Varjo AI tulee kysymättä mukaan

Varjo IT (Shadow IT) on ATK-iän mittareilla vanha ja tunnettu termi. Gartner käytti sitä kuvaamaan hallitsematonta teknologian käyttöä jo vuonne 2009 ja sille löytyy sivu Wikipediasta. Erinäisten lähteiden mukaisesti Copilot tiivisti sen seuraavasti

Varjo IT (Shadow IT) tarkoittaa organisaatiossa käytössä olevia IT-järjestelmiä, sovelluksia tai palveluita, joita otetaan käyttöön ilman keskitetyn IT:n tietoa/valtuutusta (esim. liiketoimintayksiköiden omat ratkaisut rajoitteiden kiertämiseksi). Se voi lisätä ketteryyttä ja tuottavuutta, mutta kasvattaa samalla erityisesti tietoturva- ja vaatimustenmukaisuusriskien sekä hallinnan puutteiden todennäköisyyttä, koska ratkaisut jäävät valvonnan ja suojauksen ulkopuolelle.

Nyt vuonna 2026 me voimme ottaa tuon termin taas käyttöön. Tehdään sille kuten usein teknologian kanssa on tarpeen, päivitetään se. Päivitetty versiomme on Varjo AI (Shadow AI). Tuo varjoista hiipivä uusi mutta vanha ilmiö missä työntekijät ja organisaation toiminnot käyttävät itse päättämiään tekoälytyökaluja ja niitä käytetään täysin oman harkinnan mukaan ilman valtuutusta ja valvontaa.

Matka Varjo AI:n pimeille kujille

Varjo AI:n käyttö on harvoin tarkoituksellisesti pahantahtoista. Yleensä sillä on täysin sama motiivi kuin monen muunkin työvälineen hyödyntämiselle, sillä pyritään helpottamaan ja nopeuttamaan työn tekemistä. Motiivi on siis hyvä ja todennäköisesti tuloksetkin vähintään kohtalaisia, kun asiaa tarkastellaan yksipuolisesti huomioimatta siitä syntyviä riskejä.

Varjo AI:n käyttö voi alkaa pienestä. En ala rakentamaan tässä suurempaa porttiteoriaa mutta uskallan väittää, että kun kerran on painanut nappia ”Use AI for…”, niin se toinen kerta on jo helpompi. Pian ollaankin ronkkimassa asetukset osiossa Enable ja configurate AI mistä ei ole enää pitkä matka Use API for advanced AI functions. Näin onkin matkattu syvälle tekoälyn hämyisille kujille tuntematta seutukuntaa taikka paluumatkaa sen tarkemmin.

Eksymisen syyt

Tuolle edellä kuvatulle hämyiselle matkalla päädytään usein sen vuoksi, että organisaatiolta puuttuu linjaus mitä ja miten tekoälyä käytetään. Kenenkään tiedossa ei ole saako tekoälyä käyttää, mihin sitä saa käyttää ja miten sitä saa käyttää. On hyvin helppo nähdä, että ohjeistamaton tilanne luo tyhjiön minkä Varjo AI täyttää.

Toinen VarjoAI:n tapaus on ohjelmistojen uudet tekoälyä käyttävät ominaisuudet joiden mukaan tuloa ei huomata tai ymmärretä. Pahimmillaan ohjelmistotoimittaja ei edes informoi niiden olemassaolosta. Jälleen käytetään tekoälyä ilman organisaation hallintaa. Syynä tähän on sama kuin ensimmäisessä tapauksessa, linjaukset ja ohjeistukset ovat puutteellisia

Miksi me haluamme pysyä valossa?

Kuten Varjo IT myöskään Varjo AI ei ole riskitöntä. VarjoAI tuo mukanaan riskejä, joista nostan tähän kolme mielestäni keskeisintä, kun asiaa katsotaan yleisellä tasolla. Riskit ovat:

• vahingossa tapahtuvat tietovuodot
• lainmukaisuusongelmat
• mainehaitat
  
  

Vahingossa tapahtuva tietovuoto on esimerkiksi tilanne missä työntekijä syöttää yrityksen sisäistä ja luottamuksellista tietoa ilmaiseen tekoälysovellukseen tiivistettäväksi. Hän ei tule ajatelleeksi, että sovellus on "hyväksymätön", ja samalla hetkellä luottamuksellista tietoa saattaa vuotaa yrityksen ulkopuolelle. Pahimmillaan nämä tiedot voivat päätyä osaksi tekoälymallin julkista koulutusdataa.

