قادة الفكر

التعرضات الأمنية الجديدة للتنقل السريع إلى الذكاء الاصطناعي العام الذي يجب على المنظمات معالجته

mm mm
Published
Updated

لقد تحول الذكاء الاصطناعي التوليدي (GenAI) من فضول إلى قوة مركزية في تقنية المؤسسات. وقدرته على توليد نصوص ورموز وصور واطلاعات حسب الطلب جعلته لا غنى عنه للموظفين الذين يرغبون في التغلب على التعقيد وتسريع الإنتاجية. ولكن مع هذه الابتكار والكفاءة يأتي تعرض كبير للمخاطر.

في المكالمات مع المسؤولين التنفيذيين وقادة الحوكمة الاصطناعية عبر الصناعات، يظهر موضوع واحد مرة بعد مرة: لقد انتقلت أمان البيانات من قلق رئيسي إلى نقطة محورية في استراتيجيتهم وأصبح الآن التحدي الحاسم لتبني الذكاء الاصطناعي. على عكس البرمجيات التقليدية أو حتى موجات التعلم الآلي السابقة، يغير GenAI بشكل أساسي عملية تأمين البيانات داخل المنظمة.

دراسة حديثة من معهد ماساتشوستس للتكنولوجيا وجدت أن 95% من مشاريع تجريبية GenAI في المؤسسات تفشل. ليس لأن التكنولوجيا ضعيفة، ولكن لأن المؤسسات تفتقر إلى الإطارات الحوكمة والأمن اللازمة لتشغيل GenAI بشكل مناسب ومسؤول. في دراسة أخرى من معهد ماساتشوستس للتكنولوجيا، أشار قادة المؤسسات إلى أمان البيانات كأعلى مخاطر أعمال وأمن تهدد تبني الذكاء الاصطناعي بشكل أسرع. بالإضافة إلى ذلك، يُعترف على نطاق واسع بـ “الذكاء الاصطناعي الخفي”، وهو استخدام الموظفين غير المصرح به لأدوات عامة، كمحفز لزيادة مخاطر البيانات خارج سيطرة الشركات.

يُعد وصول الأقل امتياز نموذجًا أمنيًا يتم بموجبه منح أي كيان، سواء كان مستخدمًا أو برنامجًا أو عملية، أدنى مستوى من الوصول والصلاحيات اللازمة لأداء وظائفه الشرعية. ومع ذلك، يقلب GenAI هذا المفهوم رأسًا على عقب: يصبح وصول الأقل امتياز نفسه عائقًا يتعارض مع طريقة عمل هذه الأنظمة. هذا لأن أدوات GenAI في المؤسسات توفر مكاسب إنتاجية أعلى عندما يكون لديها وصول إلى المزيد من بيانات الأعمال والسياق التجاري.

随着 تسارع اعتماد GenAI، يكتشف المستخدمون تطبيقات جديدة ل GenAI، معظمها ينشأ من التجارب العضوية والفضول، بدلاً من التخطيط التجاري من أعلى إلى أسفل. إذا لم يكن الكيان قادرًا على تحديد المهام التي سيتم استخدام GenAI من أجلها، أو أنواع البيانات التي يحتاج إلى الوصول إليها، فمن المستحيل تعيين صلاحيات الوصول إلى الأقل امتياز. بالإضافة إلى ذلك، قد يكون للمستخدم وصول مناسب إلى مجموعة بيانات ويقدمها بشكل شرعي كمدخلات لأداة GenAI، ولكن بمجرد أن يتم استهلاك البيانات، لم يعد خاضعًا لصلاحيات المستخدم الأصلية. بدلاً من ذلك، يمكن امتصاصه في النموذج، أو ظهوره في الإخراج في المستقبل، أو إتاحته للآخرين الذين يستخدمون نفس الأداة. منذ أن لا يرث GenAI بالضرورة ضوابط الوصول إلى البيانات، فإنه يجعله فعليًا غير قابل للتنفيذ.

