Zprávy

Zpráva Manifest odhalila mezeru v připravenosti na umělou inteligenci, protože bezpečnostní týmy podniků zápasí s viditelností a řízením

mm
Published
Updated

Nová zpráva od Manifest, „Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain,” odhalila rostoucí propast mezi důvěrou vedení a realitou provozu, pokud jde o připravenost na bezpečnost umělých inteligencí. Na základě průzkumu více než 300 bezpečnostních lídrů a praktiků napříč Spojenými státy a EMEA studie zjistila, že zatímco většina výkonných ředitelů věří, že jejich organizace jsou připraveny na rizika související s umělou inteligencí, bezpečnostní týmy na místě hlásí významné mezery v řízení, používání stínové umělé inteligence a omezenou viditelnost do komponent, které pohánějí moderní softwarové systémy.

Zjištění zdůrazňují centrální napětí, které vzniká v podnikové technologii: adopce umělých inteligencí se urychluje napříč produkty a pracovními postupy, ale mechanismy potřebné pro sledování, řízení a zabezpečení těchto systémů nedržely krok.

Umělé inteligence opět vytváří problémy se zabezpečením dodavatelského řetězce v nových formách

Po více než deset let organizace pracovaly na zlepšení zabezpečení softwarového dodavatelského řetězce sledováním závislostí, monitorováním zranitelností a vytvářením rámců pro řízení. Nicméně zpráva Manifest tvrdí, že umělá inteligence fakticky opět zavádí mnoho stejných rizik – nyní rozložených napříč modely, datovými sadami, agenty a třetími službami umělé inteligence.

Komponenty umělé inteligence často fungují jako neprůhledné systémy. Podniky často nemohou plně vysvětlit, jak byly modely trénovány, jaké datové sady byly použity, nebo které externí služby jsou vloženy do svých aplikací. V důsledku toho organizace čelí nové třídě rizika dodavatelského řetězce: softwarovým systémům, které nelze spolehlivě prohlédnout, ověřit nebo monitorovat v průběhu času.

Zpráva zdůrazňuje, že viditelnost již klesá. 63 % organizací hlásí přítomnost „stínové umělé inteligence“, odkazující na nástroje nebo integrace umělé inteligence přijaté bez dohledu bezpečnostních, nákupních nebo manažerských týmů.

Daniel Bardenstein, generální ředitel a spoluzakladatel Manifest, řekl, že data odhalují rostoucí propast mezi důvěrou vedení a realitou provozu: „Důvěra vedení v připravenosti na umělou inteligenci neodpovídá tomu, s čím se týmy aplikací denně setkávají. Lídři věří, že řízení je na místě, ale praktici vidí neřízené použití umělé inteligence, nejasné vlastnictví a slepá místa v tom, co skutečně běží napříč produkty a dodavateli.“

Výkonní ředitelé říkají, že jsou připraveni, bezpečnostní týmy nesouhlasí

Jedním z nejpozoruhodnějších zjištění ve zprávě je rozdílnost mezi důvěrou vedení a hodnoceními bezpečnostních týmů.

Téměř 80 % bezpečnostních výkonných ředitelů říká, že jejich organizace mají zavedené zralé postupy zabezpečení umělé inteligence, zatímco pouze asi 40 % týmů aplikací (AppSec) souhlasí s touto hodnocením.

Týmy aplikací jsou často první, kdo narazí na provozní selhání rámců pro řízení, protože přímo interagují s dodavatelským řetězcem softwaru. Tyto praktiky hlásí setkání s vysokým objemem upozornění, nejasným vlastnictvím bezpečnostních odpovědností a fragmentovanými nástroji napříč vývojovými a bezpečnostními prostředími.

Podle zprávy 47 % respondentů identifikovalo izolované týmy a nejasné vlastnictví jako největší překážku pro zlepšení zabezpečení dodavatelského řetězce softwaru.

Výsledkem je prostředí, ve kterém organizace mohou věřit, že mají silné bezpečnostní programy, zatímco kritické mezery zůstávají ve viditelnosti, odpovědnosti a provozní koordinaci.

