Generatiiviset tekoälypalvelut, kuten ChatGPT, Copilot ja Gemini, ovat tuoneet organisaatioille valtavia mahdollisuuksia – mutta samalla myös uuden, vähemmän puhutun riskikentän. Monet työntekijät kokeilevat ja hyödyntävät tekoälyä omatoimisesti ilman IT:n tietoa. Tätä ilmiötä kutsutaan Shadow AI:ksi. Ilman hallintaa tekoälyn käyttö voi johtaa datavuotoihin, sääntelyrikkomuksiin ja mainehaittoihin. AI-firewall tuo hallinnan tekoälyn käyttöön.
Miksi Shadow AI on riski?
Moni ajattelee, ettei AI:n käyttö ole vaarallista: liikenne on salattua eikä ulkopuoliset näe sitä. Riskit syntyvät kuitenkin itse palveluntarjoajan ja organisaation hallinnan puutteesta:
- Tietovuoto: työntekijä voi vahingossa syöttää asiakasdataa, henkilötietoja tai koodia AI-palveluun. Ilmais- ja Plus-versioissa dataa voidaan käyttää mallien koulutukseen.
- Compliance: GDPR ja asiakassopimukset voivat kieltää datan siirtämisen EU ulkopuolelle.
- Auditoinnin puute: IT ei tiedä, kuka käyttää mitä palvelua ja millä sisällöillä.
- Laadunhallinta: AI voi tuottaa sisältöä, jota työntekijä käyttää sellaisenaan, mutta jonka lähteitä tai oikeellisuutta ei voi varmistaa.
AI-firewallin idea
Uudet ratkaisut tarjoavat ns. AI-firewallin, joka istuu käyttäjän ja AI-palveluiden väliin. Sen tehtävät:
- AI-firewall: estää arkaluontoisen tiedon syötön vakioituun AI-palveluun.
- AI Security Posture Management (AI-SPM): tuo näkyvyyden siihen, mitä palveluja käytetään, ja millä sisällöillä.
- Governance ja compliance: auditointi, raportointi ja sääntelyvaatimusten huomiointi (esim. GDPR).
Käytännössä AI Firewall mahdollistaa sen, että tekoälyä voi hyödyntää turvallisesti – IT:llä on näkyvyys ja kontrolli, työntekijät voivat käyttää virallista AI-alustaa ilman kieltoja.
Miten hallinta toteutetaan käytännössä?
Koska maailmassa on satoja AI-palveluja, pelkkä API-integraatio ei riitä. Tarvitaan yhdistelmäkeinoja:
- API-integraatiot – virallisiin enterprise-palveluihin, kuten Microsoft Copilot ja ChatGPT Enterprise. Näistä saadaan syvä näkyvyys ja politiikkakontrolli.
- Kategoria- ja domain-suodatus – esimerkiksi Cisco Umbrella, Zscaler, NGFW estävät kaikki muut AI-palvelut URL- ja DNS-luokitusten perusteella.
- Allowlist – sallitaan vain yrityksen viralliset AI-työkalut.
- Endpoint-agentti – näkyvyys myös etätyössä, kun liikenne kulkee suoraan nettiin ilman VPN:ää.
Esimerkkitilanne: Minä ja asiakasdata
Projektipäällikkönä sain asiakkaalta Excel-taulukon ja halusin nopeasti raportin. Kopioin tiedot ChatGPT:n ilmaisversioon ja pyysin tekoälyä analysoimaan.
Promptissa oli asiakaslistoja ja sopimustietoja → data päätyi OpenAI:n hallintaan.
Yritys menetti kontrollin, GDPR-sopimuksia rikottiin ja asiakas saattoi vaatia selvitystä.
Jos AI Firewall olisi ollut käytössä, olisin saanut varoituksen: “Et voi syöttää asiakasdataa henkilökohtaiseen ChatGPT:hen.” Tällöin olisin ohjautunut käyttämään Copilot Enterprisea, jossa data pysyy organisaation tenantissa ja Purview DLP suojaa sen.
Maksullinen versio – ratkaisu vai ei?
