- Barbora Arnold
- 6 min čtení
AI si do firem našla cestu dřív než vedení vymyslelo pravidla pro její používání. Zaměstnanci si otevřou ChatGPT nebo podobného chatbota, vloží do něj část smlouvy nebo tabulku s klientskými daty a práci mají hotovou o pár minut dřív. Funguje to, šetří to čas a nikdo to neřeší. Přesně tomu se říká Shadow AI. Jak dostat používání AI ve firmě pod kontrolu, aniž byste ji lidem jen plošně zakázali?
Co je to Shadow AI
Shadow AI znamená, že lidé ve firmě používají nástroje umělé inteligence bez vědomí nebo schválení IT a bezpečnostního týmu. Navazuje na starší pojem Shadow IT, tedy software a služby, které si zaměstnanci pořizují mimo oficiální procesy. U AI je ale celý problém rychlejší a méně viditelnější. Stačí webový prohlížeč a bezplatný účet. Žádná instalace, žádná faktura, žádný požadavek na IT.
Typicky se tímto způsobem využívají veřejné generativní nástroje: chatboti pro psaní textů, překladače, generátory obrázků, nástroje pro analýzu dat nebo shrnutí dokumentů. Zaměstnanci je většinou nepoužívají se špatným úmyslem. Často si jen chtějí zjednodušit práci rychleji napsat text, pochopit dokument nebo si ověřit svůj nápad. Právě proto se Shadow AI ve firmách šíří tak snadno. Nevypadá jako porušení pravidel, působí jako běžná snaha odbavit práci rychleji. Problém vniká až ve chvíli, kdy organizace neví, že se to děje, a nemá žádnou kontrolu nad tím, jaké nástroje lidi používají, jaká data do nich vkládají a kam tato data dál putují.
Co organizace riskuje, když AI používá bez pravidel
Na první pohled může Shadow AI vypadat jako typická záležitost pro IT, které řeší nástroje. Někdo si otevře Gemini nebo ChatGPT, nahraje tam text, nechá si pomoc s tabulkou nebo přípravou smlouvy. Hotovo. Jenže z pohledu organizace to není ani tak otázka nástroje, jako spíš otázka dat, odpovědnosti a kontroly nad tím, jak zaměstnanci s AI pracují. Neřízené používání AI otevírá tři hlavní rizika:
Únik dat: citlivá data vložená do veřejných modelů firma už nedostane zpět.
Odpovědnost: za chybný výstup AI odpovídá organizace, ne nástroj.
Regulace: dle AI Act za AI odpovídá ten, kdo ji používá, i bez vlastního vývoje.
Únik dat
Nejčastější problém vzniká ve chvíli, kdy zaměstnanec vloží interní informace nebo klientská data do veřejně dostupného nástroje. Může jít o obchodní tajemství, osobní údaje klientů, smlouvy, neveřejné finanční podklady nebo část interní dokumentace. Mnoho veřejných modelů si vstupy ukládá a může je dál využívat. Jakmile do nich citlivá data jednou odejdou, už se jen těžko bere zpět kontrola nad tím, kde skončí a kdo k nim bude mít přístup.
Odpovědnost za výstupy
AI se umí mýlit velmi přesvědčivě, což může být u firemního využívání AI problém. Pokud zaměstnanec použije výstup jako podklad pro rozhodnutí, komunikaci s klientem, právní posouzení nebo interní analýzu, odpovědnost za výsledek zůstává na organizaci. Ne na nástroji. Ještě větší problém vzniká ve chvíli, kdy nikdo neví, že byl daný výstup vznikl pomocí AI.
