Back to blog
Zabezpečení
7 min

Shadow AI: Jak zaměstnanci používající neoprávněné AI nástroje unikají firemní data

Zaměstnanci denně vkládají důvěrné informace do ChatGPT, Claude a dalších AI nástrojů. Seznamte se s riziky shadow AI a jak chránit citlivé obchodní údaje.

LOCK.PUB

Shadow AI: Jak zaměstnanci používající neoprávněné AI nástroje unikají firemní data

Inženýr Samsungu vkládá proprietární kód polovodičů do ChatGPT. Právník nahrává důvěrnou fúzní smlouvu do Claude. Finanční analytik zadává čtvrtletní zisky do AI nástroje před veřejným oznámením.

To nejsou hypotetické scénáře. Jsou to zdokumentované incidenty pouze z roku 2025 — a představují pouze viditelnou špičku ledovce shadow AI, který ohrožuje podniky po celém světě.

Co je Shadow AI?

Shadow AI označuje zaměstnance používající AI nástroje — ChatGPT, Claude, Gemini, Copilot a desítky dalších — bez schválení nebo dohledu IT. Na rozdíl od shadow IT (neoprávněný software) nese shadow AI jedinečná rizika, protože tyto nástroje jsou navrženy tak, aby se učily ze vstupů.

Rozsah problému

Podle průzkumů podniků z let 2025-2026:

  • 68 % zaměstnanců použilo AI nástroje pro pracovní úkoly
  • 52 % je použilo bez svolení společnosti
  • 44 % vložilo důvěrné informace do AI chatbotů
  • Pouze 27 % společností má formální zásady používání AI

Jak unikají firemní data prostřednictvím AI nástrojů

1. Přímé zadání důvěrných informací

Zaměstnanci rutinně vkládají do AI nástrojů:

  • Zdrojový kód — včetně proprietárních algoritmů a API klíčů
  • Finanční data — výkazy zisků, prognózy, detaily M&A
  • Zákaznické informace — PII, údaje o účtu, komunikace
  • Právní dokumenty — smlouvy, litigační strategie, privilegovaná komunikace
  • HR data — platy, hodnocení výkonu, plány ukončení pracovního poměru
  • Strategické plány — produktové roadmapy, konkurenční analýzy, cenové strategie

2. Otázka trénovacích dat

Co se stane s daty, když je zadáte do AI nástrojů?

Služba Výchozí zásada trénování Enterprise úroveň
ChatGPT Free Použito pro trénování N/A
ChatGPT Plus Opt-out dostupný Team/Enterprise: Bez trénování
Claude Nepoužito pro trénování Nepoužito pro trénování
Gemini Použito pro vylepšení služeb Workspace: Konfigurovatelné
Copilot Závisí na úrovni Enterprise: Bez trénování

I když data nejsou použita pro trénování, mohou být:

  • Uložena v logách
  • Kontrolována lidskými moderátory
  • Předmětem soudního příkazu
  • Zranitelná vůči narušením

3. AI nástroje třetích stran a pluginy

Riziko se znásobuje s:

  • Rozšířeními prohlížeče využívajícími AI
  • AI asistenty psaní
  • Nástroji pro dokončování kódu
  • Službami přepisu schůzek
  • AI analyzátory dokumentů

Mnoho z těchto nástrojů má neprůhledné praktiky zpracování dat. To "užitečné" rozšíření Chrome může odesílat každý dokument, který otevřete, na servery v zahraničí.

Skutečné incidenty Shadow AI (2025-2026)

Únik polovodičů Samsungu (2025)

Inženýři Samsungu vložili proprietární kód návrhu čipu a interní poznámky ze schůzek do ChatGPT. Data vstoupila do trénovacího pipeline OpenAI dříve, než společnost pochopila, co se stalo.

Výsledek: Samsung zakázal ChatGPT, poté se snažil vytvořit interní AI nástroje.

Porušení důvěrnosti právnické firmy (2025)

Právníci velké firmy použili AI k vytvoření podání pro případ fúze. Důvěrné podmínky dohody, které vložili, se staly potenciálně zjistitelné, protože podmínky AI nástroje umožňovaly lidské kontrole.