Paradox SBOM: Generován, ale zřídka použit

Dalším významným poznatkem ze studie se týká Softwarových seznamů materiálů (SBOM) – inventářů softwarových komponent určených k pomoci organizacím sledovat závislosti a zranitelnosti.

Adopce SBOM se v posledních letech výrazně rozšířila, zejména kvůli regulatornímu tlaku a útokům na dodavatelský řetězec. Nicméně výzkum Manifest naznačuje, že mnoho organizací považuje generování SBOM za zaškrtnutí compliance, spíše než za provozní schopnost.

Zpráva zdůrazňuje několik klíčových statistik:

  • 60 % organizací generuje SBOM
  • Více než polovina z nich neaktivně spravuje nebo spotřebuje je v praxi
  • 79,6 % používá nástroje pro analýzu složení softwaru (SCA)
  • Provozní použití SBOM zůstává daleko nižší na 41,8 %

Bez centralizovaného příjmu, normalizace, vynucení politik a kontinuálního monitorování se SBOM stávají statickými artefakty spíše než aktivními nástroji pro řízení rizik.

Bezpečnostní týmy také vyjadřují skepsi vůči tradičním platformám pro analýzu složení softwaru. 56,3 % respondentů říká, že nástroje SCA vytvářejí hluk nebo zpožďují vývojáře, zatímco 46,4 % pochybuje o tom, zda tyto nástroje skutečně snižují reálná softwarová rizika.

Tato propast ilustruje širší výzvu zralosti: organizace mohou generovat velké objemy bezpečnostních dat, ale často postrádají provozní infrastrukturu, aby tyto signály přetvořily v měřitelné snížení rizik.

Transparentní data zlepšují zabezpečení a rychlost nasazení

Navzdory těmto výzvám výzkum ukazuje, že organizace, které dosahují skutečné transparentnosti napříč svými dodavatelskými řetězci softwaru, získávají měřitelné výhody.

Téměř half of respondents (49,4 %) hlásí, že obdrželi ověřitelná transparentní data – jako jsou SBOM, záznamy o původu nebo podepsané binární soubory – od dodavatelů během nákupu.

Když je toto informace spolehlivá a provozně využitelná, dopad je významný:

  • 64 % hlásí rychlejší implementaci nových technologií
  • 61,6 % hlásí rychlejší řešení bezpečnostních problémů
  • 15,5 % hlásí sníženou dobu odstávky

Organizace, které postrádají takovou transparentnost, platí to, co zpráva popisuje jako „transparentní daň“ – dodatečný čas, náklady a rizika spojená s manuálním vyšetřováním neprůhledných softwarových komponent.

Vysoce regulované odvětví ilustruje tuto výzvu. Finanční služby a zdravotnické organizace hlásí několik z nejnižších sazeb obdržení ověřitelných transparentních dat od dodavatelů – 14,3 % a 19,5 %, přestože mají největší potřebu jich.

Adopce umělých inteligencí se urychluje napříč podniky

Studie také zdůrazňuje, jak rychle se umělá inteligence stala nedílnou součástí softwarových ekosystémů podniků.

Virtuálně žádné organizace dotázané nehlásily, že se zcela vyhýbají umělé inteligenci. Místo toho společnosti experimentují napříč řadou přístupů:

  • 80,2 % používá schválené komerční modely umělé inteligence interně
  • 79,9 % široce používá komerční nástroje, jako je ChatGPT nebo Cursor
  • 56,7 % trénuje otevřené modely na interních datech
  • 29,3 % buduje vlastní modely umělé inteligence od začátku

Finanční služby a technologické společnosti vedou adopci. Téměř 90 % finančních služeb organizací hlásí schválené interní modely umělé inteligence, a 46,9 % buduje vlastní modely od začátku, daleko nad průměrem.

Tato odvětví mají silné pobídky k rychlému pohybu. Ve finančních službách umělá inteligence přímo ovlivňuje detekci podvodů, řízení rizik a generování příjmů. V technologických firmách se umělá inteligence stále více nachází v jádru produktových nabídek a platformových schopností.

