Zaposleni već koriste veštačku inteligenciju za pisanje ponuda, analizu dokumenata, obradu podataka, pripremu izveštaja i donošenje svakodnevnih poslovnih odluka. Pitanje za menadžere bezbednosti više nije da li se AI koristi u kompaniji, već da li kompanija zna kako se koristi, koji podaci se unose i ko snosi odgovornost ako dođe do greške ili incidenta.
Veštačka inteligencija je ušla u poslovanje mnogo tiše nego što su mnoge kompanije očekivale. Nije uvek uvedena kroz zvaničan projekat, odluku upravnog odbora, IT proceduru ili strategiju digitalne transformacije. U velikom broju slučajeva, ušla je kroz svakodnevne potrebe zaposlenih.
Neko u prodaji koristi AI alat da napiše bolju ponudu. Neko u HR sektoru da skrati opis radnog mesta ili analizira biografije kandidata. Pravni sektor ga koristi da proveri nacrt ugovora. Marketing da pripremi objavu. IT da razume grešku u kodu. Menadžer bezbednosti da uobliči izveštaj o incidentu.
Na prvi pogled, sve to deluje korisno, brzo i bezazleno. Ali problem nastaje u trenutku kada kompanija ne zna koji se AI alati koriste, ko ih koristi, sa kojim podacima i za koje poslovne odluke. Tada veštačka inteligencija više nije samo alat za produktivnost. Ona postaje bezbednosni rizik.
To je shadow AI, nevidljiva i neodobrena upotreba AI alata unutar organizacije.
Šta je zapravo shadow AI?
Shadow AI je situacija u kojoj zaposleni koriste javne ili neodobrene alate veštačke inteligencije bez znanja, odobrenja ili nadzora kompanije. To može biti besplatni chatbot, aplikacija za obradu dokumenata, alat za automatsko pisanje, servis za transkripciju, platforma za analizu podataka ili dodatak u browseru koji koristi veštačku inteligenciju.
Suština problema nije u samoj tehnologiji. Problem je u tome što se ona koristi van sistema kontrole.
Kompanija možda ima pravila za zaštitu podataka, sajber bezbednost, obradu ličnih podataka, rad od kuće i pristup poslovnim aplikacijama. Ali ako nema jasna pravila za korišćenje AI alata, zaposleni će često sami odlučivati šta je bezbedno, a šta nije.
A to je opasna zona.
U savremenom poslovanju zaposleni su pod pritiskom da budu brži, efikasniji i kreativniji. Veštačka inteligencija im u tome zaista može pomoći. Ali kada zaposleni u AI alat unese poslovnu ponudu, ugovor, podatke klijenta, interni izveštaj, zapisnik o incidentu ili tehničku dokumentaciju sistema, kompanija mora da zna da li je time prekršena poverljivost, ugovor sa klijentom, zakon o zaštiti podataka ili interna bezbednosna procedura.
CSO Online u tekstu o kontroli shadow AI ističe upravo taj problem: organizacije ne mogu upravljati rizikom koji ne vide, zbog čega prvi korak mora biti identifikacija načina na koje se AI već koristi u poslovanju.
Novi rizik za menadžere bezbednosti
Menadžeri bezbednosti su navikli da razmišljaju o fizičkoj zaštiti, kontroli pristupa, video nadzoru, incidentima, kriznim situacijama, zaposlenima, dobavljačima i poverljivim informacijama. Ali shadow AI menja teren.
Rizik više ne dolazi samo spolja. Ne mora ga pokrenuti haker, konkurencija ili zlonameran insajder. Dovoljno je da zaposleni, u dobroj nameri, unese poverljive podatke u alat koji kompanija nije odobrila.
Na primer, zaposleni u sektoru prodaje želi da unapredi ponudu za velikog klijenta. U AI alat unosi naziv klijenta, cene, rokove, tehničke detalje, komercijalne uslove i internu strategiju pregovora. Njegova namera je da napiše bolji tekst. Međutim, iz ugla kompanije, možda je upravo došlo do neovlašćenog iznošenja poverljivih poslovnih informacija.
