Αναφορά Manifest Αποκαλύπτει Χάσμα Ετοιμότητας AI ως Οι Ομάδες Ασφαλείας των Επιχειρήσεων Παλέουν με Ορατότητα και Διακυβέρνηση

Μια νέα αναφορά από Manifest, «Πέρα από το Μαύρο Κουτί: Πώς το AI Βάζει ξανά την Ασφάλεια της Αλυσίδας Εφοδιασμού του Λογισμικού», αποκαλύπτει μια αυξανόμενη απόσταση μεταξύ της εμπιστοσύνης των διευθυντών και της λειτουργικής πραγματικότητας όταν πρόκειται για την ετοιμότητα ασφαλείας του AI. Βασισμένη σε μια έρευνα περισσότερων από 300 ηγετών και πρακτικών ασφαλείας στις Ηνωμένες Πολιτείες και την EMEA, η μελέτη διαπιστώνει ότι ενώ οι περισσότεροι διευθυντές πιστεύουν ότι οι οργανώσεις τους είναι προετοιμασμένες για τους κινδύνους της αλυσίδας εφοδιασμού που οδηγούνται από το AI, οι ομάδες ασφαλείας στο έδαφος αναφέρουν σημαντικά κενά διακυβέρνησης, χρήση σκιών AI και περιορισμένη ορατότητα στα στοιχεία που τροφοδοτούν τα σύγχρονα συστήματα λογισμικού.

Οι ανακαλύψεις υπογραμμίζουν μια κεντρική ένταση που εμφανίζεται στην τεχνολογία των επιχειρήσεων: η υιοθέτηση του AI επιταχύνεται γρήγορα σε προϊόντα και ροές εργασίας, αλλά τα μηχανικά που απαιτούνται για να παρακολουθήσουν, να διακυβερνήσουν και να ασφαλίσουν αυτά τα συστήματα δεν τηρούν το ρυθμό.

Το AI Αναδημιουργεί Προβλήματα Ασφαλείας της Αλυσίδας Εφοδιασμού σε Νέες Μορφές

Για περισσότερο από μια δεκαετία, οι οργανώσεις έχουν εργαστεί για τη βελτίωση της ασφαλείας της αλυσίδας εφοδιασμού του λογισμικού, παρακολουθώντας τις εξαρτήσεις, παρακολουθώντας τις ευπαθειές και εγκαθιστώντας πλαισιά διακυβέρνησης. Ωστόσο, η αναφορά του Manifest υποστηρίζει ότι το AI επαναεισάγει αποτελεσματικά πολλά από τους ίδιους κινδύνους – τώρα διασκορπισμένους σε μοντέλα, συνόλους δεδομένων, πράκτορες και υπηρεσίες AI τρίτων.

Τα στοιχεία του AI λειτουργούν συχνά ως αδιαφανή συστήματα. Οι επιχειρήσεις συχνά δεν μπορούν να εξηγήσουν πλήρως πώς εκπαιδεύτηκαν τα μοντέλα, ποια σύνολα δεδομένων χρησιμοποιήθηκαν ή ποιες εξωτερικές υπηρεσίες είναι ενσωματωμένες στα εφαρμογέ τους. Ως αποτέλεσμα, οι οργανώσεις αντιμετωπίζουν μια νέα κατηγορία κινδύνου της αλυσίδας εφοδιασμού: συστήματα λογισμικού που δεν μπορούν να ελέγχονται, να ελεγχθούν ή να παρακολουθούνται με τρόπο αξιόπιστο με την πάροδο του χρόνου.

Η αναφορά τονίζει ότι η ορατότητα έχει ήδη αρχίσει να χάνεται. 63% των οργανισμών αναφέρουν την παρουσία «σκιών AI», αναφερόμενοι σε εργαλεία AI ή ενσωματώσεις που υιοθετήθηκαν χωρίς επιτήρηση από τις ομάδες ασφαλείας, προμήθειας ή διαχείρισης κινδύνων.