التعرضات التي يجب مراعاتها ل GenAI

يخلق GenAI سطح بيانات ضخم ومتوسع باستمرار، مما يُ复ّق حوكمة البيانات وأمنها في المؤسسات بطرق متصلة. وتشمل هذه:

تسرب الإدخال – يمكن لـ GenAI استهلاك البيانات في شكلها الخام، بما في ذلك النصوص والصور والصوت والفيديو والبيانات المهيكلة. يمكن للمستخدمين الآن توجيه أدوات GenAI إلى مجموعات بيانات جديدة بجهود وخبرة معتدلة. بدلاً من أن يكونوا مقيدون بجداول مهيكلة بعناية مع مخططات و علاقات محددة، قد تشمل هذه المجموعات بيانات مثل تسجيلات المكالمات الهاتفية وملاحظات البريد الإلكتروني لبرنامج إدارة علاقات العملاء ونسخ من معالجات خدمة العملاء، وغيرها. في الممارسة، يقدم الموظفون إشارات تحتوي على معلومات أعمال حساسة للغاية، بما في ذلك معلومات تعريف شخصية للعملاء، والملكية الفكرية، والتنبؤات المالية، وحتى شفرة المصدر.

تعرض الإخراج – لا يستهلك النماذج التوليدية فحسب، بل إنها ت合ّن أيضًا. يمكن للإشارة أن تكشف عن رؤى من مجموعات بيانات متعددة دون علم أو موافقة适حة. في بعض الحالات، يمكن للإخراج “تخيل” بيانات تبدو مشروعة ولكنها تحتوي على شظايا من المواد التدريبية الحساسة.

تعمل أدوات GenAI بشكل أفضل عندما يكون لديها سياق للعمل المطلوب. ونتيجة لذلك، لا يستهلك GenAI فقط المعلومات الموجودة، بل إن المستخدمين يخلقون أيضًا بيانات جديدة لتوجيهه في شكل إشارات مفصلة توثق السياق التجاري والعمليات الداخلية والمعلومات الحساسة أو الحرجة للأعمال.

الوصول بدون إشراف – لا تتطلب الأنظمة التقليدية للمؤسسات ترخيص البائع أو توفير التكنولوجيا. اليوم، يُدمج GenAI في كل مكان – في حزمة مايكروسوفت أوفيس، والمتصفحات، وأدوات الدردشة، ومنصات البرمجيات كخدمة. يمكن للموظفين تبنيه على الفور، متجاوزين الحوكمة تمامًا. يغذي هذا الوصول الخالي من الاحتكاك “الذكاء الاصطناعي الخفي”، وكل استخدام غير مصرح به لـ GenAI هو حدث محتمل لسرقة البيانات يحدث بشكل غير مرئي وعلى نطاق واسع وخارج نطاق حوكمة المؤسسة.

مخاطر سلسلة التوريد من الدرجة الثانية – قد يبدو البائع آمنًا، ولكنه يعتمد غالبًا على مقاولين من أصحاب الملاجئ السحابية أو خدمات التعليق أو مختبرات الذكاء الاصطناعي الثالثة. كل ذلك يقدم اتفاقيات ترخيص مستخدم نهائي وسياساته. يمكن أن تنتشر البيانات الحساسة للمؤسسة عبر أيدي غير مرئية عديدة، ومع ذلك تظل المسؤولية متاحة للمؤسسة. على سبيل المثال، قد يكون للمؤسسة موردًا قد أكمل عملية الترخيص، ولكنه يستخدم الآن أداة GenAI يمكن أن تسمح لبيانات المؤسسة أن تُستخدم كبيانات تدريبية، مع آثار كبيرة لاحقة.