Slično se može dogoditi u pravnoj službi, kada se u AI alat unese nacrt ugovora. U HR sektoru, kada se obrađuju biografije kandidata. U sektoru korporativne bezbednosti, kada se u alat ubaci opis incidenta, plan obezbeđenja, procedura evakuacije ili zapisnik interne istrage.
Ovo je posebno važno za kompanije na Zapadnom Balkanu koje posluju sa međunarodnim klijentima, rade kao dobavljači za EU tržište ili obrađuju podatke stranih partnera. Incident nastao iz nepažljive upotrebe AI alata ne mora ostati samo interni problem. Može postati pitanje ugovorne odgovornosti, reputacije, zaštite podataka i poverenja klijenata.
Zašto zabrana nije dovoljna?
Najlakše je reći: zaposleni ne smeju da koriste AI alate. Ali to najčešće nije realno rešenje.
Veštačka inteligencija je već postala deo svakodnevnog rada. Zaposleni je koriste zato što im štedi vreme, pomaže da bolje pišu, analiziraju podatke, prevode tekstove, kreiraju izveštaje i rešavaju probleme. Ako kompanija samo zabrani AI bez objašnjenja i bez bezbedne alternative, upotreba se neće zaustaviti. Samo će se preseliti još dublje u senku.
Zato je bolji pristup kontrolisana upotreba.
Kompanija treba da objasni zaposlenima šta smeju da koriste, šta ne smeju da unose, koji alati su odobreni, ko odobrava nove alate i kada je obavezna provera pravnog, IT ili bezbednosnog sektora.
Drugim rečima, AI ne treba posmatrati samo kao tehnološko pitanje. To je pitanje upravljanja rizicima.
Prvi korak: saznajte gde se AI već koristi
Menadžment ne može doneti kvalitetnu odluku dok ne zna stvarno stanje. Zato prvi korak treba da bude mapiranje upotrebe AI alata u kompaniji.
To ne treba početi kao istraga, već kao otvoren razgovor. Cilj nije kažnjavanje zaposlenih, već razumevanje prakse koja se već događa.
Kompanija treba da postavi jednostavna pitanja:
Koje AI alate zaposleni koriste?
Da li ih koriste preko privatnih ili poslovnih naloga?
Koje vrste podataka unose?
Da li AI koriste za interne dokumente?
Da li AI rezultat utiče na poslovne odluke?
Da li se AI koristi u radu sa klijentima?
Da li se AI koristi za ugovore, ponude, tendere, HR podatke, finansije ili bezbednosne izveštaje?
Odgovori na ova pitanja često mogu iznenaditi menadžment. Mnoge kompanije misle da nisu uvele veštačku inteligenciju, a zapravo je koriste svakodnevno, samo neformalno.
Drugi korak: klasifikujte rizik
Nije svaka upotreba AI alata jednako rizična.
Ako zaposleni koristi AI da smisli ideju za opšti tekst, to nije isto kao kada u alat unosi ugovor sa klijentom. Ako marketing koristi AI za javnu objavu, to nije isto kao kada HR sektor koristi AI za obradu ličnih podataka kandidata. Ako IT koristi AI da razume opšti problem, to nije isto kao kada unosi poverljive delove koda, konfiguracije sistema ili pristupne podatke.
Zato kompanije treba da uvedu jednostavnu klasifikaciju.
Nizak rizik postoji kada se AI koristi za opšte ideje, javno dostupne informacije, stilsku obradu teksta ili edukaciju.
Srednji rizik postoji kada se koriste interni dokumenti koji nisu strogo poverljivi, ali ipak nisu namenjeni javnosti.
Visok rizik postoji kada se obrađuju ugovori, finansijski podaci, podaci klijenata, HR dokumentacija, tehničke specifikacije, izveštaji o incidentima i poslovne strategije.
Kritičan rizik postoji kada se u AI alat unose lozinke, pristupni ključevi, baze podataka, planovi obezbeđenja, snimci, informacije o ranjivostima, podaci o kritičnoj infrastrukturi ili dokumenti označeni kao poverljivi.
