Shadow AI: O que é, os seus riscos e como pode ser limitado

Todos estamos cientes de que inteligência artificial (AI) se tornou uma palavra da moda dominando conversas e manchetes hoje, e é uma tecnologia transformadora que muitos percebem de forma positiva ou negativa. Do ponto de vista empresarial, as organizações devem agora lidar com um método cada vez mais comum de uso de AI nos locais de trabalho, conhecido como “shadow AI,” uma prática que é uma variante do “shadow IT” e está sendo adotada por funcionários apesar dos riscos que a acompanham.

Shadow AI vs. shadow IT: Qual é a diferença?  

Shadow AI é um termo que se refere ao uso e incorporação não autorizados de ferramentas de IA dentro das organizações sem o conhecimento e aprovação das funções centrais de TI ou segurança das empresas. Nos ambientes de trabalho, isso pode significar que os trabalhadores acedem a plataformas de IA generativa (GenAI) ou modelos de linguagem grande (LLMs) como o ChatGPT para completar tarefas diárias, como escrever código, redigir textos ou criar gráficos/imagens. De forma geral, fazer isso pode parecer inofensivo no momento, mas como os departamentos de TI não estão cientes do uso interno de IA, muitas vezes não conseguem monitorá-lo, deixando as empresas suscetíveis a um aumento do risco de exploração ou envolvimento em questões legais.  

Da mesma forma, a TI sombra ocorre quando os colaboradores da organização constroem, implementam ou utilizam dispositivos, serviços na nuvem ou aplicações de software para atividades relacionadas com o trabalho sem a supervisão explícita da TI. Com a crescente proeminência de diferentes apps SaaS, os utilizadores estão a achar mais fácil instalar rapidamente e aceder a estas ferramentas sem envolver a TI. Além de tais desenvolvimentos, a tendência Bring Your Own Device (BYOD) provou ser uma das principais causas da TI sombra porque, mesmo que exista um programa formal de BYOD, as equipas de segurança podem não ter visibilidade sobre os serviços ou apps que estão a ser utilizados, e a implementação de protocolos de segurança nos dispositivos pessoais dos trabalhadores pode representar desafios.

TI nas sombras e IA nas sombras diferem com base nos tipos de tecnologias utilizadas. TI nas sombras envolve principalmente o uso não aprovado de infraestruturas e software de TI, enquanto IA nas sombras refere-se ao uso de IA sem regulamentação formal pela função de segurança da organização.

Os perigos da sombra da IA

A IA sombra pode representar ameaças e desafios que as organizações precisam considerar para se protegerem de potenciais repercussões. Alguns dos riscos incluem:

• Conformidade e questões regulatórias. Porque as empresas estão sujeitas a regulamentos governamentais em torno da IA (por exemplo, o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia), implantações desconhecidas de IA sombra podem potencialmente violar políticas governamentais, mesmo que isso seja feito inadvertidamente, levando a multas imprevistas, repercussões legais e possível dano reputacional. Os problemas de conformidade também entram em jogo ao abordar as políticas de privacidade das ferramentas de IA. Confiar que os funcionários leem e se mantêm atualizados com as políticas de privacidade em evolução ao usar plataformas de IA complica as questões se uma organização acabar envolvida em uma violação regulatória.

• Exposição involuntária de informações confidenciais. Ao usar chatbots de IA, os colaboradores podem, sem saber, divulgar IP ou dados sensíveis a modelos inseguros, o que deixa a porta aberta para que a informação caia em mãos erradas, aumentando o risco de ciberataques ou vazamentos de dados. Por exemplo, vazamento do ChatGPT da OpenAI no início de 2024 é um bom exemplo das ameaças e consequências potenciais do uso não divulgado de IA.  

• Incapacidade das equipas de TI para avaliar adequadamente os perigos. Como temos vindo a discutir, os departamentos de TI e segurança estão geralmente inconscientes do uso não permitido de IA nas empresas, pelo que não conseguem avaliar adequadamente os perigos ou mesmo tomar as medidas necessárias para mitigar quaisquer riscos. Um desses riscos pode incluir o pessoal a incorporar involuntariamente informação incorreta ou falsa produzida pela IA no seu trabalho ou nas suas tarefas diárias.  

• O risco aumentado de ocorrência de um ciberataque. Por exemplo, um trabalhador ou desenvolvedor de software cria acidentalmente código malicioso ao usar tecnologia de IA para fins de codificação. Um erro no código gerado por IA pode servir como uma abertura para criminosos cibernéticos que procuram explorar vulnerabilidades não detectadas e executar um ciberataque.

Combate ao uso organizacional de shadow AI

1. Estabelecer políticas e regras de IA. Para limitar a IA paralela, as organizações podem começar por criar uma estrutura de governança centralizada que comunique diretrizes claras para a implementação de IA em toda a empresa. Definir requisitos de conformidade e políticas de uso de dados pode ajudar a garantir a conformidade com os regulamentos internos e externos. Formar uma estrutura de governança adequada também pode envolver a exigência de que a TI revise ou aprove projetos envolvendo IA para que os padrões regulatórios possam ser atendidos.

2. Promover a sensibilização. A utilização de programas de formação para educar os colaboradores sobre os riscos/consequências associados à shadow AI e a importância de aderir às diretrizes da empresa ao utilizar tecnologias de IA pode ajudar a melhorar a compreensão sobre o tema. Equipas formadas entenderão melhor a importância da conformidade ao trabalhar com IA.

3. Implementar controlos de acesso. Ter ferramentas de monitorização, bem como controlos de acesso, pode ajudar as equipas de TI a detectar casos de AI sombra e a colocar certas restrições em plataformas de AI e uso não autorizado dentro dos locais de trabalho.