Výsledek: Etické vyšetřování, vyžadováno oznámení klientovi.

Expozice zdravotních dat (2025)

Správci nemocnice použili AI chatboty k shrnutí záznamů pacientů pro zprávy. Ačkoli měli v úmyslu anonymizovat data, zahrnuli dostatek kontextu pro opětovnou identifikaci.

Výsledek: Potenciální porušení HIPAA vyšetřováno.

Únik finančních informací před zveřejněním zisků (2025)

Finanční analytik veřejné společnosti zadal návrh čísel zisků do AI nástroje k jejich formátování. To vytvořilo expozici podstatných neveřejných informací před oficiálním oznámením.

Výsledek: Vyšetřování SEC, interní šetření.

Proč tradiční zabezpečení selhává proti Shadow AI

1. Žádný software k blokování

Uživatelé přistupují k AI nástrojům prostřednictvím webových prohlížečů. Neinstalují aplikace, které by bezpečnostní software mohl označit.

2. Šifrovaný provoz

HTTPS šifrování znamená, že nástroje DLP (Data Loss Prevention) nemohou vidět, co se vkládá do ChatGPT bez invazivní inspekce.

3. Osobní zařízení

Zaměstnanci používají AI na osobních telefonech a laptopech, čímž zcela obcházejí firemní zabezpečení.

4. Kopírování a vložení nevytváří logy

Na rozdíl od přenosů souborů nebo e-mailů zanechává kopírování a vkládání textu minimální forenzní stopy.

5. Existují legitimní případy použití

AI nástroje skutečně zvyšují produktivitu. Plošné zákazy posouvají používání do podzemí spíše než ho eliminují.

Budování strategie obrany proti Shadow AI

Úroveň 1: Zásady a školení

Vytvořte jasné zásady používání AI:

  1. Definujte, které AI nástroje jsou schváleny
  2. Specifikujte, které kategorie dat jsou v AI nástrojích zakázány
  3. Stanovte důsledky za porušení
  4. Vyžadujte zveřejnění asistence AI v určitých kontextech

Provádějte pravidelná školení:

  • Roční školení povědomí o bezpečnosti AI
  • Pokyny specifické pro oddělení (právní, HR, inženýrství)
  • Případové studie skutečných incidentů
  • Jasné eskalační procedury

Úroveň 2: Schválené alternativy

Poskytněte sankcionované AI nástroje:

Potřeba Shadow nástroj Enterprise alternativa
Obecná asistence ChatGPT Free ChatGPT Enterprise, Azure OpenAI
Pomoc s kódováním Copilot Free GitHub Copilot Business
Analýza dokumentů Různé Enterprise AI s integrací DLP
Shrnutí schůzek Náhodné aplikace Schválená služba přepisu

Když poskytnete zaměstnancům dobré nástroje, je méně pravděpodobné, že si budou hledat vlastní.

Úroveň 3: Technická kontrola

Úroveň sítě:

  • Blokujte nebo monitorujte přístup k neoprávněným AI službám
  • Nasaďte SSL inspekci (s odpovídající právní/HR kontrolou)
  • Monitorujte vzorce přístupu k AI doménám

Koncový bod:

  • Nasaďte DLP, který dokáže detekovat používání AI nástrojů
  • Monitorujte aktivitu schránky pro vzorce citlivých dat
  • Vyžadujte VPN pro přístup k firemním zdrojům

Klasifikace dat:

  • Implementujte štítky klasifikace dat
  • Školte zaměstnance k rozpoznání úrovní citlivosti
  • Automatizujte klasifikaci tam, kde je to možné

Úroveň 4: Detekce a reakce

Monitorujte indikátory:

  • Neobvyklý přístup k doménám AI nástrojů
  • Velké výběry textu v citlivých aplikacích
  • Vzorce aktivit po pracovní době
  • Porušení klasifikace dat

Plán reakce na incident:

  • Jak posoudit rozsah expozice
  • Požadavky na právní oznámení
  • Šablony komunikace
  • Nápravné procedury

Bezpečné sdílení přihlašovacích údajů v éře AI

Jeden často přehlížený vektor shadow AI: sdílení přihlašovacích údajů.