NIST okvir za upravljanje rizicima veštačke inteligencije zasniva se na funkcijama upravljanja, mapiranja, merenja i kontrole rizika, što je dobar model i za kompanije koje tek uvode osnovna pravila za AI.
Treći korak: uvedite jasna pravila za zaposlene
AI politika ne mora biti komplikovan dokument od pedeset strana. Za početak, važnije je da bude jasna, razumljiva i primenljiva.
Zaposleni treba da znaju nekoliko osnovnih stvari.
- Ne smeju unositi poverljive podatke u javne AI alate.
- Ne smeju unositi lične podatke zaposlenih, kandidata, klijenata ili partnera bez odobrenja.
- Ne smeju unositi ugovore, ponude, tendersku dokumentaciju, cene i poslovne strategije ako alat nije odobren.
- Ne smeju unositi lozinke, pristupne kodove, tehničke konfiguracije i podatke o ranjivostima.
- Ne smeju koristiti AI rezultat kao konačnu odluku bez ljudske provere.
Ova pravila treba povezati sa postojećim procedurama: zaštitom poslovne tajne, zaštitom podataka, pravilima rada, ugovorima sa klijentima, politikom sajber bezbednosti i procedurama korporativne bezbednosti.
Četvrti korak: čovek mora ostati odgovoran
Jedna od najvećih grešaka u upotrebi veštačke inteligencije jeste prepuštanje odluke alatu.
AI može pomoći u analizi. Može ubrzati pripremu dokumenta. Može ponuditi strukturu, predlog, prevod ili sažetak. Ali ne sme preuzeti odgovornost za odluke koje imaju pravne, finansijske, bezbednosne ili reputacione posledice.
Pravnik mora proveriti ugovor. HR stručnjak mora proveriti odluku koja se tiče kandidata ili zaposlenog. Menadžer bezbednosti mora proveriti izveštaj o incidentu. IT stručnjak mora proveriti tehnički predlog. Direktor mora razumeti osnov na kome se donosi poslovna odluka.
U Evropskoj uniji, AI Act već uvodi obaveze koje se odnose na AI pismenost, a Evropska komisija navodi da se te obaveze primenjuju od 2. februara 2025. godine. To je važno i za kompanije iz regiona koje sarađuju sa EU partnerima ili žele da svoje poslovanje usklade sa evropskim standardima.
Za menadžere bezbednosti to znači da će AI pismenost postati deo bezbednosne kulture. Kao što zaposleni moraju znati kako se postupa sa poverljivim dokumentima, službenim uređajima i poslovnim nalozima, moraće znati i kako se bezbedno koriste AI alati.
Peti korak: ponudite bezbednu alternativu
Ako kompanija želi da smanji shadow AI, ne sme zaposlenima samo reći šta je zabranjeno. Mora im ponuditi bezbedan način rada.
To može značiti uvođenje odobrenih AI alata, poslovnih naloga, internih pravila za anonimizaciju podataka, provere dobavljača, obuke zaposlenih i tehničkih kontrola koje sprečavaju unos najosetljivijih informacija.
Veće kompanije mogu koristiti napredna rešenja za sprečavanje curenja podataka, nadzor upotrebe aplikacija i kontrolu pristupa. Manje kompanije mogu početi jednostavnije: listom dozvoljenih alata, kratkim pravilnikom, obukom zaposlenih i jasnim pravilom da se poverljivi podaci ne unose u javne AI servise.
Najvažnije je da zaposleni ne budu ostavljeni sami da procenjuju rizik. Ako kompanija ne napravi pravila, zaposleni će ih napraviti sami, često bez dovoljno znanja o posledicama.
Šta nikada ne treba unositi u javne AI alate?
U javne i neodobrene AI alate ne treba unositi lozinke, pristupne tokene, API ključeve, ugovore sa poverljivim klauzulama, lične podatke zaposlenih i klijenata, finansijske izveštaje koji nisu javni, poslovne planove, tendersku dokumentaciju, podatke o incidentima, interne istrage, planove fizičkog obezbeđenja, snimke video nadzora, podatke iz sistema kontrole pristupa, tehničku dokumentaciju sistema zaštite i informacije o ranjivostima.
