Connect with us

فيبوتي سينها، رئيس قسم المنتجات في Saviynt – سلسلة مقابلات

مقابلات

فيبوتي سينها، رئيس قسم المنتجات في Saviynt – سلسلة مقابلات

mm
Published
Updated

فيبوتي سينها، رئيس قسم المنتجات في Saviynt، يقود رؤية الشركة وابتكارها وتوجيهها الاستراتيجي لمحفظة الهوية والذكاء في مكان العمل، بالإضافة إلى الإشراف على نجاح المنتج والشريك. مع خبرة تزيد على عقدين في إدارة الهوية والوصول (IAM)، لعب دورًا مركزيًا في تشكيل هندسات أمان كبيرة النطاق لمنظمات Fortune 500.

Saviynt هي منصة أمان الهوية الأصلية في السحابة، تركز على مساعدة الشركات في إدارة الوصول وأمنه عبر المستخدمين والتطبيقات والبيانات، وأيضًا أنظمة الذكاء الاصطناعي بشكل متزايد. تقدم عروضها الرئيسية، سحابة الهوية، حوكمة الهوية الموحدة وإدارة الوصول المتميزة وحوكمة الوصول إلى التطبيقات داخل منصة واحدة، مما يسمح للشركات بمعالجة الأمان والامتثال ومبادئ الثقة الصفرية بمقياس كبير. تستخدم المنصة الذكاء الاصطناعي لتحسين قرارات الوصول ومراقبة المخاطر وحوكمة ليس فقط المستخدمين البشر ولكن أيضًا الهويات غير البشرية مثل حسابات الخدمة ووكلاء الذكاء الاصطناعي، مما يعكس تعقيدات بيئات الشركات الحديثة. من خلال توحيد أمان الهوية في طبقة تحكم واحدة، تهدف Saviynt إلى تقليل العبء التشغيلي مع تحسين الرؤية والامتثال عبر أنظمة السحابة والهجينة وال내ية.

لقد قمت بإنفاق أكثر من عقد في Saviynt لمساعدة الشركة على التوسع من التركيز المبكر على السحابة إلى منصة أمان الهوية العالمية، كيف غير هذا المسار من وجهة نظرك للهوية كأساس لتأمين الشركات التي تعتمد على الذكاء الاصطناعي؟

عندما انضممت إلى Saviynt، لم تكن الهوية شيئًا يتحدث عنه معظم المجالس أو المديرين التنفيذيين. كانت غالبًا ما تُعتبر مجرد توفير حسابات وتنفيذ شهادات. مع مرور السنوات، مع انتقال الشركات إلى السحابة واندفاع تطبيقات السحابة، أصبحت الهوية بطريقة هادئة الطبقة التي تربط كل شيء: الأشخاص والتطبيقات والبنية التحتية والبيانات.

الانضمام إلى هذا المسار غير من وجهتي إلى الهوية. بدأت أرى الهوية ليس كفئة من المنتجات، ولكن كطبقة التحكم لكيفية عمل الشركات في الواقع. كل قرار وصول، كل موافقة، كل عملية تلقائية — كل ذلك يعود إلى الهوية.

الآن مع الذكاء الاصطناعي، نشهد نفس التحول مرة أخرى. وكلاء الذكاء الاصطناعي هم عمال رقميون يمكنهم التصرف نيابة عن البشر أو الأعمال. إذا لم نعطهم هويات، ملكية، وحوكمة، سوف ننتهي بالتأتمرات بدون مساءلة. لذلك أعتقد أن الهوية سوف تكون الأساس لتأمين الشركات التي تعتمد على الذكاء الاصطناعي. الهوية هي ما يأتي بالمساءلة والحوكمة والتحكم في الأنظمة الذاتية.

تطلق Saviynt مساحة تحكم هويات مخصصة لوكلاء الذكاء الاصطناعي، ما هو الفجوة في هياكل الأمان والهوية الحالية دفع هذا القرار؟

الأدوات والأمان الحالية لم تُصمم للفعلاء المستقلين. تم تصميمها للموظفين والتطبيقات، وليس للكيانات البرمجية التي يمكنها اتخاذ قرارات وتنفيذها وتشغيلها بشكل مستقل.