Daniel Bardenstein, Διευθύνων Σύμβουλος και συνιδρυτής του Manifest, είπε ότι τα δεδομένα αποκαλύπτουν ένα ευρύ γκαρ σε μεταξύ της αντίληψης των διευθυντών και της λειτουργικής πραγματικότητας: «Η εμπιστοσύνη των διευθυντών στην ετοιμότητα του AI δεν ταιριάζει με αυτό που αντιμετωπίζουν οι ομάδες AppSec στην καθημερινή τους δουλειά. Οι ηγέτες πιστεύουν ότι η διακυβέρνηση είναι στη θέση της, αλλά οι πρακτικοί βλέπουν μη διαχειριζόμενη χρήση AI, ασαφής ιδιοκτησία και τυφλά σημεία σε αυτό που τρέχει πραγματικά σε προϊόντα και προμηθευτές».

Οι Διευθυντές Λένε ότι Είναι Έτοιμοι, Οι Ομάδες Ασφαλείας Διαφωνούν

Μια από τις πιο εντυπωσιακές ανακαλύψεις στην αναφορά είναι η απόκλιση μεταξύ της εμπιστοσύνης των διευθυντών και των αξιολογήσεων των πρώτων γραμμών ασφαλείας.

Σχεδόν 80% των διευθυντών ασφαλείας λένε ότι οι οργανώσεις τους έχουν ώριμες πρακτικές ασφαλείας AI, ενώ μόνο περίπου 40% των ομάδων AppSec συμφωνούν με αυτή την αξιολόγηση.

Οι ομάδες AppSec είναι συχνά οι πρώτοι που αντιμετωπίζουν λειτουργικές αποτυχίες στα πλαισιά διακυβέρνησης, επειδή αλληλεπιδρούν trực tiếp με την αλυσίδα εφοδιασμού του λογισμικού. Οι πρακτικοί αυτοί αναφέρουν ότι αντιμετωπίζουν υψηλά επίπεδα ενημερώσεων, ασαφή ιδιοκτησία των ευθυνών ασφαλείας και θραυσματικά εργαλεία σε περιβάλλοντα ανάπτυξης και ασφαλείας.

Σύμφωνα με την αναφορά, 47% των респондέντων ταυτοποίησαν τις θραυσματικές ομάδες και την ασαφή ιδιοκτησία ως το μεγαλύτερο εμπόδιο για τη βελτίωση της ασφαλείας της αλυσίδας εφοδιασμού του λογισμικού.

Το αποτέλεσμα είναι ένα περιβάλλον όπου οι οργανώσεις μπορεί να πιστεύουν ότι έχουν ισχυρά προγράμματα ασφαλείας, ενώ κρίσιμα κενά παραμένουν στην ορατότητα, την ευθύνη και τη συντονισμένη λειτουργική.

Η Παραδοξότητα του SBOM: Γεννημένο αλλά Σπάνια Χρησιμοποιημένο

Μια άλλη σημαντική εντύπωση από τη μελέτη αφορά τα Λογιστικά στοιχεία Λογισμικού (SBOM) – καταλόγους των στοιχείων του λογισμικού που έχουν σχεδιαστεί για να βοηθήσουν τις οργανώσεις να παρακολουθούν τις εξαρτήσεις και τις ευπαθειές.

Η υιοθέτηση του SBOM έχει επεκταθεί σημαντικά τα τελευταία χρόνια, ιδιαίτερα λόγω της πίεσης της ρύθμισης και των επιθέσεων της αλυσίδας εφοδιασμού. Ωστόσο, η έρευνα του Manifest υποδηλώνει ότι πολλές οργανώσεις αντιμετωπίζουν τη γεννήτρια SBOM ως μια επιλογή συμμόρφωσης παρά ως μια λειτουργική ικανότητα.

