בעולם מושלם, כל שימוש ב-GenAI בארגון היה עובר דרך DPO, CISO, יועץ משפטי וארכיטקט מערכות. בעולם האמיתי, מפתחים מדביקים דוגמאות קוד ל-ChatGPT, אנשי מכירות מזינים נתוני לקוחות ל-בוט טקסט כדי לכתוב מיילים, ושירות הלקוחות מעלה הקלטות שיחה לכלי תמלול “חכם” שמצאו לבד בגוגל.
זה בדיוק Shadow AI: שימוש בכלי AI בלי אישור, בלי אבטחה ובלי Governance.
עבור DPO ו-CISO זה כבר לא תרחיש תיאורטי אלא מציאות יומיומית. ב-2025 נוסף על כך נדלק פנס רגולטורי גדול מעל הראש: תיקון 13 לחוק הגנת הפרטיות מחייב ארגונים רבים למנות DPO, מחזק סמכויות פיקוח, ומקשה מאוד על מי שלא יודע להראות שליטה בשימוש במידע אישי, כולל ב-AI.
במאמר הזה נצלול לעולם של Shadow AI מנקודת המבט של אנשי מקצוע מנוסים, ונראה איך אפשר להפוך את הסיוט להזדמנות: ממודל “עוצרים עובדים” למודל “מאפשרים AI בצורה נשלטת ובטוחה”.
מה בכלל הופך Shadow AI לסיוט של DPO ו-CISO?
Shadow AI הוא שימוש בכלי AI שלא עברו אישור, אינטגרציה או בקרה של הארגון. לפעמים זו אפליקציה קטנה שכתב מפתח בצד, לפעמים שירות חיצוני בענן, ולפעמים סתם לשונית ChatGPT פתוחה בדפדפן האישי.
ל-DPO ול-CISO יש פה שילוב בעייתי במיוחד:
-
אין שליטה על איפה המידע נשמר, כמה זמן, ובאיזו מדינה
-
אין ודאות אם המידע משמש לאימון המודלים של הספק
-
אין תיעוד מסודר של מה הוזן למערכת ומה יצא ממנה
-
אין יכולת ביצוע ביקורת או דיווח לרגולטור במקרה אירוע אבטחה או פרטיות
-
אין מיפוי אמיתי של סיכונים: מי משתמש, באילו מחלקות, על איזה מידע
כשמכניסים למשוואה מידע אישי, מידע רגיש או סודות מסחריים, Shadow AI הופך מטעות נקודתית לסיכון רגולטורי ומבצעי ממשי. רגולטורים ברחבי העולם כבר מאותתים בבירור שהשימוש ב-AI לא פוטר ארגונים מחובות פרטיות קיימות, אלא להפך – דורש Governance מחמיר יותר.
מה השתנה ב-2025: תיקון 13 והציפייה ל-Governance אמיתי
תיקון 13 לחוק הגנת הפרטיות הוא לא עוד עדכון קוסמטי אלא רפורמה עמוקה: חובת מינוי DPO בגופים רבים, מנגנוני אכיפה וחובת ציות נוקשה יותר, דגש על מיפוי מאגרים, נהלי אבטחת מידע ותיעוד החלטות.
ביחס ל-AI זה אומר בפועל:
-
קשה מאוד להסביר לרגולטור איך אתם מגינים על פרטיות אם אין לכם מושג איפה עובדים מזינים נתונים לכלי AI
-
“לא ידעתי שהצוות משתמש בכלי כזה” כבר לא נחשב תירוץ משכנע כשיש DPO מוגדר ומנגנוני אחריות ברורים
-
דירקטוריון והנהלה מצופים לקבל דיווחים מסודרים על סיכוני מידע, כולל סיכוני Shadow AI, ולבקר את צמצומם
במקביל, מחקרים וסקרים מראים שארגונים רבים מאמצים GenAI בקצב מהיר, אבל חלק גדול מהם עדיין בלי מדיניות מסודרת, בלי הכשרה ובלי תהליך Governance סגור.
כלומר: השימוש קפץ קדימה, ה-Governance נשאר מאחור.
איפה ה-CISO בתמונה, ואיך הוא מפסיק להיות רק “שוטר ה-No”?
עד לפני כמה שנים CISO טיפוסי היה נתפס כשומר סף: מאשר או חוסם מערכות, מגדיר מדיניות, מטפל באירועים. בעולם Shadow AI התפקיד משתנה.
אי אפשר “לסגור את האינטרנט” לעובדים, וגם לא לחסום כל כלי GenAI. זה לא ריאלי עסקית, זה פוגע בחדשנות, ובפועל זה פשוט דוחף עוד יותר שימושים למחתרת.