معظم أنظمة الهوية اليوم جيدة جدًا في الإجابة على من أنت؟” و”ما هو الوصول الذي تم توفيره لك؟” لكن في عالم وكلاء الذكاء الاصطناعي، السؤال الأكثر أهمية يصبح “ماذا تفعل الآن، وينبغي لك أن تفعل ذلك؟”

هناك أيضًا فجوة في الحوكمة. الشركات بدأت في نشر مئات أو آلاف من الوكلاء عبر منصات مثل Copilot و Vertex AI و Bedrock، ولكن nhiều منظمات لا تعرف كم عدد الوكلاء لديها، من يملكهم، ما البيانات التي يمكنهم الوصول إليها، أو ماذا يحدث إذا غادر المالك الشركة. إنها تخلق مشكلة أكبر من مجرد مشكلة أمنية. إنها مشكلة حوكمة ومساءلة.

ذلك هو ما أدى بنا إلى فكرة مساحة تحكم الهوية لوكلاء الذكاء الاصطناعي: طريقة مركزية لاكتشاف الحوكمة والتحكم والتدقيق على هويات الذكاء الاصطناعي على مدار دورة حياتهم وافعالهم في وقت التشغيل.

كيف يختلف إدارة وكلاء الذكاء الاصطناعي المستقلين عن حوكمة الهويات غير البشرية التقليدية مثل حسابات الخدمة أو البوتات؟

إدارة وكلاء الذكاء الاصطناعي مختلفة جدًا عن حوكمة الهويات غير البشرية التقليدية لأن هذه الهويات عادة ما تكون محددة وقابلة للتنبؤ. حساب الخدمة يدير مهمة محددة. البوت يؤدي مهمة محددة. سلوكهم لا يتغير حقًا إلا إذا قام شخص ما بتعديل الكود.

وكلاء الذكاء الاصطناعي مختلفون لأنهم مستقلون ومتكيفون ومدفوعون بالهدف. لا يديرون فقط سيناريو محدد. هذه الوكلاء يقررون كيفية إكمال مهمة، وأي أدوات لاستخدامها، وأي بيانات للوصول إليها، وأحيانًا حتى مع أي وكلاء آخرين للتعاون. سلوكهم يمكن أن يتطور مع مرور الوقت مع تغيير النماذج أو المحفزات أو التكاملات.

ذلك يعني أن توفير الوصول مرة واحدة ومراجعته كل ربع سنة ليس نموذجًا مستدامًا للحوكمة. تحتاج إلى حوكمة مستمرة، بما في ذلك الاكتشاف والملكية وإدارة الدورة الحياتية والأهم من ذلك، ضوابط وقت التشغيل لتقييم ما يفعله الوكيل في اللحظة.

الانفتاح هو: مع الهويات غير البشرية التقليدية، تحكم الوصول. مع وكلاء الذكاء الاصطناعي، عليك حوكمة السلوك والافعال في الوقت الفعلي. لا يعني التصديق صحة الهدف. أمن الذكاء الاصطناعي سوف يتم بناؤه على هذه الفكرة.

كيف يعتبر الاطلاع الموحد عبر بيئات مثل Amazon Bedrock و Google Vertex AI و Microsoft Copilot Studio مهمًا عند تبني الشركات لأدوات مثل هذه؟

لا يمكنك حماية ما لا يمكنك رؤيته.

الاطلاع الموحد عبر منصات مثل Amazon Bedrock و Google Vertex AI و Microsoft Copilot Studio هو أمر بالغ الأهمية، والذي يصعب على معظم المنظمات التعامل معه حاليًا. تبني الذكاء الاصطناعي يحدث بسرعة كبيرة، ويحدث عبر منصات متعددة في نفس الوقت.

قد يبدأ فريق أو وحدة أعمال واحدة في بناء وكلاء في Copilot Studio، بينما يختبر فريق آخر Bedrock، وفرق أخرى تستخدم Vertex AI. بسرعة، تنتهي بهم إلى وكلاء الذكاء الاصطناعي منتشرة عبر المؤسسة بدون قائمة مركزية.

التحدي الأول الذي تواجهه الشركات بسيط جدًا: لا يعرفون حتى كم عدد وكلاء الذكاء الاصطناعي لديهم، أين يعملون، ما البيانات التي يمكنهم الوصول إليها، أو من يملكهم. بدون رؤية، لا يمكنك الحوكمة، وبدون حوكمة، لا يمكنك بالتأكيد تأمينها.