Ovo pravilo treba da bude jasno svakom zaposlenom, ne samo IT sektoru.
Zašto je ovo tema za korporativnu bezbednost?
Shadow AI se često posmatra kao tema za IT i sajber bezbednost. To jeste tačno, ali nije dovoljno.
Kada zaposleni unese poverljiv ugovor u AI alat, to je pravni rizik. Kada unese podatke kandidata, to je HR i rizik zaštite podataka. Kada unese plan obezbeđenja objekta, to je rizik fizičke bezbednosti. Kada unese poslovnu strategiju, to je rizik za konkurentnost. Kada koristi AI rezultat bez provere, to je rizik upravljanja.
Zato menadžer bezbednosti mora biti deo razgovora o AI pravilima. Ne kao neko ko će zabraniti tehnologiju, već kao osoba koja razume posledice, procenjuje rizik i povezuje različite sektore u kompaniji.
Upravljanje shadow AI zahteva saradnju IT sektora, pravne službe, HR sektora, menadžmenta, compliance funkcije i korporativne bezbednosti. Nijedan sektor ne može sam rešiti problem.
Zapadni Balkan i AI realnost
Kompanije u regionu sve više posluju digitalno, rade sa međunarodnim klijentima, koriste cloud servise, razvijaju softver, pružaju usluge podrške, upravljaju logističkim lancima i obrađuju velike količine podataka. Veštačka inteligencija će u takvom okruženju postati normalan deo rada.
Srbija je usvojila Strategiju razvoja veštačke inteligencije za period 2025 do 2030, što pokazuje da se AI prepoznaje kao važan pravac razvoja, inovacija i digitalne ekonomije.
Ali razvoj tehnologije mora pratiti razvoj bezbednosne kulture. Ako kompanije ne uvedu pravila na vreme, shadow AI može postati isti problem kao nekada neodobreni cloud servisi, privatni USB uređaji, deljenje lozinki i korišćenje privatnih mejlova za poslovnu komunikaciju.
Samo što su posledice sada brže, šire i teže za praćenje.
Novi zadatak menadžera bezbednosti
Menadžeri bezbednosti treba da postave nekoliko konkretnih pitanja upravi:
- Da li znamo koje AI alate koriste naši zaposleni?
- Da li imamo pravila za unos podataka u AI sisteme?
- Da li znamo koji sektori najviše koriste AI?
- Da li su pravna služba i HR uključeni u procenu rizika?
- Da li zaposleni znaju šta je poslovna tajna u kontekstu AI alata?
- Da li imamo odobrene alate ili zaposleni koriste šta god im je dostupno?
- Da li se AI koristi u procesima koji utiču na ljude, novac, bezbednost ili reputaciju?
Ako kompanija ne zna odgovore, to je znak da shadow AI već postoji kao slepi ugao.
Zaključak
Shadow AI nije problem budućnosti. On se već dešava u kancelarijama, prodajnim timovima, pravnim službama, HR sektorima, IT odeljenjima i bezbednosnim funkcijama.
Zaposleni ne koriste AI zato što žele da ugroze kompaniju. Koriste ga zato što žele da rade brže, bolje i efikasnije. Upravo zato odgovor ne sme biti samo zabrana. Potrebna su pravila, obuka, nadzor, odgovornost i bezbedne alternative.
Za kompanije na Zapadnom Balkanu, ovo je trenutak da na vreme urede upotrebu veštačke inteligencije. Oni koji to urade sada, imaće prednost pred konkurencijom, veće poverenje klijenata i bolju kontrolu nad poslovnim rizicima.
Menadžeri bezbednosti imaju važnu ulogu u tom procesu. Njihov zadatak nije da zaustave tehnologiju, već da spreče da ona postane nevidljivi kanal za curenje podataka, pogrešne odluke i reputacione incidente.
Shadow AI je novi slepi ugao korporativne bezbednosti. A svaki slepi ugao postaje opasan tek onda kada se predugo ignoriše.
