Shadow AI: কর্মীদের দ্বারা অননুমোদিত এআই টুলের ব্যবহারে কর্পোরেট ডেটা লিকের ঝুঁকি!

Shadow AI বলতে বোঝায় প্রতিষ্ঠানের অনুমোদন, নীতিমালা বা সিকিউরিটি রিভিউ ছাড়াই কর্মীদের দ্বারা AI ভিত্তিক টুল, সার্ভিস বা মডেলের ব্যবহার। এর মধ্যে অন্তর্ভুক্ত থাকতে পারে—

• পাবলিক LLM চ্যাটবট ব্যবহার করে গ্রাহক তথ্য, সোর্স কোড বা গোপনীয় নথি বিশ্লেষণ
• AI-চালিত নোট-টেকিং অ্যাপ যা মিটিং রেকর্ড করে ও সারাংশ তৈরি করে
• AI কোডিং অ্যাসিস্ট্যান্ট যা সম্পূর্ণ কোডবেস ক্লাউডে পাঠায়
• ব্রাউজার এক্সটেনশন যা পেজ কন্টেন্ট AI মডেলে পাঠিয়ে সারাংশ তৈরি করে
• ব্যক্তিগত API Key ব্যবহার করে নিজস্ব AI ওয়ার্কফ্লো তৈরি

কর্মীরা সাধারণত ক্ষতিকর উদ্দেশ্যে এই টুল ব্যবহার করেন না; বরং কাজ দ্রুত শেষ করার, লেখা উন্নত করার বা সৃজনশীলতা বাড়ানোর জন্য তারা এই টুল ব্যবহার করেন। কিন্তু অজান্তেই তারা প্রতিষ্ঠানের সংবেদনশীল ডেটা তৃতীয় পক্ষের সার্ভারে আপলোড করছেন।

প্রথমত, AI টুলগুলো অত্যন্ত সহজলভ্য এবং প্রায়ই বিনামূল্যে ব্যবহারযোগ্য। দ্বিতীয়ত, এগুলো নাটকীয়ভাবে উৎপাদনশীলতা বাড়ায়—একটি প্রতিবেদন তৈরি, কোড লেখা বা ইমেইল সম্পাদনার মতো কাজে কর্মীদের অর্ধেক বা তারও কম সময় লাগে। তৃতীয়ত, অনেক প্রতিষ্ঠানে এখনও AI ব্যবহারের সুস্পষ্ট নীতিমালা নেই, ফলে কর্মীরা ধরে নেন যে তারা যা করছেন তা গ্রহণযোগ্য।

এছাড়া, কর্মীরা মনে করেন তারা কোনো ক্ষতি করছেন না—"আমি তো শুধু একটি অনুচ্ছেদ পেস্ট করছি, কিছু হবে না।" কিন্তু এই ছোট ছোট পেস্ট জমা হয়ে বিশাল ডেটা লিকে পরিণত হয়।

১. Data Exfiltration

সবচেয়ে স্পষ্ট ঝুঁকি হলো সংবেদনশীল ডেটা সরাসরি AI প্রোভাইডারের সার্ভারে চলে যাওয়া। যখন একজন কর্মী একটি গ্রাহকের তালিকা, ব্যাংক স্টেটমেন্ট বা সোর্স কোড ChatGPT-তে পেস্ট করেন, তখন সেই ডেটা OpenAI-এর সার্ভারে সংরক্ষিত হয়। অনেক AI প্রোভাইডার ব্যবহারকারীর ইনপুট দিয়ে মডেল ট্রেইন করে, ফলে সেই ডেটা ভবিষ্যতের আউটপুটে অন্য ব্যবহারকারীর কাছে ফিরে আসার সম্ভাবনা থাকে।

২. Compliance Violations

GDPR, HIPAA, PCI DSS, এবং বাংলাদেশের ডেটা সুরক্ষা আইন—সবগুলো ব্যক্তিগত এবং সংবেদনশীল তথ্যের কঠোর নিয়ন্ত্রণ দাবি করে। অননুমোদিত AI টুলে গ্রাহক তথ্য পাঠানো এই নিয়মাবলির সরাসরি লঙ্ঘন এবং এর ফলে বিশাল জরিমানা ও আইনি ঝামেলা সৃষ্টি হতে পারে। উদাহরণস্বরূপ, GDPR লঙ্ঘনে বার্ষিক বৈশ্বিক রাজস্বের ৪% পর্যন্ত জরিমানা হতে পারে।