Η αναφορά υπογραμμίζει beberapa κρίσιμους στατιστικούς:

• 60% των οργανισμών γεννούν SBOM
• Περισσότερο από το μισό δεν διαχειρίζονται ή καταναλώνουν ενεργά σε πρακτική
• 79.6% χρησιμοποιούν εργαλεία Ανάλυσης Συνθέσεων Λογισμικού (SCA)
• Η λειτουργική χρήση του SBOM παραμένει πολύ χαμηλότερη στο 41.8%

Χωρίς κεντρική λήψη, κανονικοποίηση, επιβολή πολιτικής και συνεχής παρακολούθηση, τα SBOM γίνονται στατικά αντικείμενα παρά ενεργά εργαλεία διαχείρισης κινδύνων.

Οι ομάδες ασφαλείας εκφράζουν επίσης σκεπτικισμό προς τις παραδοσιακές πλατφόρμες Ανάλυσης Συνθέσεων Λογισμικού. 56.3% των респондέντων λένε ότι τα εργαλεία SCA δημιουργούν θόρυβο ή καθυστερούν τις ομάδες ανάπτυξης, ενώ 46.4% αμφιβάλλουν ότι αυτά τα εργαλεία μειώνουν πραγματικά τον κίνδυνο του λογισμικού.

Αυτή η απόκλιση εικονογραφεί μια ευρύτερη πρόκληση ωριμότητας: οι οργανώσεις μπορούν να γεννήσουν μεγάλες ποσότητες δεδομένων ασφαλείας, αλλά συχνά λείπουν της λειτουργικής υποδομής για να μεταφράσουν αυτά τα σήματα σε μετρητή_reduction κίνδυνου.

Τα Δεδομένα Διαφάνειας Βελτιώνουν την Ασφάλεια και την Ταχύτητα Εγκατάστασης

Παρά τις αυτές τις προκλήσεις, η έρευνα δείχνει ότι οι οργανώσεις που επιτύχουν σημαντική διαφάνεια σε όλη την αλυσίδα εφοδιασμού του λογισμικού κερδίζουν μετρητά οφέλη.

Σχεδόν μισό των респондέντων (49.4%) αναφέρουν ότι λαμβάνουν δεδομένα διαφάνειας—όπως SBOM, εγγραφές προέλευσης, ή υπογεγραμμένα δυαδικά—από προμηθευτές κατά τη διάρκεια της προμήθειας.

Όταν αυτά τα δεδομένα είναι αξιόπιστα και λειτουργικά, η επίδραση είναι σημαντική:

• 64% αναφέρουν ταχύτερη εγκατάσταση νέας τεχνολογίας
• 61.6% αναφέρουν γρηγορότερη επίλυση προβλημάτων ασφαλείας
• 15.5% αναφέρουν μειωμένη время εκτός λειτουργίας

Οι οργανώσεις που λείπουν τέτοιων δεδομένων διαφάνειας πληρώνουν αυτό που η αναφορά περιγράφει ως «φόρο διαφάνειας»—τον πρόσθετο χρόνο, κόστος και κίνδυνο που συνδέεται με την手動 διερεύνηση αδιαφανών στοιχείων του λογισμικού.

Οι υψηλά ρυθμιζόμενες βιομηχανίες εικονογραφούν αυτή την πρόκληση. Οι οργανώσεις των χρηματοοικονομικών υπηρεσιών και της υγείας αναφέρουν μερικά από τα χαμηλότερα ποσοστά λήψης δεδομένων διαφάνειας από προμηθευτές—14.3% και 19.5% αντίστοιχα—παρά το γεγονός ότι έχουν την μεγαλύτερη ανάγκη για αυτά.

Η Υιοθέτηση του AI Επιταχύνεται σε Όλες τις Επιχειρήσεις

Η μελέτη επίσης υπογραμμίζει πώς γρήγορα το AI έχει ενσωματωθεί σε όλα τα επίπεδα των επιχειρηματικών οικοσυστημάτων του λογισμικού.