الاطلاع الموحد يصبح الأساس. قبل حوكمة الدورة الحياتية، قبل ضوابط وقت التشغيل، قبل السياسات، الخطوة الأولى هي الاكتشاف والجرد عبر جميع منصات الذكاء الاصطناعي. في عالم الذكاء الاصطناعي، الاطلاع هو متطلب تشغيلي وأمني وحوكمة.

ما هو دورة حياة وكيل الذكاء الاصطناعي كاملة من منظور الهوية والحوكمة، من الإنشاء إلى إلغاء الخدمة؟

أنا أحب أن أشرح دورة حياة وكيل الذكاء الاصطناعي بنفس الطريقة التي نشرح بها دورة حياة الموظف.

أولاً، يتم إنشاء الوكيل وتسجيله. يبني شخص ما (مطور أو محلل أعمال) وكيلًا في Bedrock أو Copilot Studio. في تلك النقطة، يجب أن نسأل أسئلة الهوية الأساسية: من يملك هذا الوكيل؟ ما هو عمله؟ ما هي الأنظمة التي يحتاج إلى الوصول إليها؟

ثم يبدأ الوكيل في العمل. يصل إلى الأنظمة، ويقرأ أو يكتب البيانات عبر واجهات برمجة التطبيقات، ويؤدي سلاسل من الإجراءات عبر أدوات ومنصات، ويفعل كل ذلك بشكل مستقل بسرعة الآلة. السؤال عن “هل هذا مسموح به؟” لا يمكن أن يُجاب عند جدار الحماية. يجب الإجابة عنه عند طبقة الهوية، في الوقت الفعلي، مع السياق الكامل لما يحاول الوكيل القيام به ولماذا.

بمرور الوقت، يتغير الوكيل. قد نضيف أدوات جديدة، أو نحدث النموذج، أو نوسع الوصول، أو نغير الدور. ذلك يشبه حدث نقل للهوية البشرية ويحتاج إلى حوكمة وموافقات.

وأخيرًا، عندما لا يُعد الوكيل مطلوبًا، يجب إيقاف خدماته — سحب الوصول، إزالة بيانات الاعتماد، إغلاق التكاملات، والحفاظ على سجلات التدقيق.

بمعنى بسيط، الدورة الحياتية هي: إنشاء → تعيين المالك والغرض → منح الوصول بأقل صلاحيات → مراقبة الحوكمة → إدارة التغييرات → إيقاف الخدمة بشكل نظيف.

كيف يجب على الشركات التفكير في تأمين التفاعلات بين الوكلاء عند بدء أنظمة الذكاء الاصطناعي في العمل والتعاون بشكل مستقل؟

أعتقد أن التفاعلات بين الوكلاء ست trở واحدة من أكبر التحديات الأمنية في السنوات القليلة القادمة.

اليوم، نميل إلى القلق من是否 ينبغي للموظف الوصول إلى نظام ما. في المستقبل، سوف نميل إلى القلق من وكلاء آلاف يتحدثون إلى وكلاء آخرين، ويؤدون سلاسل من الإجراءات، ويسلطان على البيانات، ويتخذون قرارات بدون وجود إنسان في الحلقة.

المخاطر ليست فقط ما يمكن لوكيل واحد القيام به، ولكن ما يمكن لوكلاء متعددين القيام به معًا. يمكنك أن تنتهي إلى مواقف حيث لا يملك وكيل واحد وصولًا كبيرًا، ولكن عندما يتعاونون، يمكنهم أداء إجراءات قوية جدًا.

الشركات يجب أن تأخذ في الاعتبار عدة أمور:

  • كل وكيل يجب أن يكون له هوية فريدة.
  • ضوابط الأمان في وقت التصميم ليست كافية. الحواجز في وقت التشغيل هي أمر بالغ الأهمية.
  • مكالمات الوكيل يجب أن تكون مصحوبة بتحقق الهوية.
  • الإجراءات يجب أن تكون مصحوبة بتحقق الصلاحية في الوقت الفعلي.
  • ال تفويض يجب أن يكون محددًا ومحدودًا بزمن.
  • كل شيء يجب أن يتم تسجيله للتدقيق.

بكثير من الطرق، نحن نتحرك إلى نموذج أمني مختلف جدًا: من إدارة وصول الإنسان إلى إدارة التعاون الآلي بمقياس غير مسبوق.