Moni kysyy: “Eikö riski häviä, jos käytetään maksullista ChatGPT:tä?”
ChatGPT Plus (noin 20 USD/kk, yksittäistili) ei ratkaise ongelmaa – data voi edelleen tallentua, ja IT:llä ei ole hallintaa. ChatGPT Enterprise sen sijaan tarjoaa zero data retentionin, auditoinnin ja hallinnan IT:lle. Vasta tämä on oikeasti turvallinen vaihtoehto yrityskäyttöön, mutta tosin perustuu luottamukseen.
Cisco Umbrella ja muut suojauskerrokset
Palvelut kuten Cisco Umbrella luokittelevat generatiiviset AI-palvelut omaksi kategoriakseen. Näin voidaan:
- Estää koko kategoria, ja sallia vain virallinen AI-alusta (esim. copilot.microsoft.com).
- On kuitenkin tärkeää huomata, että uusia AI-sivustoja ja -palveluita syntyy maailmalla kymmeniä joka viikko, eikä kaikkia saada välittömästi kategorisoitua. Tämä tarkoittaa, että osa uusista AI-työkaluista voi hetken aikaa näkyä muissa yleisluokissa (esim. Business Tools tai Technology),
- IT:n täytyy täydentää suojausta custom block/allow-listeillä, jotta varmistetaan hallinta myös aivan uusille palveluille.
Suomen tilanne – pk-yritysten haaste
Suomessa valtaosa yrityksistä on pieniä ja keskisuuria. Monilla ei ole omaa IT-osastoa, joka voisi aktiivisesti valvoa tekoälyn käyttöä tai rakentaa monimutkaisia AI-firewall-sääntöjä. Tämä tekee Shadow AI:sta erityisen hankalan ilmiön:
- työntekijät (tai ulkoiset resurssit) ottavat käyttöön uusia työkaluja oma-aloitteisesti
- tieto voi liikkua hallitsemattomiin pilvipalveluihin ilman, että kukaan huomaa.
- resurssit ja osaaminen tietoturvapolitiikkojen rakentamiseen ovat rajalliset.
Pk-yritysten näkökulmasta tärkeintä ei ole heti hankkia raskasta valvonta-alustaa, vaan aloittaa perusasioista:
- määritellään selkeä AI-käyttöohjeistus henkilöstölle,
- estetään ilmaisversioiden käyttö (esim. ChatGPT Free, Gemini Free)
- sallitaan vain ne viralliset AI-palvelut, joista on selkeä sopimus ja tietosuojatakuu (esim. Copilot Enterprise)
- Tarkistetaan ja testataan toiminta
Näin AI:n hyötyjä voidaan ottaa käyttöön ilman, että pk-yritys altistaa itseään kohtuuttomille riskeille.
Kolme tärkeintä vinkkiä AI-hallintaan
- Näkyvyys ensin – kartoita, mitä AI-palveluja työntekijät käyttävät (proxy/DNS-lokeista tai kysymällä).
- Estä kaikki muut, salli virallinen – kieltämällä generatiivisen AI:n yleisesti ja sallimalla vain hyväksytyn palvelun (esim. Copilot) poistat suurimman riskin.
- Kouluta ja ohjeista – kerro työntekijöille, miksi dataa ei saa syöttää ilmaisversioihin. Selkeät ohjeet ehkäisevät enemmän kuin tekniset estot pk-ympäristössä.
- Päivitä NDA sopimuksesi määrittelmään AI käyttö selkeämmin (jos luovutat dataa)
Johtopäätös
Tekoälyn käyttö työpaikoilla ei ole enää “jos”, vaan “milloin”. Organisaatiot eivät voi estää työntekijöitä kokeilemasta uusia työkaluja, mutta ne voivat hallita riskejä.
- Isoille organisaatioille ratkaisu on AI-firewall ja keskitetty hallinta yhdessä vakioitujen palveluiden kanssa.
- Pk-yrityksille riittää alkuun selkeät ohjeet, peruseston toteutus ja hyväksytyn AI-palvelun valinta.
Kun tekoäly tuodaan hallitusti arkeen, siitä tulee voimavara eikä riski.
5Feet Networks Oy