Shadow AI ภัยเงียบคุกคามองค์กร เสี่ยงข้อมูลรั่วหากไอทีตามไม่ทัน
การใช้ AI โดยไม่ได้รับอนุญาตจากแผนกไอทีหรือที่เรียกว่า “การแอบใช้ AI (Shadow AI)” กำลังกลายเป็นความท้าทายครั้งใหญ่ขององค์กรทั่วโลก โดยรายงานล่าสุดจาก ManageEngine เปิดเผยว่า พนักงานขององค์กรในอเมริกาและแคนาดาจำนวนมากเลือกใช้เครื่องมือ AI เช่น ChatGPT, Gemini หรือ Copilot โดยไม่แจ้งหรือไม่ผ่านการอนุมัติจากฝ่ายไอที ทั้งที่องค์กรส่วนใหญ่ต่างก็มีนโยบายควบคุมการใช้เทคโนโลยีเหล่านี้อยู่แล้ว
แม้องค์กรจะพยายามออกนโยบายการใช้ AI อย่างเป็นทางการ แต่ 70% ของผู้บริหารฝ่ายไอทีกลับตรวจพบว่า มีพนักงานใช้เครื่องมือ AI นอกระบบโดยไม่ได้รับอนุญาต และยิ่งน่าตกใจกว่านั้นคือ พนักงานกว่า 93% ยอมรับว่าเคยป้อนข้อมูลลงในระบบ AI โดยไม่แจ้งฝ่ายไอที และ 60% บอกว่าใช้เครื่องมือเหล่านี้บ่อยขึ้นในช่วงปีที่ผ่านมา
การเพิ่มขึ้นของการใช้ AI โดยไม่ได้รับอนุญาต
Shadow AI ได้แทรกซึมเข้าสู่องค์กรในอย่างเงียบๆ สร้างช่องโหว่ที่แม้แต่ผู้บริหารไอทีที่มีความรอบคอบ และมีกฎเกณฑ์และเครื่องมือที่พร้อม ก็ยังตรวจสอบไม่พบ
แต่การใช้ Shadow AI กลับกลายเป็นเรื่องปกติ โดย 70% ของผู้บริหารฝ่ายไอทีระบุว่าพบการใช้ AI โดยไม่ได้รับอนุญาตภายในองค์กรของตน และเห็นว่ามี “ความเสี่ยงสำคัญคือข้อมูลรั่วไหล”
แต่กลับกัน 91% ของพนักงานมองว่า Shadow AI มีความเสี่ยงน้อยหรือแทบไม่มีความเสี่ยง และผลประโยชน์ที่ได้มีค่ามากกว่าความเสี่ยงเหล่านั้น
งานที่พนักงานใช้ Shadow AI มากที่สุด ได้แก่ การสรุปบันทึกการประชุมหรือโทรศัพท์ คิดไอเดียใหม่ และวิเคราะห์ข้อมูลหรือจัดทำรายงาน
ส่วนเครื่องมือ AI ที่ฝ่ายไอทีอนุมัติให้ใช้ เช่น เครื่องมือ GenAI ด้านข้อความ เครื่องมือช่วยเขียนเนื้อหา และผู้ช่วยเขียนโค้ด
ช่องว่างของ Shadow AI ที่องค์กรต้องเร่งปิด
เพื่อเปลี่ยน Shadow AI จากภาระให้เป็นข้อได้เปรียบเชิงกลยุทธ์ ผู้นำไอทีต้องแก้ไขช่องว่างด้านการตะหนักเรื่อง AI การมองเห็น และการกำกับดูแลที่รายงานได้ชี้ให้เห็น ปัญหาหลักคือขาดความรู้เกี่ยวกับการฝึกโมเดล AI พฤติกรรมการใช้งานที่ปลอดภัย และผลกระทบต่อองค์กร ซึ่งส่งผลให้เกิดการใช้งานที่ผิดวิธีอย่างเป็นระบบ
แม้ทีมไอทีจะพยายามอนุมัติและผนวกเครื่องมือ AI ใหม่ๆ เข้าในระบบองค์กรอย่างรวดเร็ว แต่ช่องว่างที่เกิดขึ้นยังเพิ่มขึ้นเรื่อยๆ เนื่องจากการบังคับใช้กฎเกณฑ์อย่างเข้มงวดยังไม่เพียงพอ
มีรายงานว่าพนักงานนำ AI มาใช้เร็วกว่าที่ฝ่ายไอทีจะตรวจสอบพบถึง 85% พนักงาน 32% เคยป้อนข้อมูลลับของลูกค้าโดยไม่ขออนุมัติ และ 37% เคยป้อนข้อมูลภายในองค์กรที่เป็นความลับ