ما هي المخاطر الأكثر إلحاحًا التي تواجه الشركات اليوم عند نشر وكلاء الذكاء الاصطناعي بدون حوكمة هويات مناسبة؟

المخاطر الأكبر حاليًا ليست سيناريو خيالي لسيطرة الذكاء الاصطناعي. إنها أكثر أساسية، وهي تحدث بالفعل في معظم الشركات التي تجرب وكلاء الذكاء الاصطناعي. الشركات تخلق وكلاء في كل مكان، لكنهم لا يملكون طريقة مركزية لتتبعهم أو حكمتهم أو إدارة ما يمكنهم الوصول إليه.

التعرف على الذكاء الاصطناعي كان الأولوية حتى الآن، وهذا مفهوم. كل تكنولوجيا جديدة تمر بمرحلة مثل هذه. لكن الأمان والحوكمة يحتاجون إلى اللحاق بالركب بسرعة.

إذا لم يحدث ذلك، الشركات تتعرض لخطر وكلاء بدون أصحاب واضحين وبدون وصول واضح. هذه الوكلاء قد تتسرب معلومات حساسة وتستمر في التشغيل بعد انتهاء المشروع — كل ذلك بدون سجل تدقيق واضح.

لقد رأينا ذلك من قبل مع حسابات الخدمة والموارد السحابية. أولاً يأتي التعرف، ثم التوسع، ثم مشاكل الأمان والحوكمة. الذكاء الاصطناعي يتبع نفس النمط، فقط بشكل أسرع وأكثر استقلالية ووكالة.

بدون حوكمة الهوية، وكلاء الذكاء الاصطناعي يصبحون هويات متميزة غير مُدارة. ذلك خطر على أي منظمة. ذلك ليس ابتكارًا، بل مخاطر مؤسسية إضافية.

كيف يغير صعود وكلاء الذكاء الاصطناعي تعريف الهوية داخل الأنظمة المؤسسية؟

أعتقد أن تعريف الهوية داخل الشركات يتوسع بشكل كبير. كان يُعتبر في الماضي بشكل رئيسي الموظفين، ثم توسع إلى الهويات الخارجية مع انفجار العمال في سلسلة التوريد، العمال عن بُعد، وغيرهم. جعلت الجائحة ذلك يحدث بشكل أسرع مع إدارة حسابات الخدمة والبوتات كهويات غير بشرية. الآن، وكلاء الذكاء الاصطناعي يأخذون ذلك خطوة إلى الأمام.

وكلاء الذكاء الاصطناعي ليسوا مجرد حسابات أو سكريبتات. إنهم يقررون ويسلطان على الأنظمة وينشئون المحتوى ويؤدون سلاسل من الإجراءات ويتعاونون مع وكلاء آخرين. إنهم يلمسون البيانات ويقررون ويتغيرون النتائج. إنهم يتصرفون أكثر مثل العمال الرقميين من كونهم حسابات برمجية.

ذلك يعني أن الهوية لم تعد فقط عن من يمكنه تسجيل الدخول. إنها عن من أو ما يتصرف داخل المؤسسة، ماذا يُسمح لهم بفعله، من يملكهم، وكيف نتابع وأحكم على أفعالهم.

الهوية تتطور من شيء يمثل مستخدمًا إلى شيء يمثل أي ممثل — إنسان أو آلة — يمكنه اتخاذ إجراء وتغيير النتائج داخل منظمة.

عند تقييم المؤسسين أو الفرق التي تبني في أمان الذكاء الاصطناعي أو الهوية، ما هي الإشارات التي تُظهر أنهم يفهمون حقًا تعقيد هذا المجال؟

أولئك الذين يفهمون حقًا هذا المجال لا يبدأون بالتكنولوجيا. يبدأون بالمشكلة. يمكنهم توضيح ليس فقط ما يبنون، ولكن لماذا النهج الحالي مكسور ومن يفقد النوم بسبب ذلك.

الإشارة بالنسبة لي هي الدقة. أي شخص يمكنه القول “الذكاء الاصطناعي يطرح مخاطر هويات جديدة”. لكن هل يمكنهم سيرك حول كيفية إساءة استخدام رمز OAuth في سير عمل وكيل؟ هل يفهمون لماذا الهويات غير البشرية مختلفة بشكل جوهري عن الهويات البشرية، ليس فقط في الحجم، ولكن في السلوك والدورة الحياتية ونطاق الانفجار؟

أنا também أهتم بكيفية حديثهم عن العملاء. أفضل المؤسسين في هذا المجال قد عاشوا الألم بأنفسهم كمدير أمني أو مهندس أو مسؤول امتثال، أو قضو وقتًا طويلاً مع المتخصصين حتى يتمكنوا几乎 من إكمال جملتهم.

