總主筆/施鑫澤
過去 Shadow IT(影子 IT)指的是員工在未經資訊部門批准的情況下,使用了未經授權的設備、軟體或服務。這種現象通常發生在員工尋找更便捷或高效的工具來完成工作時,由於沒有經過安全審查,這可能會帶來資料洩漏或安全風險。前些年此種資安事件可說層出不窮,不時的會發生傳出伺服器被上鎖加密的情況,最後還是要資訊部門收爛攤。由於資安意識的普及,Shadow IT 也就逐漸少見。
然而,由於雲端、WFH,甚至當前 GenAI(生成式 AI)的潮流,新型態的 Shadow IT 正在逐步蔓延,有了捲圖重來之勢。
新型態 Shadow IT 歸納有幾種原因與使用情景,包括「雲服務的廣泛使用」、「在家辦公的流行」、「辦公室 APP 的濫用」等等,都在脫離資訊部門管控下,持續進行工作流程的狀況。也由於新型態的 Shadow IT 更加分散且難以監控,企業需要採取更靈活和全面的 IT 管理策略,才能確保在提供便利性的同時,仍然保持資料安全和合規性。
近期由於 GenAI 的風起雲湧,更是讓 Shadow IT 更加難防。例如,員工透過生成式 AI 的工具,自行把公司資料生成檔案、程式碼,這些工具的使用通常未經公司審核,便存在資料洩露的風險。再者,生成式 AI 可以自動生成程式碼或內容,而這些生成的結果可能被直接用於生產環境中。由於缺乏 IT 部門的參與或審查,這些自動化流程便可能帶來安全性漏洞或合規問題。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
此外,很多生成式 AI 工具依賴雲服務,使用者可能會在不知情的情況下將公司資料上傳到協力廠商平台。這些平台可能不符合安全標準,因而增加了資料洩露的風險。
事實上,若難以防堵這些新型態的 Shadow IT,可以思考新形態的管理方式,讓使用端來自我約束,資訊部門則管好資料備份,做好資安,與持續運行的責任即可,說實在也未嘗不可。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
