Connect with us

Tankeledere

Konfrontation med sikkerhedsrisici ved copilots

mm
Published
Updated

I stigende grad bruger virksomheder copilots og lavkode-platforme til at enablede medarbejdere – selv dem med lidt eller ingen teknisk ekspertise – til at oprette kraftfulde copilots og forretningsapps, samt til at behandle store mængder data. En ny rapport fra Zenity, The State of Enterprise Copilots and Low-Code Development in 2024, fandt, at gennemsnitligt har virksomheder omkring 80.000 apps og copilots, der er oprettet uden for den standard softwareudviklingslifecycle (SDLC).

Dette udvikling tilbyder nye muligheder, men også nye risici. Blandt disse 80.000 apps og copilots er der omtrent 50.000 sårbarheder. Rapporten bemærkede, at disse apps og copilots udvikler sig i en rasende fart. Derfor skaber de et stort antal sårbarheder.

Risici ved virksomheds-copilots og apps

Typisk bygger softwareudviklere apps omhyggeligt langs en defineret SDLC (sikker udviklingslifecycle), hvor hver app konstant er designet, deployet, målt og analyseret. Men i dag findes disse sikkerhedsforanstaltninger ikke længere. Personer med ingen udviklingserfaring kan nu bygge og bruge kraftfulde copilots og forretningsapps inden for Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier og andre. Disse apps hjælper med forretningsoperationer, da de overfører og gemmer følsomme data. Væksten i dette område har været betydelig; rapporten fandt 39% år-til-år-vækst i antallet af lavkode-udvikling og copilots.

Som følge af denne omgåelse af SDLC er sårbarheder almindelige. Mange virksomheder omfavner ivrigt disse muligheder uden fuldt ud at forstå, at de har brug for at forstå, hvor mange copilots og apps der oprettes – og deres forretningskontekst også. For eksempel har de brug for at forstå, hvem apps og copilots er tiltænkt, hvilke data appen interagerer med og hvilke deres forretningsformål er. De har også brug for at vide, hvem der udvikler dem. Da de ofte ikke gør, og da standardudviklingspraksis overgås, skaber dette en ny form for skygge-IT.

Dette stiller sikkerhedsteams i en vanskelig situation med mange copilots, apps, automatiseringer og rapporter, der bygges uden for deres viden af forretningsbrugere i forskellige LoBs. Rapporten fandt, at alle OWASP (Open Web Application Security Project) Top 10 risikokategorier er almindelige i virksomheder. Gennemsnitligt har en virksomhed 49.438 sårbarheder. Dette svarer til 62% af copilots og apps, der er bygget via lavkode, der indeholder en sikkerhedssårbarhed af en eller anden art.

Forståelse af de forskellige typer risici

Copilots repræsenterer en så stor potentiel trussel, fordi de bruger legitimationsoplysninger, har adgang til følsomme data og besidder en indre nysgerrighed, der gør dem svære at indhegne. Faktisk var 63% af copilots bygget med lavkode-platforme for overshares med andre – og mange af dem accepterer ikke-autentificeret chat. Dette muliggør en betydelig risiko for mulige promptinjektionsangreb.

På grund af, hvordan copilots fungerer, og hvordan AI fungerer generelt, skal strenge sikkerhedsforanstaltninger gennemføres for at forhindre deling af slutbrugerinteraktioner med copilots, deling af apps med for mange eller forkerte personer, unødvendig tildeling af adgang til følsomme data via AI og så videre. Hvis disse foranstaltninger ikke er på plads, risikerer virksomheder øget eksponering for dataleaks og ondsindet promptinjektion.

Related Topics:
mm

Ben Kliger er administrerende direktør og medstifter af Zenity, som bringer applikationssikkerhed til verden af enterprise copilots, lavkode og ingen-kode applikationsudvikling. Ben har stor erfaring i cybersikkerhedsindustrien, der spænder over 16+ år. Hans ekspertise omfatter hånd-on cybersikkerhed, teambygning og ledelse gennem forretningsstrategi og ledelse.