Regulační rámec
Do celé debaty vstupuje také AI Act, evropské nařízení o umělé inteligenci (nařízení 2024/1689). Pro organizace je důležité hlavně to, že regulace neřeší jen vývojáře AI systémů, ale také společnosti, které AI používají ve své činnosti. Firma tedy nemusí vyvíjet vlastní AI nástroj, aby pro ni vznikaly povinnosti. Stačí, že AI zapojí do procesu, rozhodování, komunikace se zákazníky nebo práce s daty. Shadow AI je v tomhle nepříjemná právě tím, že odpovědnost nezmizí jen proto, že vedení nebo IT o používání nástroje neví. Organizace pořád nese riziko, jen ho nemá pojmenované, přiřazené ani pod kontrolou.Proč Shadow AI vzniká
U příčiny má cenu se na chvíli zastavit, protože právě od ní se odvíjí řešení. Shadow AI skoro nikdy nevzniká z toho, že zaměstnanci chtějí porušovat pravidla nebo škodit společnosti. Vzniká ve chvíli, kdy lidé mají po ruce nástroj, který jim reálně pomáhá, ale firma jim neřekla, jak s ním bezpečně pracovat. Chybí pravidla, doporučení i schválená alternativa.
Když organizace AI oficiálně neřeší, lidé si najdou cestu sami. Každý podle toho, co zná, co mu doporučil kolega nebo co zrovna funguje. Postupně se tak v organizaci usadí různé nástroje, různé návyky a různé úrovně opatrnosti. Čím déle to navíc běží bokem, tím hůř se zpětně zjišťuje, kdo co používá a jaká data do nástrojů AI vkládá.
Jak dostat AI v organizaci pod kontrolu
Cílem není AI vymýtit. Lidé ji používají, protože jim pomáhá. Smysluplnější je dostat ji z šedé zóny do režimu, ve kterém organizace ví, jaké nástroje se používají, k čemu slouží a jaká pravidla pro ně platí. V praxi stojí na pěti krocích.
Zjistěte, kde se AI už používá. Začněte skutečným stavem. Které týmy používají AI? K čemu? Jaká data tam obvykle nahrávají? Nepředpokládejte, ale ptejte se, abyste zjistili opravdu reálný stav, bez kterého se nikam dál neposunete. Neděste se, pokud se ukáže, že AI je ve firmě rozšířenější, než jste čekali.
Nastavte jednoduchá pravidla. Interní pokyny pro práci s umělou inteligencí, které zaměstnancům řeknou hlavně to, co potřebují pro běžnou práci: jaké nástroje smí používat, jaká data do nich nesmí vkládat, kdy musí výstup ověřit a kdy se raději zeptat. Pravidla napište konkrétně, ale srozumitelně. Nedělejte z toho 20stránkovou směrnici, kterou nikdo neotevře.
Zaveďte schvalovací proces pro nové nástroje. Nové nástroje budou přibývat, proto organizace potřebuje jednoduchý způsob, jak je posoudit a schválit. Důležité je, aby proces byl rychlý. Pokud schválení trvá měsíce, lidé se k Shadow AI vrátí.
Veďte přehled schválených nástrojů. Mít přehled o tom, jaké nástroje jsou schválené, kdo je používá a k čemu je základ. AI nástrojů přibývá rychle, takže evidenci pravidelně aktualizujte.
Nabídněte bezpečnou alternativu. Tohle se často opomíjí, ale je to klíčové. Pokud firma něco zakáže, měla by zároveň nabídnout schválenou cestu, jak stejnou práci udělat bezpečně. Zákaz bez alternativy Shadow AI nezruší, jen ji zažene hlouběji do stínu.
Kde začít?
U Shadow AI se vyplatí začít jednoduchou otázkou: víme vlastně, kde a jak zaměstnanci umělou inteligenci používají? Odpověď ukáže víc než dlouhá debata o tom, jestli AI povolit nebo zakázat. Organizace zjistí, jaké nástroje už běží v praxi, jaká data do nich lidé vkládají a kde je potřeba nastavit pravidla. Pokud chcete z používání AI udělat řízenou firemní praxi, ne soubor náhodných návyků, doporučujeme dva praktické kurzy v Cybrela akademii.
Kurz AI ve firmách podle AI Act je určený pro vedení a odpovědné osoby. Řeší, jak nastavit AI governance, interní pravidla a schvalování nástrojů a odpovědnosti podle evropského nařízení AI Act.
Kurz Bezpečné používání AI ve firmě je určený pro zaměstnance, kteří AI denně používají. Vysvětluje, jaká data do AI nepatří, kdy výstupy ověřovat a jak s nástroji pracovat bez zbytečných rizik.
- Obsah byl připraven s pomocí AI, následně prošel důkladnou lidskou editací a faktickou kontrolou.