فجوات الحوكمة في بيانات التدريب – بمجرد دخول البيانات إلى نموذج الذكاء الاصطناعي، ينتهي التحكم فعليًا. لا يمكن للمؤسسات سحب أو حوكمة كيفية استخدام معلوماتها بسهولة. قد تظل المعرفة الحصرية وتظهر في الإخراج لاحقًا بعد أن يُنسى مصدرها. لم نلتق بأي أداة GenAI تسمح بالطلبات لإزالة المعلومات التي تم استهلاكها، مثل ما يُشاهد في لوائح الخصوصية مثل لوائح حماية البيانات العامة أو قانون خصوصية المستهلك في كاليفورنيا. ومن غير المحتمل أن يتم تنفيذ مثل هذه العمليات حتى تدفعها التنظيمات.

مخاطر شفرة التطبيق – يصبح الذكاء الاصطناعي أكثر فأكثر كاتب الشفرة التي تدعم الأنظمة التجارية. قد ي introduces المطورون الذين يستخدمون أدوات GenAI مثل Microsoft Copilot لتوليد الشفرة بدون قصد تعتيمات غير آمنة أو نشر نقاط ضعف أو دمج شفرة تحت رخص مفتوحة متعارضة. بمجرد نشرها، تصبح هذه الضعف محتضنة في سلسلة التوريد البرمجية.

معالجة مخاطر GenAI

يُعتبر GenAI بالفعل جزءًا من تدفقات العمل للمؤسسات، لذلك السؤال على المؤسسات ليس ما إذا كانوا سيتبنونه، بل كيف يفعلون ذلك بشكل مسؤول. يُعتبر تبني GenAI بدون حوكمة يعرض لانتهاكات باهظة الثمن وغرامات تنظيمية وتلف سمعة. ولكن منعها يؤدي فقط إلى حث الموظفين على استخدام حلول غير مصرح بها. الطريق الوحيد للمضي قدمًا هو تمكين يrapped في الرؤية والسيطرة.

تتطلب حوكمة GenAI رؤية مدفوعة بالسياق لا فقط إلى ما يمتلكه المؤسسة من بيانات، وأين تعيش، ومن لديه حق الوصول إليها، ولكن أيضًا إلى كيفية استخدام GenAI. تحتاج المؤسسات إلى رؤية الأدوات التي يتم الوصول إليها، والإشارات التي يتم إدخالها، وإلى ما إذا كانت البيانات الحساسة تغادر بيئتهم. من هناك، يمكنهم تطبيق التحكم المناسب لمراقبة الإشارات والإخراج في الوقت الفعلي، وتحديد الجلسات المخاطرية أو تدفقات البيانات الشاذة، وحظر الأدوات غير المصرح بها، وتصفية الإشارات الحساسة قبل أن تغادر، وتشطب البيانات الحساسة عند إدخالها في الإشارات، وفرض قيود دورية على رؤى الذكاء الاصطناعي.

يُعتبر GenAI طبقة جديدة تمامًا من مخاطر المؤسسات وفرصها. يتطلب إدارته عقلية أن الأمان ليس حجر عثرة على الابتكار، بل الأساس الذي يجعله آمنًا.

mm

الدكتور شاشانكا هو الرئيس العلمي والشريك المؤسس لشركة Concentric. قبل انضمامه إلى Concentric ، عمل الدكتور شاشانكا كمدير تنفيذي لفرق العلوم والتعلم الآلي في Charles Schwab. كان هو الشريك المؤسس والرئيس العلمي لشركة PetaSecure قبل بيعها لشركة Niara.

mm

Lane Sullivan serves as the Senior Vice President and Chief Information Security and Strategy Officer at Concentric AI, leading the company's global cybersecurity program and influencing product strategy to enhance enterprise data security and AI governance. Previously, Lane held the position of Senior Vice President and Chief Information Security Officer at Magellan Health, focusing on compliance within a highly regulated environment. Experience also includes directing a multi-million-dollar cybersecurity program at Ingram Content Group, and providing infrastructure leadership at C&S Wholesale Grocers. Lane's leadership roles span back to JT Investments, where operations and technology were managed, and Basin Home Health & Hospice Inc., where significant advancements in healthcare IT were achieved. Lane's educational background includes a Master's degree in Computer and Information Systems Security from Western Governors University, complementing a Bachelor's degree in IT Management from the same institution.