ثم هناك إدراك التنظيمي والبيئي. أمان الهوية والذكاء الاصطناعي لا يوجدان في فراغ. المؤسسون الذين أعتز بهم يفهمون كيف يقع منتجهم داخل موقف امتثال أوسع — NIST، SOC 2، إطارات حوكمة الذكاء الاصطناعي الناشئة — وقد فكروا جيدًا في哪里 يلتصقون بال ढانة و哪里 يملكونها.

العلامات الحمراء هي الفرق التي تتبع فقط رواية الذكاء الاصطناعي. يمكنهم وصف السوق بجمال، ولكن عندما تدفعهم لمزيد من التفاصيل، تضعف الرواية.

هل ترى الهوية تصبح الطبقة الرئيسية للتحكم لأنظمة الذكاء الاصطناعي بنفس الطريقة التي حددت بها أمان الشبكة الحدود المؤسسية، وكيف يجب على فرق الأمان التحضير لهذا التحول؟

نعم، وأعتقد أننا أقرب إلى هذا النقطة من ما يدركه معظم فرق الأمان.

حدود الشبكة كان لها معنى عندما كانت الأصول مادية، مثل الخوادم في مركز بيانات، أو الموظفين في مكتب، أو حركة المرور عند الحافة. لكن السحابة أزالت تلك الحدود، واعتمدنا على الهوية لملء الفراغ. الثقة الصفرية لم تكن مجرد مصطلح تسويقي؛ كانت إعترافًا بأن الحدود انتهت، والهوية أصبحت أكثر أهمية من أي وقت مضى.

وكلاء الذكاء الاصطناعي على وشك التأثير على الهوية بنفس الطريقة التي أثرت بها السحابة على الشبكة. هذه الأنظمة تصل إلى الموارد، وتتخذ قرارات، وتدعو إلى واجهات برمجة التطبيقات، وتسلسل الإجراءات عبر أدوات ومنصات، ويفعلون كل ذلك بشكل مستقل بسرعة الآلة. السؤال عن “هل هذا مسموح به؟” لا يمكن أن يُجاب عند جدار الحماية. يجب الإجابة عنه عند طبقة الهوية، في الوقت الفعلي، مع السياق الكامل لما يحاول الوكيل القيام به ولماذا.

الهوية تصبح طبقة التحكم. لكنها نسخة أكثر صعوبة من الهوية مما بنيناه من قبل. إنها لا تخص فقط المصادقة. إنها التصديق الذي يدرك النية والسياق وسلسلة الإجراءات التي قام بها الوكيل بالفعل. ذلك مشكلة مختلفة عن إصدار شهادة أو تدوير بيانات الاعتماد.

对于 فرق الأمان، التحضير يبدأ bằng تغيير في العقلية. أوقفوا التفكير في أنظمة الذكاء الاصطناعي كتطبيقات يجب حمايتها عند الحدود، وبدلاً من ذلك، ابدأوا التفكير فيها كأطراف — كيانات لها هويات وامتيازات ودورة حياة تحتاج إلى إدارة من النهاية إلى النهاية. من الذي أنشأ هذا الوكيل؟ ما الذي يُسمح لهم بفعله؟ من هو المسؤول عندما يفعل شيئًا غير متوقع؟

الفرق التي تتقدم في هذا المجال لن تكون تلك التي تثبت أمان الذكاء الاصطناعي كفكرة بعد الظهر. سوف يكونون أولئك الذين يمدون موقفهم الحوكمي للهوية ليشمل الهويات غير البشرية ووكلاء الذكاء الاصطناعي قبل أن تصبح تلك الهويات هي التي تتخذ القرارات الحاسمة.

شكرًا على المقابلة الرائعة، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا Saviynt.

mm

أنطوان هو قائد رؤى ومؤسس شريك في Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. رجل أعمال متسلسل، يعتقد أن الذكاء الاصطناعي سيكون مدمرًا للمجتمع مثل الكهرباء، وغالبًا ما يُقبض عليه وهو يثرثر عن إمكانات التكنولوجيات المدمرة و AGI.

كما أنه مستقبلي، فهو مخصص لاستكشاف كيف سيشكل هذه الابتكارات العالم. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التكنولوجيات المتقدمة التي تعيد تعريف المستقبل وتهيئ القطاعات بأكملها.