ה-CISO החדש נמדד על:
-
עד כמה הוא מצליח להביא את השימוש ב-AI אל האור במקום לדחוף אותו למחתרת
-
יכולת לתרגם סיכוני AI לשפה עסקית: מה המשמעות על שורת הרווח, על מוניטין, על שותפויות
-
עבודה צמודה עם DPO, יועץ משפטי, DevOps, Data ו-Product כדי לבנות ביחד Governance, במקום להישאר הסilo טכני
במילים אחרות: CISO הוא כבר לא “שומר על הדלת” אלא שותף בהנדסת מסילות בטוחות ל-AI בתוך הארגון.
מפת סיכונים חדשה: איך נראה Shadow AI ביום עבודה רגיל
כדי לעצב Governance נכון צריך קודם כל להכיר את המציאות. כמה דוגמאות קלאסיות שאנחנו רואים בארגונים:
-
מפתח שמכניס קטע קוד פרטי של לקוח ל-ChatGPT כדי “שיעזור לסדר את הבאג”
-
אנליסטית שמייצאת קובץ לוגים עם מזהי משתמשים ומטעינה אותו לכלי AI בענן כדי “לקבל תובנות”
-
מנהלת שיווק שמבקשת מ-AI לייצר פרסונות ומלינה למערכת תיאור מפורט של לקוחות קיימים
-
צוות שירות לקוחות שמזין תיעוד שיחות, שמות וטענות לקוח לכלי תמלול וניתוח שפה שלא הוגדר כמאושר
-
יזם פנימי בארגון שמחבר כלי AI זול ל-API של מערכת הייצור כדי “להאיץ עבודה”, בלי Threat Modeling ובלי ביקורת קוד
בכל אחד מהתרחישים האלה יש שילוב של פרטיות, אבטחת מידע ו-Compliance. זה לא עוד “טעות אנוש”, זה כשל Governance ידוע מראש אם הארגון לא הגדיר כללים, לא יצר אלטרנטיבות בטוחות ולא השקיע בהכשרה.
איך מנהלים Governance כשה-Shadow AI כבר כאן? חמישה עקרונות עבודה
במקום לנסות “לחסום הכל”, המפתח הוא לבנות Governance שמבין את המציאות, מנהל סיכון ומציע חלופות.
1. מגדירים מדיניות AI פשוטה וברורה ולא רק מסמך משפטי
מדיניות AI לא יכולה להיות עוד PDF שאף אחד לא קורא. היא צריכה לתת לעובד תשובות פרקטיות:
-
מתי מותר להשתמש בכלים ציבוריים כמו ChatGPT ומתי חובה לעבוד רק עם פתרונות ארגוניים
-
איזה מידע אסור בתכלית האיסור להזין לכלי ציבורי: מידע רפואי, נתוני תשלום, מספרי זהות, סיסמאות, סודות מסחריים
-
איך מסמנים שימוש ב-GenAI במסמכים, קוד או חומרים שיוצאים החוצה
-
מה תהליך האישור להטמעת כלי AI חדש בארגון
המדיניות הזו צריכה להיות מתואמת עם יועצים משפטיים, DPO ו-CISO, אבל גם מתורגמת לשפה של מפתחים, אנשי מכירות ושירות.
2. ממפים Shadow AI והופכים אותו ל־Visible AI
אי אפשר לנהל מה שלא רואים.
מנהלים מקצועיים יודעים היום להשתמש בכלים מגוונים כדי לזהות שימוש ב-AI:
-
ניטור תעבורה לספקי AI ציבוריים, ברמת דפוס ולא ברמת “משטר”
-
סקרים והצהרות עובדים, בעיקר בצוותים טכנולוגיים, שיווק ומכירות
-
מעקב אחרי “כמעט תקלות”: איפה כבר נזקפת שורה על “השתמשתי ב-AI וקרה X”
המטרה אינה “לתפוס אשמים”, אלא להבין היכן הארגון כבר מסתמך בפועל על GenAI כדי לתכנן Governance שמתאים למציאות.
3. בונים ארכיטקטורת נתונים שמתאימה לעידן GenAI
Governance של AI הוא קודם כל Governance של דאטה.
ל-DPO ול-CISO יש פה תפקיד משותף:
-
סיווג מידע ברור: מה מותר לצאת לענן צד שלישי, מה חייב להישאר on-prem או ב-VPC סגור
-
יצירת “אזורים בטוחים” ל-AI: סביבות מוגנות עם דאטה מצונזר או אנונימי לתהליכי ניסוי
-
הפרדה בין דאטה לאימון מודלים לבין דאטה לשימוש שוטף
-
Logging ובקרה: תיעוד של מי שאל מה, באיזה הקשר, ומה חזר מהמודל
בלי ארכיטקטורה כזו, Shadow AI הוא בסך הכל סימפטום לכך שאין שליטה בזרימת מידע בארגון.