Lainmukaisuusongelmat ovat tuttuja yhdistelmästä Varjo IT ja GDPR. Hankitaan järjestelmä minkä henkilötietojen käsittelyn riskejä ja lainmukaisuutta ei arvioida yrityksen toimintamallien mukaisesti ja päädytään pahimmillaan laittoman tiedonkäsittelyn tilanteeseen. En edes lähde pohtimaan tekoälyä koskevan säätelyn tiukempia tilanteita missä tekoälyä hyödynnettäisiin korkeamman riskin toimiin ilman asianmukaisia arvioita ja hallintakeinoja.

Mainehaitat voivat syntyä muutamistakin tilanteista. Viestinnällisesti tapahtuu kömmähdyksiä tai suoranaisia virheitä mitkä voidaan tunnistaa tekoälyn syyksi tai luvaton tekoälyn käyttö mikä paljastuu asiakkaille ja kumppaneille. Nämä murentavat luottamusta yrityksen toimintaan ja pahimmillaan johtavat suoriin taloudellisiin vahinkoihin.

Valoa kansalle ja Varjo AI:n taltuttaminen

Varjo AI:n kanssa on syytä tarttua heti toimeen. Ratkaisuksi ei ole tarjolla mitään taikasauvaa ja tai hopealuotia vaan hyvin tyypillisiä keinoja millä aiemminkin on pyritty vastaamaan samankaltaisiin tilanteisiin. Ne eivät välttämättä tuo 100 % varmuutta, mutta väitän niiden avulla saavutettavan huomattavasti enemmän tuloksia kuin toimettomuudella.

Ratkaisun ensiaskeleet ovat seuraavat

• Laaditaan linjaukset tekoäly käyttöön (politiikka) organisaation tasolla. Määritetään tavoitteet, reunaehdot ja vastuulliset tahot.
• Luodaan hallintamalli tekoälyratkaisujen arviointiin ja käyttöönottoon.
• Tehdään ja koulutetaan ohjeistus tekoälyn käytöstä, esimerkkejä ja konkretiaa mitkä ovat sallitut ja ei sallitut käyttötapaukset.
• Kartoitetaan käytössä olevat tekoälyratkaisut. Nykyiset sovellusrekisterit, käsittelytoimien selosteet ja vastaavat dokumentit ovat hyvä tapa tunnistaa mihin voi olla tullut AI lisätoimintoja. Myös henkilöstökyselyt on hyvä pitää keinovalikoimassa.
• Suoritetaan tekoälyratkaisujen käsittely organisaation hallintamallin mukaisesti sen erityispiirteet huomioiden (tietoturva, tietosuoja, sopimukset, omistajuus ja hallinta).

Näillä keinoilla pääsee hyvin eteenpäin ja pois pimeydestä kohti valoa. 

Kirjoittaja: Mika Lindberg, Opsec Oy liiketoimintajohtaja

 Mika Lindberg on Opsec Oy:n kyberturvallisuudesta vastaava ja liiketoimintajohtaja. Mika on toiminut IT-alalla yli 25 vuotta, joista viimeiset 15 kyberturvaan painottuen. Hänellä on laaja-alaisesti kokemusta pk-yritysten kyberturvallisuuden järjestämisestä ISO27001 perusteisesti ja hän tuntee myös hallitustyöskentelyn. Mikalla on useita kansainvälisesti tunnettuja kyberturvallisuussertifiointeja ja HHJ-tutkinto. Tällä hetkellä hänellä on työn alla kyberturvallisuuden maisteriopintojen pro gradu työ minkä aiheena kyberturvallisuus pk-yritysten kilpailuedun tekijänä.