Když zaměstnanci potřebují sdílet hesla, API klíče nebo přístupové údaje, často je vkládají do zpráv, e-mailů nebo dokonce AI nástrojů ("pomozte mi naformátovat tento konfigurační soubor s těmito API klíči...").

Použijte místo toho bezpečné, dočasné sdílení. Služby jako LOCK.PUB umožňují sdílet přihlašovací údaje prostřednictvím hesky chráněných odkazů, které se po zobrazení samy zničí. Citlivá data nikdy nezůstávají v logách chatu, e-mailech nebo trénovacích datech AI.

Co dělat, pokud jste již data unikli

Okamžité kroky

  1. Zdokumentujte, co bylo sdíleno — Použitý nástroj, typ dat, přibližný obsah
  2. Zkontrolujte zásady dat nástroje — Zjistěte, zda se vztahuje trénování, logování nebo lidská kontrola
  3. Informujte příslušné strany — Právní, compliance, IT zabezpečení
  4. Požádejte o smazání dat — Většina hlavních poskytovatelů AI respektuje požadavky na smazání
  5. Posoudit regulační expozici — Důsledky GDPR, HIPAA, SEC

Dlouhodobá náprava

  • Okamžitě rotujte jakékoli exponované přihlašovací údaje
  • Monitorujte známky zneužití dat
  • Přezkoumejte a posílejte zásady
  • Zvažte hodnocení rizik třetích stran

Cesta vpřed

Shadow AI nezmizí. Přínosy produktivity jsou příliš přesvědčivé. Řešení není zákaz — je to informované, zabezpečené přijetí.

Pro zaměstnance:

  • Zeptejte se před vložením firemních dat do AI nástrojů
  • Používejte pouze schválené AI služby pro práci
  • Považujte AI nástroje za veřejná fóra — nesdílejte tajemství
  • Nahlaste, pokud jste omylem exponovali citlivá data

Pro organizace:

  • Přiznejte, že zaměstnanci budou používat AI
  • Poskytněte bezpečné alternativy
  • Školte průběžně
  • Monitorujte bez vytváření kultury dohledu
  • Reagujte na incidenty jako na příležitosti k učení

Společnosti, které budou prosperovat v éře AI, nebudou ty, které AI nástroje zakážou — budou to ty, které využijí AI bezpečně při ochraně toho, na čem záleží.

Vaše proprietární data jsou vaší konkurenční výhodou. Nenechte je unikat po jednom vložení.

Sdílejte přihlašovací údaje bezpečně bez expozice AI →

Keywords

shadow AI rizika
zaměstnanci používající ChatGPT v práci
AI únik dat společnost
ChatGPT důvěrná data
podnikové AI zabezpečení
neoprávněné AI nástroje pracoviště

You might also like

Pig Butchering Scam: Krypto-románkový podvod za 400 miliard Kč, který musíte znát v roce 2026

Podvody typu pig butchering kombinují romantické podvody s falešnými krypto investicemi, kradou miliardy po celém světě. Zjistěte, jak tyto podvody fungují, varovné signály a jak se chránit.

Prevence Podvodů

Sexuální vydírání online: Hrozba, které musí rodiče dospívajících porozumět v roce 2026

Případy sexuálního vydírání dospívajících vzrostly v roce 2025 o 70 %. Zjistěte, jak predátoři operují, varovné signály a jak ochránit své děti před touto devastující online kriminalitou.

Online bezpečnost

P2P platební podvody v roce 2026: Jak ochránit peníze při používání Revolut, Wise a PayPal

Podvodníci kradou miliardy prostřednictvím P2P plateb. Zjistěte nejčastější podvody, proč banky nevracejí peníze a jak se chránit před podvody s okamžitými platbami.

Prevence podvodů

Create your password-protected link now

Create password-protected links, secret memos, and encrypted chats for free.

Get Started Free
Shadow AI: Jak zaměstnanci používající neoprávněné AI nástroje unikají firemní data | LOCK.PUB Blog