie toe en dringen aan op een snelheid die we nog nooit eerder hebben gezien.” Dat laat degenen in de IT “proberen erachter te komen: ‘Oké, hoe kunnen we het beste beschermen – dat is niet blokkeren – maar ja zeggen tegen mensen de kans geven om te verkennen?'”

IT-experts hebben de neiging om de nuances van de adoptie van AI te zien, waarbij de kans groot is dat dit de bedrijfsresultaten ten goede komt, ook al brengen ze potentiële risico’s voor het bedrijf met zich mee. In een onderzoek onder 1.000 IT-leiders door softwarebedrijf Freshworks zei bijna 80% dat ze van mening waren dat werknemers die niet-goedgekeurde AI-tools gebruiken productiever zijn. Maar 86% zei dat ze het afgelopen jaar ook één negatief incident hadden gezien met betrekking tot niet-goedgekeurd AI-gebruik, van overtredingen van de nalevingsregels tot veiligheidsstranden.

De voorkeur voor één AI waar uw bedrijf geen account voor heeft boven degene die het wel heeft, is niet simpelweg de evolutie van het iPhone- versus Android-debat. De technologie verandert de manier waarop mensen werken fundamenteel en dwingt niet-technische werknemers om met technologie te experimenteren op manieren die ze nog nooit eerder hebben gedaan. “Zes maanden geleden was het gesprek: ‘Ik gebruik Claude omdat ik denk dat de output beter is'”, zegt Harley Sugarman, CEO en oprichter van beveiligingsbedrijf Anagram. Hoewel veel bedrijven een AI-tool voor ondernemingen hebben goedgekeurd, zoeken werknemers naar andere apps die beter op hun rol zijn toegesneden, voor alles van HR tot marketing en coderen.

Het gebruik van AI door werknemers is voor veel bedrijven nog steeds een blinde vlek. Uit een onderzoek van adviesbureau Protiviti in februari onder 345 bedrijfsleiders bleek dat ongeveer de helft niet weet in welke mate hun werknemers AI gebruiken. Slechts vier op de tien bedrijven beschikten over een formeel AI-governancebeleid. Maar bedrijven zijn iksteeds meer geld uitgeven aan enterprise AIwaarbij 90% van de IT-leiders bij grote bedrijven zegt dat hun werkplekken dit jaar van plan zijn de budgetten voor AI-tools te verhogen. De helft van de bedienden maakt al gebruik van agenten, blijkt uit een onderzoek van agent AI-platform Schrijver en onderzoeksbureau Workplace Intelligence. Deze maand maakte Microsoft zijn Agent 365 algemeen beschikbaar, door het uit de preview te halen en te zeggen dat de verschuiving bedrijven zal helpen “de controle te krijgen over de wildgroei van agenten” en “agenten en hun interacties te observeren, besturen en beveiligen”.

“Het zal waarschijnlijk eerst nog erger worden voordat het beter wordt”, zegt Sugarman over het schaduw-AI-dilemma. “Je kunt je voorstellen dat de volgende evolutie van dit probleem is dat deze agenten zichzelf gaan verbeteren en meer beslissingen gaan nemen en meer software gaan bouwen zonder zelfs maar input van eindgebruikers, en op dat moment bevind je je op science fiction-territorium.” Maar hij denkt niet dat cybersecurity gedoemd is. IT-professionals moeten begrijpen hoe mensen AI gebruiken en hoe agenten te werk gaan. Er moet training komen voor minder technische bedienden over hoe ze AI moeten gebruiken en waarom beveiligingsprotocollen belangrijk zijn. “Niemand heeft dat op dit moment echt kunnen oplossen.” Zolang die boodschap blijft bestaan, is het moeilijk voor te stellen dat werknemers zich zullen houden aan de weinige goedgekeurde tools. Voor al die keren dat miljoenen werknemers rapporteren dat ze schaduw-AI gebruiken, zijn er weinig consequenties bekend. Maar er is één fout nodig om een ​​IT-nachtmerrie te realiseren.

Amanda Hoover is senior correspondent bij Business Insider voor de technologiesector. Ze schrijft over de grootste technologiebedrijven en trends.