Nicméně, rychlý tempo adopce často předčí řízení.

Stínová umělá inteligence se stává široce rozšířeným problémem

Výzkum potvrzuje, že stínová umělá inteligence – nástroje nebo modely nasazené bez formálního dohledu – je již rozšířená.

Pouze 34,8 % respondentů hlásí, že nemají stínovou umělou inteligenci ve svých organizacích, zatímco zbytek uznává alespoňบาง neřízené použití umělé inteligence.

Tento vzorec odráží dřívější vlny „stínového IT“, kde zaměstnanci přijali cloudové služby nebo SaaS nástroje mimo oficiální procesy nákupu.

Regionální rozdíly se také objevují. Organizace v EMEA hlásí vyšší sazby provozu bez stínové umělé inteligence (45,7 %), pravděpodobně kvůli silnějším regulatorním rámcům a přísnějším procesům nákupu ve srovnání s jinými regiony.

Nicméně zpráva varuje, že tradiční bezpečnostní nástroje nebyly navrženy pro sledování modelů umělé inteligence, datových sad a služeb napříč distribuovanými vývojovými prostředími.

Licenční a právní rizika jsou další velkou slepou skvrnou

Mimo technické řízení studie také zdůrazňuje právní a compliance výzvy spojené s adopcí umělé inteligence.

Porozumění licenčním podmínkám, právům duševního vlastnictví a omezením použití modelů a datových sad umělé inteligence zůstává obtížné pro mnoho organizací. Průzkum zjistil:

  • 93 % respondentů říká, že jejich organizace mají prostor pro zlepšení při správě licencí a závazků duševního vlastnictví umělé inteligence
  • 54,6 % silně souhlasí s tím, že to zůstává velkou výzvou

Tato rizika se stávají besonders akutními, když organizace trénují otevřené modely na interních datech nebo kombinují proprietární datové sady s třetími službami umělé inteligence.

Bez silnějších rámců pro řízení společnosti by mohly neúmyslně zavést porušování licencí nebo compliance do produkčních systémů.

Provozní sladění může být skutečnou výzvou

Zatímco bezpečnostní nástroje pokračují v evoluci, zpráva naznačuje, že největší bariéra pro efektivní zabezpečení dodavatelského řetězce umělé inteligence nemusí být technologií samotnou.

Místo toho mnoho organizací zápasí s fragmentovaným vlastnictvím, nespojenými pracovními postupy a absencí sdíleného systému záznamů pro softwarové a komponenty umělé inteligence.

Nejběžněji citované omezení zahrnují:

  • 47,3 % organizační omezení
  • 36,3 % nedostatečné dovednosti
  • 35,7 % omezení rozpočtu
  • 34,8 % nedostatek porozumění managementu
  • 32,6 % personální nedostatky

Tyto provozní mezery činí obtížným, aby bezpečnostní signály se přetvořily v konzistentní vynucení politik nebo měřitelné snížení rizik.

Proč zabezpečení dodavatelského řetězce umělé inteligence se stává strategickou prioritou

Jak se umělá inteligence stává nedílnou součástí každé vrstvy softwaru podniků, koncept dodavatelského řetězce softwaru se rozšiřuje, aby zahrnoval modely, trénovací datové sady, služby inference a třetí strany umělé inteligence.

Zpráva Manifest dospěla k závěru, že organizace musí jít za hranice nástrojů pro viditelnost v jednom okamžiku a vybudovat kontinuální, provozní kontrolu nad svými dodavatelskými řetězci umělé inteligence.

To zahrnuje:

  • Sledování všech modelů umělé inteligence používaných napříč vývojovými prostředími
  • Ověření původu a licencí trénovacích dat
  • Vynucení politik řízení během vývoje a nasazení
  • Udržování kontinuálních inventářů podobných SBOM pro komponenty umělé inteligence

Bez těchto mechanismů propast mezi adopcí umělé inteligence a řízením umělé inteligence bude pokračovat v rozšiřování.

A jak studie jasně uvádí, že tato propast již existuje uvnitř mnoha podniků dnes.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.