Do Shadow IT ao Shadow AI: o perigo do uso não autorizado de IA nas empresas

Este termo refere-se à utilização não autorizada de ferramentas e tecnologias de IA dentro das empresas, frequentemente sem o conhecimento ou supervisão dos departamentos de TI. Esta prática é uma evolução do conceito de Shadow IT, onde os colaboradores utilizavam soluções tecnológicas sem aprovação formal para satisfazer as suas necessidades. No entanto, a Shadow AI introduz uma série de complexidades e riscos que exigem atenção imediata por parte dos líderes empresariais e dos profissionais de TI.

Dados recentes sublinham a urgência deste problema. De acordo com um relatório da Cyberhaven, houve um aumento de 485% na quantidade de dados corporativos inseridos em ferramentas de IA entre março de 2023 e março de 2024. A previsão da Gartner sugere que até 2027, 75% dos funcionários utilizarão IA para aumentar a eficiência sem qualquer supervisão do departamento de TI. Este crescimento exponencial das atividades de Shadow AI destaca a necessidade de as organizações abordarem essa questão de forma proativa para garantir segurança e conformidade.

A Shadow AI pode assumir várias formas dentro de uma organização. Os funcionários podem usar ferramentas populares de IA, como o ChatGPT, para ajudar em tarefas como redigir e-mails, gerar relatórios ou no desenvolvimento de aplicações. Embora essas ferramentas possam aumentar a produtividade, o seu uso sem supervisão, visibilidade e controlo adequados pode levar a riscos significativos, representando uma séria ameaça à segurança e à conformidade das organizações.

Os riscos da Shadow AI

Um dos principais riscos associados à Shadow AI é o potencial de violação de dados sensíveis. Por exemplo, os dados introduzidos numa ferramenta como a versão gratuita ou pessoal do ChatGPT podem ser utilizados para treinar modelos futuros, o que pode levar à divulgação não intencional de informação sensível.

Vários incidentes de grande visibilidade evidenciam estes riscos. A Samsung, por exemplo, proibiu a utilização do ChatGPT e de outros chatbots alimentados por IA pelos seus funcionários, depois de ter descoberto uma fuga acidental de código fonte interno. Do mesmo modo, a Amazon avisou os seus funcionários para não partilharem qualquer código ou informações confidenciais com o ChatGPT, na sequência de relatos de respostas que se assemelhavam a dados internos da empresa.

Outro exemplo é o da  JPMorgan Chase que restringiu fortemente a utilização do ChatGPT devido a preocupações com potenciais riscos regulamentares relacionados com a partilha de informações financeiras sensíveis.

Além disso, a Shadow AI pode introduzir novas vulnerabilidades, como os ataques de prompt injection, onde textos ocultos em documentos processados por chatbots podem desencadear consequências indesejadas. Ferramentas como o GitHub Copilot, já usadas para gerar quase metade do código por alguns programadores, podem inadvertidamente produzir códigos com vulnerabilidades perigosas, aumentando ainda mais os riscos.

Identificar e gerir Shadow AI

A formação dos colaboradores desempenha um papel crucial na mitigação dos riscos da Shadow AI. Devemos educar as equipas sobre práticas seguras na utilização da IA generativa e fornecer orientações claras sobre quando e como estas podem ser usadas com segurança. Evitar a utilização inadvertida de soluções de IA não geridas garante que os funcionários estejam cientes dos riscos e das melhores práticas.

O estabelecimento de frameworks centralizadas de governo de IA é essencial para evitar a sua utilização não autorizada. Uma combinação de consciencialização e políticas de IA mais claras pode ajudar a criar proteções contra a Shadow AI. As organizações devem realizar auditorias para entender os dados que possuem, atualizar as permissões para garantir que apenas funcionários autorizados tenham acesso a informação potencialmente sensível bem como rotular e cifrar dados confidenciais para evitar que sejam enviados a modelos de IA sem autorização.

A implementação destas estratégias garante que os funcionários têm o conhecimento e as ferramentas de que necessitam para utilizar a IA de forma segura e sensata, mantendo ao mesmo tempo boas práticas de governação de dados.

As organizações devem também equilibrar a necessidade de inovação com a de manter o controlo sobre este tipo de ferramentas. Promovendo uma cultura de transparência, de comunicação contínua e uso responsável da IA incentiva os funcionários a inovar sem expor a empresa a riscos excessivos, relatando quaisquer preocupações num ambiente aberto.

O aumento da Shadow AI apresenta riscos e desafios significativos para as organizações. Violações de segurança de dados, problemas de conformidade e privacidade e novas vulnerabilidades estão entre as principais preocupações associadas ao uso não sancionado de ferramentas de IA. Para proteger a integridade organizacional e garantir a utilização segura e eficaz da inteligência artificial no atual panorama tecnológico em rápida evolução, as organizações devem adotar uma abordagem holística que inclua componentes técnicos, estratégicos e educacionais.

As medidas proativas, como a educação e a sensibilização dos funcionários, as estratégias de política e governação, a monitorização ativa e o equilíbrio entre inovação e controlo são essenciais para gerir os riscos da Shadow AI.