企業AI管治失守？Sophos剖析影子AI安全隱憂

毫無疑問，AI的普及為企業僱員的工作模式帶來轉變。但Sophos《亞太地區及日本網絡安全趨勢》報告發現，85%受訪機構已開始採用商業AI工具，同時亦有46%的機構表示其員工正使用未經授權的AI平台。換言之，將近一半員工在欠缺監管的情況下擅自使用AI科技，引發影子AI（Shadow AI）隱憂。

僱員使用未經授權的AI工具 威脅亞太網絡安全

無論是利用智能助手協助總結報告，抑或是透過聊天機械人撰寫電郵，員工正積極利用各種AI工具，讓工作事半功倍。但值得注意的是，在此創新熱潮背後，一個企業安全隱患卻正悄然成形。

影子AI（Shadow AI）指是員工在網絡安全團隊不知情的情況下，擅自使用未經批准的AI工具。

事實上，影子AI的使用正帶來實質威脅，因為公司的敏感數據、客戶記錄、知識產權等都可能在不經意情況下，流入公共AI模型。更甚的是，使用影子AI的員工往往未完全理解箇中風險。上述報告提及，38%機構不知道員工正使用哪些AI模型，31%更發現使用的AI工具本身存在安全漏洞。在某些情況下，這些漏洞可能導致機密資料外洩，令外部人員或企圖尋找入侵途徑的駭客有機可乘。

值得留意的是，大部分影子AI的應用並非出於惡意。恰恰相反，影子AI應用源於員工希望提升效率的良好初衷。分析部門利用AI工具加快工作流程、市場推廣團隊試用AI內容生成，而行政管理人員則謀求便捷的分析及見解。但其問題在於，這些AI工具在獲批准的環境以外運作，簡單如一個未經審查的應用程式、一次意外上傳或一項錯誤配置，都有機會招致安全風險。

對於受高度監管的行業，特別是金融、電訊及和政府相關的企業而言，AI運用不當不僅隱藏風險，更是埋藏法規監管地雷。無論是美國的《個人資料保護法》或特定行業守則，數據一旦離開防護框架，都可能引發嚴重後果。與此同時，不勝負荷的網絡安全團隊，卻只能再資源短缺的情況下，應付更多挑戰。

所以企業應該如何鼓勵創新，同時掌控企業內的AI使用？

1.全面掌握企業AI使用情況 

要建立穩健的AI管治模式，「零信任原則」及持續監測是基礎。企業需要清楚了解誰在使用AI工具、AI模型能接觸哪些數據、以及數據流向何處。有鑑於AI使用可能帶來全新的攻擊切入點，網絡安全團隊必須延伸防護，全方位涵蓋數據、身份認證、到終端及用戶行為等方方面面。

2.切實執行AI使用守則

許多機構已制定AI使用守則，但單靠守則無法規範所有行為。企業需要推行深入的培訓計劃，提高僱員網絡安全意識，讓團隊真正理解何時應與外部AI系統互動、為何數據管治至關重要。實質的員工培訓並非官僚程序，而是對公司及個人資料的切身保障。

3.管理層主導改變

單純禁用AI工具只會適得其反，因為這只會引致員工更加隱秘地使用違規AI模型。首席網絡安全總監和管理層應帶領員工使用已獲批准、符合安全保障，以及受監控的AI工具。在創新受壓及網絡安全團隊處處管限的環境下，影子AI的應用越發普遍。與其故步自封，不如開放員工使用安全可信的AI工具，並訂立明確守則。

隨著我們步入「生成時代」，AI將深度融入日常工作。創新與安全從不對立，相反，兩者相得益彰。事實上，企業難以杜絕影子AI，員工永遠會尋找更快、更有效率的工作方式。其關鍵在於，企業會否選擇正視未來的科技挑戰，並未雨綢繆，設立完善的網絡管理系統，抑或是料下一次數據外洩風險視而不見，為駭客大開中門，引狼入室？

歸根究底，AI並非敵人，未受監管的AI才是真正威脅。亞太區企業應瞬速行動，建立清晰框架，全面掌握企業內的AI使用，並讓實際使用工具的員工為其行為負責。這不僅能有效降低風險，更能以安全、可持續的方式，充份發揮AI的無限潛能。