4. מגדירים מודל אחריות משותפת: DPO, CISO והביזנס באותה שורה
Governance של AI לא יכול להיות פרויקט של יחידה אחת. ארגונים מובילים מקימים היום פורום AI Governance או ועדת AI שמאגדת: DPO, CISO, יועץ משפטי, Data, Product ונציגים עסקיים.
הפורום הזה אחראי ל:
-
אישור מדיניות AI והתקנתה בשטח
-
קביעת קריטריונים לאישור ספקי AI חיצוניים
-
הגדרת תהליך קבלת החלטות לגבי שימוש חדש ב-GenAI
-
סקירת אירועים, כמעט תקלות ותלונות משתמשים
כך Shadow AI הופך לנושא מנוהל, לא אירוע נקודתי שכל מחלקה מתמודדת איתו לבד.
5. בונים תרבות שמקדמת דיווח ולא הסתרה
אם עובד מפחד לספר שנעזר ב-AI, הוא ימשיך לעשות זאת מתחת לרדאר.
ל-DPO ול-CISO יש כאן הזדמנות מנהיגותית:
-
להעביר הכשרות שמדברות בגובה העיניים על סיכונים אמיתיים ולא רק על “אסור”
-
לתת דוגמאות חיות של אירועים בעולם שבהם דליפת מידע ל-AI יצרה נזק משמעותי
-
לעודד עובדים לדווח על רעיונות ל-Use cases חדשים ולהבטיח מגנון בחינה מהירה
-
לחבר בין שימוש נכון ב-AI לבין ביצועים עסקיים טובים: פחות שחיקה, יותר פרודוקטיביות, זמן תגובה קצר יותר ללקוח
כשהמסר הוא “אנחנו רוצים שתשתמשו ב-AI, אבל יחד נבנה את זה נכון”, הארגון מפחית Shadow AI ומגדיל שימוש נשלט.
תפקיד ה-DPO החדש: ממנהל מסמכים למעצב Governance של AI
תיקון 13 כבר מגדיר את ה-DPO כשחקן מרכזי במשילות המידע בארגון: הכשרות, תכניות בקרה, ליווי הנהלה, תיעוד החלטות ויישום תרבות פרטיות.
בעידן Shadow AI זה מתרגם לכמה כיוונים חדשים:
-
להיות מעורב בעיצוב תהליכי פיתוח מוצרים מבוססי AI ולא רק בחתימה על נהלים
-
לבנות ביחד עם CISO מנגנון לבחינת Use cases חדשים של GenAI
-
להוביל DPIA (הערכת השפעה על פרטיות) ספציפי לשימושים ב-AI, ולאמץ Best practices גלובליים
-
לעקוב אחרי הנחיות רגולטוריות מתעדכנות בארץ ובעולם לגבי AI, פרטיות ודאטה, ולתרגם אותן לשפה ארגונית
ה-DPO של 2025 כבר לא יכול להסתפק בשאלה “איפה מאגר המידע רשום”. הוא נמדד על היכולת להגיד להנהלה: “זה ה-Risk profile שלנו בשימוש ב-GenAI, אלה הצעדים שכבר עשינו, וזו התכנית לשנה הקרובה”.
איך קורס CISO & DPO של ג’ון ברייס מחבר את כל זה לקריירה שלך
מי שמגיע היום לתפקידי CISO, DPO או מנהלי Governance מגיע לעולם מורכב בהרבה מזה שהיה כאן לפני כמה שנים: רגולציה מתעדכנת, Shadow AI בכל פינה, לחץ עסקי “לזוז מהר” ולקוחות שמצפים גם לחדשנות וגם להגנה על פרטיות.
קורס CISO & DPO של מכללת ג’ון ברייס נבנה בדיוק עבור אנשי מקצוע מנוסים שרוצים לעשות את קפיצת המדרגה לעולמות Governance מודרני:
-
להבין לעומק את תיקון 13, ה-GDPR והרגולציות הרלוונטיות, ולהפוך אותן לתכנית עבודה יישומית בארגון
-
לתכנן וליישם תכנית Governance ל-GenAI ול-Shadow AI, בשיתוף הנהלה, צוותי מוצר ו-IT
-
ללמוד מתרחישים אמיתיים של אירועי פרטיות וסייבר, כולל ניתוח Data breaches שקשורים ב-AI
-
לפתח שפה משותפת של CISO ו-DPO, כדי להוביל ביחד את הארגון ולא לעבוד אחד ליד השני
אם אתה כבר חי את עולמות הסייבר, האבטחה או הפרטיות ורוצה להיות זה שמוביל את הדיון על Shadow AI במקום זה שרק מגיב אליו, זו ההזדמנות להפוך את הסיוט של ה-DPO למנוע צמיחה מקצועי.
אפשר להשאיר פרטים בעמוד הקורס CISO & DPO של ג’ון ברייס ולקבל ייעוץ אישי לגבי המסלול שמתאים לניסיון ולשאיפות שלך.
