Η ταχύτητα με την οποία η Τεχνητή Νοημοσύνη ενσωματώθηκε στην εργασιακή καθημερινότητα ξεπέρασε κάθε πρόβλεψη, δημιουργώντας μια νέα, αόρατη πρόκληση για τη διοίκηση των επιχειρήσεων. Σήμερα, το διακύβευμα δεν είναι η υιοθέτηση της τεχνολογίας, αλλά η διατήρηση του ελέγχου πάνω στα εταιρικά δεδομένα που «τροφοδοτούν» καθημερινά τρίτες πλατφόρμες, συχνά χωρίς ορατότητα, χωρίς κανόνες και χωρίς αποδεικτικά στοιχεία ελέγχου.
Γράφει ο Ανδρέας Καραντώνης, Marketing & Communication Director, Channel IT Ltd.
Το χάσμα αντίληψης και η «κραυγή» για παραγωγικότητα
Μια πρόσφατη έρευνα* της ManageEngine σε οργανισμούς των ΗΠΑ και του Καναδά δείχνει ότι το 70% των IT decision-makers έχει ήδη εντοπίσει μη εξουσιοδοτημένη χρήση AI εργαλείων. Ακόμη πιο αποκαλυπτικό είναι ότι το 93% των εργαζομένων παραδέχεται πως εισήγαγε πληροφορίες σε AI εργαλείο χωρίς έγκριση. Το Shadow AI δεν είναι θεωρία ή «μελλοντικός κίνδυνος». Είναι μια επιχειρησιακή πραγματικότητα που εξελίσσεται σε περιοχές όπου η ορατότητα της διοίκησης συχνά δεν φτάνει.
Το πιο επικίνδυνο στοιχείο δεν είναι ότι οι εργαζόμενοι πειραματίζονται. Είναι το κενό αντίληψης ανάμεσα σε αυτούς που διαχειρίζονται τον κίνδυνο και σε αυτούς που τον τροφοδοτούν, συχνά χωρίς πρόθεση. Η έρευνα δείχνει ότι ένα μεγάλο μέρος των εργαζομένων εμπιστεύεται τυφλά τα μη εγκεκριμένα εργαλεία, θεωρώντας το ρίσκο από τη χρήση τους μηδαμινό. Όταν όμως κυριαρχεί η πεποίθηση ότι «δεν τρέχει κάτι», οι πολιτικές ασφαλείας δεν εφαρμόζονται στην πράξη, αλλά παραμένουν ως απλά έγγραφα στο συρτάρι.
Γιατί η απαγόρευση είναι μια χαμένη μάχη
Το Shadow AI δεν μοιάζει με το Shadow IT της προηγούμενης δεκαετίας. Το Shadow IT άφηνε ίχνη. Τιμολόγια, εγκαταστάσεις λογισμικών, νέα SaaS subscriptions. Το Shadow AI είναι σχεδόν «άυλο». Αρκεί ένα browser session, ένας προσωπικός λογαριασμός ή μια ατομική συσκευή. Η συνηθέστερη δικαιολογία των χρηστών, «χρησιμοποίησα τη δική μου συσκευή, άρα νόμιζα ότι είναι εντάξει», αναδεικνύει την απουσία σαφών διαδικασιών. Αν σε ένα τέτοιο περιβάλλον πας με καθολικό «block», το πιο πιθανό είναι να μεταφέρεις τη χρήση εκτός ορατότητας. Άρα δεν μειώνεις το ρίσκο. Απλώς χάνεις την εικόνα.
Και το ρίσκο είναι μετρήσιμο. Πάνω από το ένα τρίτο των εργαζομένων παραδέχεται ότι έχει μοιραστεί ευαίσθητες πληροφορίες με μη εγκεκριμένα AI εργαλεία. Στα πιο «σκληρά» παραδείγματα, εργαζόμενοι δηλώνουν ότι μοιράστηκαν εσωτερικά έγγραφα στρατηγικής ή οικονομικά στοιχεία, μη δημόσια πληροφορία προϊόντων ή ακόμα και εμπιστευτικές πληροφορίες πελατών. Αυτά δεν είναι «λάθη χρήσης». Είναι διοικητική έκθεση.
