„Šešėlinis DI" jūsų įmonėje: kodėl 68% darbuotojų naudoja ChatGPT be IT leidimo
Jūsų darbuotojai jau naudoja dirbtinį intelektą. Klausimas ne „ar", o „ką jie į jį įkelia" ir „ar žinote apie tai".
Gartner 2026 m. tyrimas 500-yje įmonių rodo: 68% darbuotojų naudoja neleistus DI įrankius, vidutiniškai po 3,2 skirtingo įrankio vienam žmogui. 77% jų į ChatGPT ar panašias platformas įkelia konfidencialius įmonės duomenis. Mažiau nei 5% tokios veiklos aptinka esamos saugumo sistemos.
Šis reiškinys vadinamas „šešėliniu DI" (angl. shadow AI) — tai tęsinys „šešėlinio IT", tik su gerokai didesne rizika. Šiame straipsnyje — kodėl tai vyksta, kokios konkrečios pasekmės BDAR ir ES DI akto atžvilgiu, ir koks praktinis planas leistų tai suvaldyti, o ne tik uždrausti.
Kas yra šešėlinis DI ir kodėl jis auga?
Šešėlinis DI — tai bet koks dirbtinio intelekto įrankio naudojimas darbe be IT ar vadovybės patvirtinimo. Dažniausiai tai asmeninės ChatGPT, Claude, Gemini ar Copilot paskyros, į kurias darbuotojai kopijuoja įmonės tekstus, duomenų lenteles ar kodą.
| Rodiklis | 2026 m. duomenys |
|---|---|
| Darbuotojų naudojančių neleistus DI įrankius | 68% |
| Įrankių vidurkis vienam darbuotojui | 3,2 |
| Asmeninių (ne įmonės) paskyrų dalis | 47% |
| Saugumo sistemų aptinkama dalis | < 5% |
| Duomenų pažeidimo kaina, kai yra šešėlinis DI | +670 000 USD |
Augimas paaiškinamas paprastai: oficialios alternatyvos arba nėra, arba ji prastesnė nei nemokamas ChatGPT. Darbuotojai sprendžia konkrečias problemas šiandien, o ne laukia, kol IT skyrius per devynis mėnesius patvirtins sprendimą.
Kokia reali rizika šešėlinio DI atveju?
Trys rizikos kategorijos — nuo labiausiai tikėtinos iki katastrofiškos: duomenų nutekėjimas, reguliavimo pažeidimai ir neatsekiami sprendimai.
1. Duomenų nutekėjimas. 2023 m. „Samsung" inžinieriai į ChatGPT įklijavo puslaidininkių dizaino kodą ir vidines strategijos pastabas. Šie duomenys tapo modelio mokymosi duomenų dalimi. „Samsung" uždraudė viešąjį generatyvinį DI savo darbuotojams, tačiau duomenų atšaukti negalėjo. 40% darbuotojų įkeliamų failų į DI įrankius turi asmens duomenų arba mokėjimo informacijos.
2. BDAR ir ES DI akto pažeidimai. Kai darbuotojas į viešą DI įrankį įkelia kliento el. laišką, sutarties projektą ar personalo dokumentą — įmonė pažeidžia BDAR 32 straipsnį dėl saugumo priemonių. Nuo 2026 m. rugpjūčio 2 d. ES DI aktas dar papildomai reikalauja įrašų, kokie DI įrankiai naudojami priimant sprendimus dėl žmonių — šešėlinis DI šių įrašų neturi apibrėžimo.
3. Neatsekiami sprendimai. Kai vadovas remiasi ChatGPT generuota analize, neišsaugodamas užklausos ir atsakymo, vėliau neįmanoma patikrinti, kuo buvo grįstas sprendimas. Auditas tampa neįmanomas.
Kodėl darbuotojai naudoja neleistus įrankius?
Ne todėl, kad nori pakenkti. Pagrindinės priežastys yra racionalios ir aiškios:
- Oficialių sprendimų nėra — daugelis Lietuvos įmonių dar nepatvirtino jokio DI įrankio. Dažniau rašėme, kodėl 97% Lietuvos įmonių pripažįsta DI svarbą, bet tik 9% jį įdiegė.
- Oficialus sprendimas prastesnis — kartais patvirtintas „Copilot" moka mažiau nei nemokamas „ChatGPT". Darbuotojai renkasi rezultatą, ne procedūrą.
- Greitis — IT patvirtinimo procesas trunka savaites, o užduotį reikia išspręsti šiandien.
- Įgūdis — darbuotojai jau išsimokė efektyviai dirbti su konkrečiu įrankiu ir neturi motyvacijos mokytis naujo.