53% ของผู้บริหารฝ่ายไอทีเห็นว่าการที่พนักงานใช้ AI บนอุปกรณ์ส่วนตัวสร้างช่องโหว่ด้านความปลอดภัยในองค์กร และมีเพียง 54% ขององค์กรที่มีนโยบายกำกับดูแล AI และติดตามการใช้ AI ที่ไม่ได้รับอนุญาตอย่างจริงจัง
ความขัดแย้งระหว่างไอทีกับพนักงาน: เมื่อ “AI ดีๆ” กลายเป็นเรื่องต้องห้าม
ประเด็นหนึ่งที่สร้างความท้าทายอย่างมาก คือความขัดแย้งระหว่างฝ่ายไอทีกับพนักงานเกี่ยวกับการใช้ AI
ซึ่งฝ่ายพนักงานมองว่า AI คือเครื่องมือทรงพลังที่ช่วยให้ทำงานได้รวดเร็วขึ้นและมีประสิทธิผลมากขึ้น หลายคนยอมรับว่าการใช้ AI ทำให้จัดการงานซับซ้อนหรือซ้ำซ้อนได้ง่ายขึ้น ช่วยสรุปงานและคิดไอเดียใหม่ๆ ได้อย่างรวดเร็ว
ในขณะที่ฝ่ายไอทีมองเรื่องความปลอดภัยและความเสี่ยงของข้อมูลเป็นสำคัญ จึงตั้งข้อจำกัดและควบคุมการใช้งานอย่างเข้มงวด ทำให้องค์กรหลายแห่งกลายเป็นพื้นที่ที่ AI “ดีๆ” กลายเป็นสิ่งต้องห้ามหรือเข้าถึงได้ยากสำหรับพนักงาน
ผลคือพนักงานบางส่วนเลือก “แอบ” ใช้งาน AI นอกระบบหรือเครื่องมือที่ไม่ผ่านการตรวจสอบ เพื่อให้ได้ความสะดวกและประสิทธิภาพที่ต้องการ ในขณะที่ฝ่ายไอทีต้องเผชิญกับความท้าทายในการรักษาความปลอดภัยข้อมูล และต้องพยายามสร้างความเข้าใจร่วมกันเพื่อหาทางออกที่สมดุล
แนวทางจัดการ Shadow AI เพื่อสร้างความปลอดภัยและประสิทธิภาพ
เพื่อแก้ปัญหาดังกล่าว ผู้บริหารฝ่ายไอทีควรปรับเปลี่ยนแนวทางจากการ “ควบคุมอย่างเข้มงวด” มาเป็นการ “ออกแบบระบบ AI ให้รองรับการใช้งานจริง” โดยการจัดหาเครื่องมือ AI ที่ผ่านการรับรองและปลอดภัยไว้ให้พนักงานใช้ รวมทั้งจัดอบรมและสื่อสารถึงความเสี่ยงและข้อจำกัดของการใช้งาน AI อย่างถูกต้อง
นอกจากนี้ การกำหนดนโยบายที่ยืดหยุ่นและเป็นธรรมจะช่วยสร้างความร่วมมือระหว่างฝ่ายไอทีและพนักงาน อีกทั้งการสร้างวัฒนธรรมองค์กรที่เน้นความปลอดภัยข้อมูลควบคู่กับนวัตกรรม จะช่วยให้องค์กรใช้ประโยชน์จาก AI ได้อย่างเต็มที่โดยไม่เสี่ยงต่อข้อมูลรั่วไหล
ในทางเทคนิค องค์กรควรใช้เครื่องมือหลากหลายประเภทเข้ามาร่วมจัดการ ตั้งแต่ระบบควบคุมการเข้าถึงบริการคลาวด์ เครื่องมือตรวจจับและป้องกันการรั่วไหลของข้อมูล ไปจนถึงระบบติดตามการใช้งาน AI ทั้งในระดับเบราว์เซอร์และอุปกรณ์ การมีระบบเหล่านี้จะช่วยให้องค์กรมองเห็นการใช้ AI อย่างรอบด้าน ควบคุมความเสี่ยงได้มากขึ้น และเสริมความมั่นใจให้ฝ่ายไอทีสามารถทำหน้าที่เชิงรุกแทนการตั้งรับ
Shadow AI จึงไม่ใช่แค่ภัยคุกคามที่ต้องจำกัดการใช้ แต่เป็นสัญญาณเตือนให้องค์กรปรับตัว และสร้างระบบนิเวศ AI ที่โปร่งใส ปลอดภัย และตอบโจทย์การทำงานจริงในยุคดิจิทัลอย่างแท้จริง