৩. Intellectual Property Loss

কোম্পানির সোর্স কোড, পণ্য ডিজাইন, গবেষণা প্রতিবেদন বা ব্যবসায়িক কৌশল যদি পাবলিক AI টুলে আপলোড হয়, তবে তা প্রতিযোগীদের হাতেও চলে যেতে পারে। Samsung-এর কর্মীরা ChatGPT-তে যখন নিজস্ব সেমিকন্ডাক্টর সোর্স কোড পেস্ট করেছিলেন, তখন এটি একটি বড় কর্পোরেট সংকটে পরিণত হয়েছিল এবং Samsung পরবর্তীতে ChatGPT সম্পূর্ণরূপে নিষিদ্ধ করতে বাধ্য হয়।

৪. Insecure AI Output

AI টুলের আউটপুটও ঝুঁকির কারণ হতে পারে। AI দ্বারা জেনারেট করা কোডে দুর্বলতা থাকতে পারে; AI দ্বারা প্রস্তাবিত পরামর্শ ভুল হতে পারে। কর্মীরা যদি যাচাই ছাড়াই AI-এর সাজেশন গ্রহণ করেন, তবে সিকিউরিটি বাগ, ব্যবসায়িক ভুল সিদ্ধান্ত বা ভুল তথ্য প্রকাশের ঝুঁকি বাড়ে।

৫. Prompt Injection এবং Data Poisoning

হ্যাকাররা যদি কোনো ওয়েবসাইট বা ডকুমেন্টে লুকানো নির্দেশনা রাখেন (Indirect Prompt Injection), তবে কর্মী যখন AI টুল দিয়ে সেটি বিশ্লেষণ করবেন, তখন AI সেই নির্দেশনা অনুসরণ করে অপ্রত্যাশিত আচরণ করতে পারে—যেমন গোপন তথ্য বের করে দেওয়া বা ক্ষতিকর লিংক প্রস্তাব করা।

৬. Account Hijacking এবং Token Theft

কর্মীরা প্রায়ই ব্যক্তিগত ইমেইল দিয়ে AI অ্যাকাউন্ট তৈরি করেন, কিন্তু কর্পোরেট কাজে ব্যবহার করেন। এই ব্যক্তিগত অ্যাকাউন্টগুলোতে MFA নাও থাকতে পারে, ফলে কম্প্রোমাইজের ঝুঁকি বেশি। অ্যাকাউন্ট হ্যাক হলে কথোপকথনের ইতিহাস থেকে কর্পোরেট ডেটা ফাঁস হতে পারে।

Shadow AI মোকাবেলার প্রথম ধাপ হলো এর উপস্থিতি শনাক্ত করা। প্রতিষ্ঠানগুলো নিম্নলিখিত পদ্ধতিগুলো ব্যবহার করতে পারে:

Network Traffic Analysis: SIEM, CASB এবং SWG (Secure Web Gateway) দিয়ে চিহ্নিত করুন কোন কর্মী কোন AI ডোমেইন (chatgpt.com, claude.ai, gemini.google.com ইত্যাদি) ভিজিট করছেন এবং কী পরিমাণ ডেটা আপলোড হচ্ছে।

Browser Extension Inventory: ব্রাউজার এক্সটেনশন ম্যানেজমেন্ট টুল ব্যবহার করে কর্মীদের ইনস্টলকৃত AI এক্সটেনশনগুলোর তালিকা তৈরি করুন।

DLP (Data Loss Prevention): আধুনিক DLP সলিউশন যেমন Microsoft Purview, Symantec DLP, Forcepoint—এগুলো AI টুলে সংবেদনশীল ডেটা পাঠানো শনাক্ত এবং ব্লক করতে পারে।

SaaS Discovery Tools: Netskope, Zscaler এবং Cloudflare Cloud Access Security Broker (CASB) সমাধান অননুমোদিত SaaS এবং AI অ্যাপ্লিকেশন আবিষ্কারে সহায়তা করে।

Employee Surveys: প্রযুক্তিগত পরিমাপের পাশাপাশি বেনামী জরিপ চালিয়ে কর্মীরা কোন AI টুল ব্যবহার করছেন এবং কেন করছেন তা বোঝার চেষ্টা করুন।

১. সুস্পষ্ট AI Usage Policy প্রণয়ন

প্রতিটি প্রতিষ্ঠানের একটি স্পষ্ট, পঠনযোগ্য এবং বাস্তবসম্মত AI ব্যবহার নীতি থাকা উচিত। এতে অন্তর্ভুক্ত থাকবে—কোন AI টুল অনুমোদিত, কোন ধরনের ডেটা পাঠানো যাবে এবং যাবে না, কোন কাজের জন্য AI ব্যবহার গ্রহণযোগ্য, এবং নীতি লঙ্ঘনের ফলাফল কী।

