אושרי פנחס

השנה היא 2026. כלי ה-AI הם כבר לא “הדבר הבא”, הם כלי העבודה הבסיסיים ביותר שלנו. אחד היישומים המרתקים ביותר שנכנסו לשוק בשנים האחרונות הוא Shadow ai. המעצבת הגרפית משתמשת במחולל תמונות, המתכנת נעזר ב-Co-Pilot, ואנשי השיווק כותבים פוסטים עם מודל שפה.

על פניו? התייעלות מדהימה. בפועל? אנחנו עומדים מול סיוט אבטחת המידע הגדול ביותר של העשור האחרון: Shadow AI.

אם לפני חמש שנים דיברנו על Shadow IT כבעיה של “בזבוז כסף”. (עובד שקנה רישיון ל-Trello באשראי החברה בלי אישור), היום הבעיה הפכה לאקוטית ומסוכנת הרבה יותר. זה כבר לא עניין של 20 דולר בחודש. במקום זאת, זה עניין של קניין רוחני (IP) שזולג החוצה.

דמיינו את התרחיש הבא (שקורה כנראה ברגעים אלו ממש בארגון שלכם): מנהל הכספים רוצה לנתח את דו”ח הרבעון האחרון. הוא רוצה לעשות רושם טוב בישיבת ההנהלה. לכן הוא מחפש בגוגל “Free AI PDF Analysis”. בהמשך הוא מוצא כלי נחמד ומעלה אליו את קובץ ה-Excel עם נתוני השכר והרווחים. בנוסף, הוא מקבל סיכום יפה. באותו רגע, הנתונים הרגישים ביותר של החברה שלכם הפכו למידע ציבורי שמאמן מודל צד-שלישי אי שם בעולם.

אז איך עוצרים את הסכר הזה בלי לחסום את החדשנות? התשובה נמצאת בשילוב של נראות (Visibility) ואכיפה (Enforcement). היום אני רוצה לשתף אתכם בארכיטקטורה שאני בונה בארגונים באמצעות שני כלים חזקים: Torii ו-JumpCloud.

הבעיה: העיוורון של מנהלי ה-IT

הבעיה המרכזית עם Shadow AI היא הקלות הבלתי נסבלת. לא צריך להתקין תוכנה (מה שה-EDR היה חוסם), לא צריך הרשאות Admin. כל מה שצריך זה דפדפן וחיבור לגוגל (Sign in with Google).

רוב מנהלי ה-IT חיים באשליה שהפיירוול שלהם מגן עליהם. אבל כשעובד מתחבר מהבית, או כשהוא משתמש בכלי SaaS לגיטימי לכאורה, הפיירוול עיוור. אתם לא יודעים איזה מידע עולה לשם.

כאן אנחנו חייבים לשנות גישה: במקום “לרדוף” אחרי העובדים, אנחנו צריכים מערכות שיודעות לזהות דפוסי שימוש ולנהל אותם אוטומטית.

שלב 1: העיניים של הארגון – Torii (SaaS Management)

הכלי הראשון שאני מטמיע כדי להתמודד עם התופעה הוא Torii. טורי היא לא סתם מערכת לניהול רישיונות; היא “גלאי העשן” של אפליקציות ה-SaaS בארגון.

ברגע שעובד מבצע “Login with Google” או “Login with Microsoft” לאפליקציית AI חדשה שצצה הבוקר, טורי מזהה את זה מיידית. עם זאת, הכוח האמיתי של טורי הוא לא רק בלהגיד לי “היי, יש אפליקציה חדשה”. במקום זאת, הוא טמון באוטומציה של התהליכים (Workflows).

כך זה עובד אצלי בשטח: בניתי בטורי אוטומציה שמזהה כל אפליקציה שמקטוגרת תחת “Artificial Intelligence” או “Generative AI”. ברגע שמתגלה אפליקציה כזו שלא נמצאת ברשימת הכלים המאושרים (Allow List), קורים מספר דברים במקביל. הכול בצורה אוטומטית לחלוטין:

1. פנייה לעובד: נשלחת הודעה אוטומטית לעובד בסלאק/טימס: “היי דני, ראינו שנרשמת לכלי ChatPDF. שים לב שכלי זה אינו מאושר להעלאת מידע עסקי. האם השימוש הוא לצרכי עבודה קריטיים?”
2. יידוע מנהל ישיר: במקרים מסוימים, המערכת שולחת עדכון למנהל של העובד כדי לוודא שיש פיקוח.
3. סגירת המעגל: אם העובד לא מגיב או שהכלי מסומן כמסוכן (High Risk), טורי יודעת לבצע Revoke Access לטוקן של גוגל/מיקרוסופט. בכך היא יכולה לנתק את הגישה של האפליקציה למידע הארגוני.