- Nežinojimas apie riziką — daug darbuotojų tiesiog nežino, kad ChatGPT įvestis naudojama modelio mokymui, arba kad tai pažeidžia BDAR.
Draudimas čia neveikia. Jei oficialios alternatyvos nėra, draudimas tik perkelia naudojimą į dar mažiau matomus kanalus — asmeninius telefonus, asmenines paskyras, darbus namuose.
Kaip aptikti šešėlinį DI savo įmonėje?
Trys konkretūs aptikimo metodai, kuriuos galima įgyvendinti per savaitę be didelių investicijų:
| Metodas | Ką rodo | Sudėtingumas |
|---|---|---|
| Tinklo srauto analizė | Prisijungimai prie chatgpt.com, claude.ai, perplexity.ai | Žemas |
| Naršyklės plėtinių auditas | Įdiegti DI plėtiniai („ChatGPT Sidebar", „Monica") | Žemas |
| Anoniminė darbuotojų apklausa | Realus naudojimas, įrankiai, dažnumas | Vidutinis |
| DLP (Data Loss Prevention) sistema | Konfidencialių duomenų siuntimas į išorinius DI | Aukštas |
| Copy-paste įrašų analizė naršyklėje | Kokios informacijos įkeliama į DI įrankius | Aukštas |
Praktinė rekomendacija: pradėkite nuo anoniminės apklausos. Žmonės, kuriems garantuojamas anonimiškumas, pasako tiesą — ir šis duomuo paprastai parodo 3–5 kartus didesnį naudojimą nei IT skyrius įtaria.
Koks planas leidžia suvaldyti šešėlinį DI, o ne tik uždrausti?
Keturių žingsnių sprendimas, veikiantis geriau nei draudimas:
1 žingsnis. Oficialus, vidinis DI įrankis. Pakeiskite viešąjį ChatGPT saugia alternatyva — „ChatGPT Enterprise", „Claude for Work", arba individualus sprendimas su vietine duomenų talpa. Tai sprendžia 70% problemos, nes darbuotojai gauna tą patį funkcionalumą be duomenų nutekėjimo rizikos.
2 žingsnis. Aiški politika su konkrečiais pavyzdžiais. Ne „draudžiama naudoti DI", o „galima naudoti X įrankį šioms užduotims; niekada neįkelkite Y tipo duomenų". Politika su konkrečiais pavyzdžiais laikomasi kur kas dažniau nei bendri draudimai.
3 žingsnis. Darbuotojų mokymai. Ne saugumo apžvalga, o praktinė pamoka: „kaip naudoti DI efektyviai, kad sutaupytumėte 1 valandą per dieną". Kai darbuotojai mato naudą, jie pereina prie oficialaus įrankio savanoriškai. Plačiau rašėme straipsnyje DI pokyčių valdymas komandoje.
4 žingsnis. Stebėjimas ir grįžtamasis ryšys. DLP sistema + kas ketvirtinė apklausa. Pirmi trys mėnesiai — mokymasis, ne bausmės. Darbuotojai turi jaustis saugūs pripažinti, ką iš tikrųjų naudoja.
Įmonės, įgyvendinusios šį planą, per 6 mėnesius sumažina neautorizuotą DI naudojimą nuo 68% iki mažiau nei 15%, o oficialaus įrankio naudojimas užauga iki 80%.
Ką reikia padaryti dabar?
Šešėlinis DI — ne ateities grėsmė, o dabartinė realybė. 68% darbuotojų jau naudoja neleistus įrankius, 77% jų įkelia konfidencialius duomenis, o nuo 2026 m. rugpjūčio šis klausimas tampa ir ES DI akto atitikties problema. Plačiau apie reguliavimo reikalavimus — ES DI akto atitikties plane.
Pradėkite nuo trijų konkrečių veiksmų per artimiausias 4 savaites: (1) anoniminė darbuotojų apklausa — kad turėtumėte realius skaičius; (2) oficialios DI priemonės patvirtinimas — bent vieno įrankio, kuriuo darbuotojai galės naudotis saugiai; (3) vieno puslapio vidinės politikos dokumentas su konkrečiais pavyzdžiais.
Draudimas neveikia. Veikia saugus ir geresnis už nemokamą alternatyvą sprendimas.
Norite saugaus DI sprendimo, kuriuo darbuotojai naudotųsi savanoriškai? Susisiekite su WiseMonks komanda nemokamai konsultacijai — padėsime įvertinti dabartinį naudojimą ir pasiūlysime vidinį sprendimą, atitinkantį BDAR bei ES DI aktą.