২. Approved AI Tools প্রদান

কেবলমাত্র নিষেধাজ্ঞা কাজ করে না। কর্মীদেরকে নিরাপদ, প্রতিষ্ঠান-অনুমোদিত AI বিকল্প প্রদান করতে হবে। যেমন Microsoft Copilot for Microsoft 365, ChatGPT Enterprise, Claude for Enterprise, এবং Google Gemini for Workspace—এই এন্টারপ্রাইজ গ্রেড টুলগুলো ডেটা প্রাইভেসি, SSO, Audit Log এবং কোনো ট্রেইনিং না-করার নিশ্চয়তা প্রদান করে।

৩. Technical Controls

DLP এবং CASB সলিউশন দিয়ে রিয়েল-টাইম নিয়ন্ত্রণ আরোপ করুন। উদাহরণস্বরূপ, যদি কেউ ক্রেডিট কার্ড নম্বর, সোশ্যাল সিকিউরিটি নম্বর, বা সোর্স কোডের প্যাটার্ন AI টুলে পেস্ট করার চেষ্টা করেন, তবে DLP সেটি ব্লক করবে অথবা সতর্কতা প্রদর্শন করবে।

৪. Education এবং Training

কর্মীদেরকে Shadow AI-এর ঝুঁকি সম্পর্কে শিক্ষিত করুন। নিয়মিত প্রশিক্ষণে দেখান কীভাবে একটি নিরীহ মনে হওয়া পেস্ট কর্পোরেট সংকটে পরিণত হতে পারে। প্রকৃত কেস স্টাডি (Samsung, Cyberhaven Report) ব্যবহার করুন।

৫. Private AI Infrastructure

সর্বোচ্চ সংবেদনশীল পরিবেশে On-premise বা Private Cloud-এ স্থাপিত AI মডেল ব্যবহার করুন। Llama, Mistral, এবং Falcon-এর মতো ওপেন-সোর্স LLM প্রতিষ্ঠানের নিজস্ব GPU অবকাঠামোতে চালানো সম্ভব, ফলে ডেটা কখনোই কর্পোরেট নেটওয়ার্কের বাইরে যায় না।

৬. AI Governance Committee

একটি ক্রস-ফাংশনাল AI Governance Committee গঠন করুন যেখানে IT, Security, Legal, Compliance, HR এবং বিভিন্ন বিভাগের প্রতিনিধি থাকবেন। এই কমিটি নতুন AI টুলের অনুমোদন, ঝুঁকি মূল্যায়ন এবং নীতিমালা আপডেটের দায়িত্ব পালন করবে।

৭. Vendor Risk Assessment

যে কোনো AI ভেন্ডর অনুমোদনের আগে কঠোর Vendor Risk Assessment পরিচালনা করুন। যাচাই করুন—তাদের ডেটা প্রোসেসিং চুক্তি, SOC 2 Type II রিপোর্ট, ডেটা রিটেনশন পলিসি, এনক্রিপশন স্ট্যান্ডার্ড এবং Sub-processor তালিকা।

Shadow AI শুধু সিকিউরিটি সমস্যা নয়, এটি একটি আইনি এবং নৈতিক সমস্যাও। AI দ্বারা জেনারেট করা কন্টেন্টের কপিরাইট কার? AI দ্বারা জেনারেট করা কোডে যদি GPL লাইসেন্সকৃত কোড থাকে, তবে কোম্পানির ইন্টেলেকচুয়াল প্রপার্টিতে কী প্রভাব পড়বে? কর্মী যদি AI ব্যবহার করে অসত্য রিপোর্ট তৈরি করেন এবং তা ক্লায়েন্টকে পাঠান, তবে দায়িত্ব কার?

এই প্রশ্নগুলোর সমাধান প্রতিষ্ঠানের AI Governance Policy-তে স্পষ্টভাবে থাকা উচিত।

AI এজেন্ট (Agentic AI)-এর উত্থান Shadow AI-কে আরও জটিল করবে। কর্মীরা আর শুধু চ্যাটবটে প্রম্পট লিখবেন না, বরং AI এজেন্টদের স্বায়ত্তভাবে কাজ করতে দেবেন—ইমেইল পাঠানো, ক্যালেন্ডার অ্যাপয়েন্টমেন্ট তৈরি, এমনকি অর্থ লেনদেন। এই এজেন্টগুলোর নিরাপত্তা ব্যবস্থা না থাকলে তা বিশাল ক্ষতির কারণ হতে পারে।

এজেন্ট-ভিত্তিক ভবিষ্যতে প্রতিষ্ঠানকে AI Identity Management, Agent Authorization Framework এবং AI Action Logging-এর মতো নতুন নিরাপত্তা নিয়ন্ত্রণ গ্রহণ করতে হবে।