התהליך הזה הופך את ה-Shadow AI מ”חור שחור” לתהליך מנוהל. אנחנו לא בהכרח חוסמים, אנחנו קודם כל מבינים ומחנכים.

שלב 2: השרירים של הארגון – JumpCloud (Identity & Device Control)

בעוד שטורי נותנת לנו את המודיעין והניהול, JumpCloud נותנת לנו את השליטה הטכנית בתחנת הקצה ובזהות.

לפעמים, הודעה בסלאק לא מספיקה. יש כלי AI שהם פשוט מסוכנים מדי (כאלה שידוע שהם שומרים מידע, או כאלה שמקורם במדינות עוינות). לכן אנחנו צריכים למנוע את הגישה אליהם ברמת הברזלים.

כאן אני משתמש ביכולות ה-Browser Security וה-Policy Management של JumpCloud:

1. הגישה הרכה: באנר אזהרה (The Nudge) לא תמיד אני רוצה להיות “השוטר הרע” ולחסום הכל. לפעמים אני רוצה רק להזהיר. באמצעות פוליסי בדפדפן (Chrome/Edge המנוהלים ע”י JumpCloud), אני יכול להגדיר שבעת כניסה לאתרים מסוימים (כמו ChatGPT בגרסה החינמית), יקפוץ לעובד באנר בולט על המסך:

“שים לב! אתה גולש באתר AI חיצוני. חל איסור מוחלט להעלות קוד מקור, פרטי לקוחות או מידע פיננסי לאתר זה. כל פעולה מנוטרת.” הבאנר הזה הוא פסיכולוגי. הוא גורם לעובד לחשוב פעמיים לפני שהוא עושה את ה-Paste המסוכן.

2. הגישה הקשוחה: חסימה והתניות (Conditional Access) אם זיהינו כלי AI זדוני או כזה שמתחרה ישירות במוצר של החברה, אני משתמש ב-JumpCloud כדי:

• לחסום את הגישה ל-URL הספציפי ברמת הדפדפן.
• לחסום התקנה של תוספי דפדפן (Extensions) של AI שיכולים “לקרוא” את כל מה שהעובד כותב במייל הארגוני.
• להגדיר שגישה למערכות הליבה של הארגון לא תתאפשר אם מזוהה על המחשב תוכנת AI לא מאושרת שרצה ברקע.

הסינרגיה: השלם גדול מסך חלקיו

השילוב בין Torii ל-JumpCloud הוא מה שיוצר את “כיפת הברזל” של ה-Shadow AI.

• Torii מגלה לי מה קורה ומי עושה את זה, ומטפלת בבירוקרטיה ובסגירת הגישה ברמת הענן (OAuth).
• JumpCloud מאפשרת לי לאכוף את המדיניות על המחשב עצמו, לחנך את המשתמש בזמן אמת (באנרים), ולמנוע את הטעות הבאה.

לסיכום: אל תעצרו את הקידמה, תנהלו אותה

אנחנו לא רוצים לחזור לימי ה-IT החשוך שחוסם הכל. ארגון שלא ישתמש ב-AI ב-2026 יישאר מאחור. המטרה שלנו כמנהלי IT ואבטחת מידע היא לאפשר לעובדים לרוץ מהר, אבל לוודא שהם לא רצים עם מספריים ביד.

כשאתם משתמשים בכלים כמו Torii ו-JumpCloud בצורה חכמה, אתם הופכים ממכבי שריפות למאפשרים עסקיים (Business Enablers). לכן אתם אומרים לעובדים: “תשתמשו ב-AI, אבל בואו נעשה את זה בצורה בטוחה, דרך הכלים המאושרים, ותחת פיקוח”.

אז לפני שאתם הולכים לישון הלילה, תשאלו את עצמכם: כמה אפליקציות AI מחוברות ל-Google Workspace שלכם כרגע, ומי מהן קוראת את המיילים של המנכ”ל?

• הפיל שבחדר השרתים: למה ניהול SaaS הוא האתגר מספר 1 של ה-IT המודרני (ואיך מפסיקים לדמם כסף)
• הימור שהפך לסטנדרט: איך הטמעתי את JumpCloud בארגון בנוני גדול לבד (וכך הפכתי למומחה למערכת)
• למה ManageEngine Endpoint Central הוא ה-Game Changer של ניהול ה-IT
• הפיל שבחדר השרתים: למה הכנסת ChatGPT לארגון מבוסס Google Workspace היא טעות אסטרטגית (וביטחונית)
• מי אני