К 2026 году «shadow AI» стал повседневностью: значительная часть сотрудников применяет внешние ИИ‑сервисы без одобрения IT и комплаенс, вводя чувствительные данные и обнажая слабые стороны декларативных политик.
63% организаций остаются без формальных правил по использованию ИИ, и это уже не гипотеза, а операционная реальность: неавторизованное применение внешних моделей («shadow AI») внедрилось в рабочие процессы сотрудников, создавая реальные риски для безопасности данных и соответствия. Сценарий важен тем, что он подрывает стандартные механизмы контроля — политики остаются декларативными, а практики сотрудников идут впереди технических ограничений.
Существующие отраслевые опросы дают конкретные числа: от 40% до 65% сотрудников признают использование ИИ‑инструментов без одобрения IT или комплаенс‑подразделений. По отчету Netskope Cloud and Threat Report 2026, 47% пользователей генеративного ИИ работают через личные, неуправляемые аккаунты, что фактически выводит корпоративные данные за пределы систем контроля. Более половины таких сотрудников подтверждают ввод в сервисы чувствительной информации — клиентских данных, финансовых прогнозов и сведений о внутренних процессах.
Практические примеры объясняют скорость распространения: инженеры прогоняют исходный код через ChatGPT для отладки, аналитики используют Claude для ускоренной генерации отчетов, менеджеры загружают стенограммы встреч в потребительские сервисы, чтобы быстро выделить action‑items. Такое поведение чаще вызвано давлением по производительности и необходимостью ускорить рабочие циклы, а не умышленной вредоносностью, что усложняет задачу комплаенса и обучения. Проблема охвата и восприятия рисков усугубляется статистикой по пониманию правил: 38% сотрудников заявляют, что неправильно понимают корпоративные политики по ИИ, 56% указывают на отсутствие четких инструкций, а меньше 20% считают, что ввод корпоративных данных во внешние модели — неправомерен. Эти цифры показывают, что декларативные запреты без технической реализации и четких рабочих инструкций мало влияют на поведение персонала.
Реальные последствия уже проявлялись в крупных инцидентах: утечка данных Samsung в 2023 году — три события за 20‑дневный период после отмены внутреннего запрета на ChatGPT — включала вставку проприетарного кода, загрузку кода для поиска дефектов и передачу расшифровок внутренних встреч в модель. После этого компания отменила запрет через мемо с вводом лимита в 1 024 байта, но лимит не был технически обеспечен на уровне сети или конца‑точки, что наглядно продемонстрировало уязвимость политик, лишенных технических средств контроля.
Выводы для разработчиков продуктов и инженеров по безопасности однозначны: нужны не только политики, но и встроенная телеметрия и технические контрмеры — классификация контента в браузере и на уровне endpoint, управление SaaS‑аккаунтами, DLP для генеративных сервисов и интеграция допустимых рабочих процессов непосредственно в инструменты. Без такого сочетания правил и технической реализации корпоративные политики рискуют превратиться в юридические заявления, не способные защитить данные и соблюдение норм.
Источники
Ответы (0)
Пока нет ответов в этой теме.
