Ar kada nors skubėdami naudojotės nemokamu internetiniu įrankiu, kad greitai paverstumėte PDF dokumentą į „Word“ formatą, ar sujungtumėte kelis PDF į vieną? O gal jūsų įmonėje įdiegtas dirbtinio intelekto įrankis „Copilot“, bet jūs vis tiek tyliai naudojate „ChatGPT“?
Marijus Strončikas / Altic IT“
Jūs ne vieni – skaičiuojama, kad net iki 70 proc. darbuotojų faktą apie naudojamus DI įrankius slepia nuo savo vadovų. Kodėl darbuotojai rizikuoja savo ir įmonės duomenų saugumu naudodami nepatvirtintas programas, kokios realios grėsmės slypi už šio „šešėlinio IT“ ir ar įmanoma darbdaviams užkirsti tam kelią?
„Šešėlinis IT“ – masinė problema
Bendrovės „Altic IT“ vadovas Marijus Strončikas pasakoja, kad nors įmonės stengiasi centralizuoti IT valdymą, darbuotojų saviveikla išlieka masinė – neoficialūs įrankiai gali sudaryti iki pusės visos įmonėje naudojamos programinės įrangos.
„Situacija, kai darbuotojai naudoja programinę įrangą ar išorines IT paslaugas be IT skyriaus žinios ar leidimo, vadinama „šešėliniu IT“. To išvengti neįmanoma, skiriasi tik proporcija įmonėse – kiek „šešėlinio“, o kiek oficialus IT naudojama. Pagal tarptautinius tyrimus, mastas įmonėse skirtingas, bet dažnai skaičiuojama, kad apie 40–50 proc. darbuotojų naudojamų įrankių būna nepatvirtinti IT“, – sako M. Strončikas.
Pasak jo, dažniausiai darbuotojai renkasi kitus įrankius nei instaliuoti jų kompiuteriuose, nes „nori dirbti greičiau ir efektyviau“. Kita dažna priežastis – kai jiems reikalingų įrankių įsigijimas įmonėje yra per lėtas ar nuolat atidėliojamas.
Nuo „ChatGPT“ iki „ilovepdf“: populiariausi nelegalūs įrankiai
Nors „šešėlinis IT“ apima daugybę sričių, pastaraisiais metais stebimas ryškus lūžis – į sąrašo viršūnę įsiveržė dirbtinis intelektas.
„Pagal naujausius tarptautinius tyrimus, numeris vienas „šešėliniu“ įrankiu tapo dirbtinis intelektas, konkrečiai – „ChatGPT“. Įdomus faktas, kad apie 70 proc. „ChatGPT“ naudotojų šį faktą slepia nuo savo darbdavio. Po jo seka failų dalijimosi platformos kaip „Google Drive“, „Dropbox“ ar „WeTransfer“, komunikacijos programėlės „WhatsApp“, „Telegram“, „Signal“, bei projektų valdymo įrankiai kaip „Trello“ ar „Asana“. Lietuvoje darbuotojai taip pat mėgsta „ilovepdf“, kuriuo naudojasi norėdami greitai sutvarkyti dokumentus, nepagalvodami apie saugumą“, – vardija M. Strončikas.
Dokumentų konvertavimas internetu atrodo nekaltas veiksmas, tačiau tai yra viena iš didelių saugumo skylių, per kurią nuteka jautrūs įmonės duomenys.
„Darbuotojo įkeltas įmonės failas, dažnu atveju – konfidencialus, ir dar su asmens duomenimis, patenka į to įrankio saugyklą „kažkur debesyje“. Neaišku, kur ji yra, kaip saugoma, ar koduojama, kas bus toliau daroma su jūsų įkeltais duomenimis, kai uždarysite naršyklę – ar informacija bus ištrinta ir nepateks piktavaliams į rankas – jokios garantijos“, – teigia M. Strončikas.
Milžiniškos baudos ir prarasta kontrolė: kaina, kurią moka verslas
Tai, kas darbuotojui atrodo kaip nekaltas būdas greičiau atlikti užduotį, įmonės vadovams gali virsti finansiniu ir teisiniu košmaru.
„Didžiausia problema – saugumo rizikos. Duomenys keliauja per jų saugos neužtikrinančias sistemas, todėl gali nutekėti tiek įmonės, tiek klientų informacija, finansiniai duomenys ar intelektinė nuosavybė. Pavyzdžiui, darbuotojui nusiuntus kontaktų sąrašus ar sutartį į asmeninį „Gmail“, įmonė jau nebeturės kontrolės, kur tie duomenys nukeliaus toliau. Tai ne tik įmonės konfidencialumo pažeidimas. Pagal BDAR reikalavimus, privaloma tiksliai žinoti, kur saugomi asmens duomenys, o jų patekimas į neapsaugotą vietą ar įrankį reiškia pažeidimą, už kurį gresia milžiniškos baudos“, – įspėja M. Strončikas.
Be teisinės atsakomybės, verslas gali patirti ir tiesioginių nuostolių: svarbi įmonės informacija išsiskaido skirtingose sistemose, o darbuotojui išėjus iš darbo, pavyzdžiui, visa projektų valdymo istorija lieka jo asmeninėse paskyrose. Taip pat įmonės dažnai moka už dubliuotas licencijas, kai investuojama į „Teams“ ar „OneDrive“, bet darbuotojai savarankiškai naudoja mokamus „Zoom“ ar „WeTransfer“ įrankius.
Kaip pastebėti „šešėlinį IT“ ir užtikrinti, kad darbuotojai jo nenaudotų?
Nors „šešėlinis IT“ dažnai vyksta tyliai, techninių galimybių jį identifikuoti yra – nuo specializuotų sprendimų iki kasdienės IT infrastruktūros stebėsenos. Tačiau kad nekiltų dvejonių dėl privatumo, turi būti aiškiai apibrėžtos darbo priemonių naudojimo taisyklės.
„Pastebėti neleistinus įrankius padeda tiek duomenų praradimo prevencijos (DLP) sistemos, tiek standartinė IT infrastruktūros stebėsena, pavyzdžiui, interneto naudojimo įrašai. Svarbu, kad įmonė turėtų aiškias taisykles: kai darbuotojai žino, jog darbo priemonės skirtos darbui ir darbdaviai vykdo jų kontrolę, tuomet klausimų dėl „neteisėto sekimo“ nekyla“, – teigia M. Strončikas.
Pasak jo, populiariausių programų „nusikaltėlių“ sąrašas rodo, kad darbuotojai dažniausiai ieško ne sudėtingų programų, o paprastų sprendimų tekstų rašymui, dizainui, ar greitam apsikeitimui informacija, kurie dažnai patogesni už įmonės siūlomus oficialius įrankius. Tad užuot taikiusios griežtus draudimus, įmonės, visų pirma, turėtų ieškoti būdų, kaip suprasti darbuotojų poreikius ir juos integruoti į saugią IT infrastruktūrą.
„Pirmiausia reiktų išsiaiškinti ir suprasti, kodėl darbuotojai renkasi šešėlinius įrankius. Gal dalis turimų IT įrankių nepakankami darbui. Tai reiktų išspręsti pirmiausia, kad padėtumėte darbuotojams būti efektyvesniems. O iniciatyvius darbuotojus reikia skatinti ir būtinai įtraukti į naujų įmonės IT įrankių pasirinkimo procesą“, – pabaigia M. Strončikas.