Από την απαγόρευση στην εξορθολογισμένη χρήση
Η σωστή κατεύθυνση δεν είναι να κυνηγάς κάθε νέα AI εφαρμογή. Είναι να μεταφέρεις τη χρήση από τη σκιά στο φως, με κανόνες και τεχνικό έλεγχο. Αυτό απαιτεί δύο πράγματα που συχνά λείπουν. Ταχύτητα και σαφήνεια.
Πρώτα, χαρτογράφηση χρήσης. Ποια εργαλεία χρησιμοποιούνται, από ποια τμήματα, και για ποιο σκοπό. Μετά, κανόνες δεδομένων. Τι επιτρέπεται να μπαίνει σε prompts. Τι απαγορεύεται. Πότε απαιτείται ανωνυμοποίηση. Ποιος εγκρίνει και με ποια διαδικασία. Και τέλος, απόδειξη ελέγχου. Ποιος είχε πρόσβαση. Τι έγινε. Πότε έγινε. Πού καταγράφηκε. Και πώς ανακαλείται άμεσα μια πρόσβαση ή μια δυνατότητα που παραβιάζει την πολιτική.
Το κεντρικό πρόβλημα παραμένει στην εφαρμογή. Ενώ το 91% των οργανισμών δηλώνει ότι διαθέτει πολιτικές AI governance, μόλις οι μισοί επιβεβαιώνουν ότι αυτές εφαρμόζονται με ενεργή επιτήρηση. Αυτή ακριβώς την απόσταση ανάμεσα στην υιοθέτηση πολιτικών και την εφαρμογή τους, καλείται να εκμηδενίσει η διοίκηση.
Ο ρόλος του CISO και η τεχνολογική θωράκιση
Ο CISO και οι IT decision-makers οφείλουν να μετεξελιχθούν από «φύλακες της πύλης» σε αρχιτέκτονες ενός επίσημου, ασφαλούς οικοσυστήματος AI που θα είναι πιο ελκυστικό από οποιοδήποτε «σκιώδες» εργαλείο. Σε αυτό το μοντέλο, η τεχνολογία λειτουργεί ως ο μηχανισμός ελέγχου που δίνει ορατότητα στα logs, διασφαλίζει τις ταυτότητες και επιβάλλει πολιτικές στα endpoints. Στο οικοσύστημα της ManageEngine, αυτό μπορεί να υποστηριχθεί ενδεικτικά με Log360 για ορατότητα και αναφορές, ADSelfService Plus για MFA και έλεγχο πρόσβασης, Endpoint Central για έλεγχο τερματικών. Το κρίσιμο όμως δεν είναι το όνομα της πλατφόρμας. Είναι το οργανωτικό μοντέλο. Σαφείς κανόνες. Σαφής ιδιοκτησία. Μετρήσιμος έλεγχος.
Ο οδικός χάρτης για την επόμενη ημέρα
Το Shadow AI ισορροπεί πάνω σε μια λεπτή γραμμή. Από τη μία, καλύπτει μια πραγματική ανάγκη για ταχύτητα και παραγωγικότητα. Από την άλλη, δημιουργεί ανεξέλεγκτη ροή δεδομένων προς πλατφόρμες που ο οργανισμός δεν έχει αξιολογήσει ούτε ελέγχει.
Ταυτόχρονα, είναι και ένα σαφές σύμπτωμα ότι η στρατηγική, τα εργαλεία και οι διαδικασίες δεν συμβαδίζουν με τις ανάγκες των ανθρώπων που καλούνται να παραδώσουν αποτέλεσμα.
Η επιτυχία της διοίκησης και του οργανισμού συνολικά θα κριθεί από την ικανότητά τους να μετατρέψουν το αυθόρμητο AI adoption σε συγκροτημένο AI governance. Δηλαδή να το αξιοποιήσουν χωρίς να χάσουν έλεγχο σε δεδομένα, πρόσβαση και λογοδοσία. Με επίσημα κανάλια χρήσης και σαφείς κανόνες δεδομένων, η καινοτομία παραμένει εντός πλαισίου και η παραγωγικότητα παύει να λειτουργεί ως «δούρειος ίππος» μιας μελλοντικής κρίσης.
Διαβάστε επίσης: NIS2 και κυπριακές επιχειρήσεις: Από τη συμμόρφωση στην επιχειρησιακή ανθεκτικότητα
* Πηγή: ManageEngine, The Shadow AI Surge in Enterprises. Insights from the U.S. and Canadian Workplace, May 2025.