Σχεδόν καμία οργάνωση που συμμετείχε στην έρευνα δεν αναφέρθηκε ότι αποφεύγει完全 το AI. Αντίθετα, οι εταιρείες πειραματίζονται σε eine σειρά προσεγγίσεων:

• 80.2% χρησιμοποιούν εγκεκριμένα εμπορικά μοντέλα AI εσωτερικά
• 79.9% χρησιμοποιούν ευρέως εργαλεία εμπορικής Nutzung όπως το ChatGPT ή το Cursor
• 56.7% εκπαιδεύουν ανοιχτά μοντέλα σε εσωτερικά δεδομένα
• 29.3% κατασκευάζουν προσαρμοσμένα μοντέλα AI από την αρχή

Οι εταιρείες των χρηματοοικονομικών υπηρεσιών και της τεχνολογίας είναι οι ηγέτες της υιοθέτησης. Σχεδόν 90% των οργανισμών των χρηματοοικονομικών υπηρεσιών αναφέρουν εγκεκριμένα εσωτερικά μοντέλα AI, και 46.9% κατασκευάζουν προσαρμοσμένα μοντέλα από την αρχή, πολύ πάνω από τον μέσο όρο.

Αυτές οι τομείς έχουν ισχυρά κίνητρα για να κινηθούν γρήγορα. Στις χρηματοοικονομικές υπηρεσίες, το AI επηρεάζει直接 την ανίχνευση απάτης, τη διαχείριση κινδύνων και τη γεννήτρια εσόδων. Στις εταιρείες τεχνολογίας, το AI αυξανόμενα βρίσκεται στο κέντρο των προσφερόμενων προϊόντων και των ικανοτήτων των πλατφορμών.

Ωστόσο, ο ταχύς ρυθμός της υιοθέτησης συχνά υπερβαίνει τη διακυβέρνηση.

Το Shadow AI Γίνεται Ένα Ευρύ Προβλήμα

Η έρευνα επιβεβαιώνει ότι το shadow AI—εργαλεία ή μοντέλα που αναπτύσσονται χωρίς επίσημη επιτήρηση—is ήδη ευρύ.

Μόνο 34.8% των респондέντων αναφέρουν ότι δεν έχουν shadow AI στις οργανώσεις τους, ενώ ο υπόλοιπος αναγνωρίζει τουλάχιστον κάποια μη διαχειριζόμενη χρήση AI.

Αυτός ο τύπος αντανακλά προηγούμενες κυματίσματα του «shadow IT», όπου οι εργαζόμενοι υιοθετούσαν cloud υπηρεσίες ή SaaS εργαλεία έξω από τις επίσημες διαδικασίες προμήθειας.

Οι περιφερειακές διαφορές είναι επίσης εμφανείς. Οι οργανώσεις στην EMEA αναφέρουν υψηλότερους ρυθμούς λειτουργίας χωρίς shadow AI (45.7%), πιθανότατα λόγω ισχυρότερων ρυθμιστικών πλαισίων και αυστηρότερων διαδικασιών προμήθειας σε σύγκριση με άλλες περιοχές.

Ωστόσο, η αναφορά προειδοποιεί ότι τα παραδοσιακά εργαλεία ασφαλείας δεν σχεδιάστηκαν ποτέ για να παρακολουθούν μοντέλα AI, σύνολα δεδομένων και υπηρεσίες σε κατανεμημένα περιβάλλοντα ανάπτυξης.

Οι Νομικοί και Νομικοί Κίνδυνοι Είναι Ένα Άλλο Μεγάλο Τυφλό Σημείο

Πέρα από τις τεχνικές προκλήσεις διακυβέρνησης, η μελέτη επίσης υπογραμμίζει τις νομικές και συμμόρφωσης προκλήσεις που συνδέονται με την υιοθέτηση του AI.

Η κατανόηση των όρων αδειών, των πνευματικών δικαιωμάτων και των περιορισμών χρήσης των μοντέλων και συνόλων δεδομένων του AI παραμένει δύσκολο για πολλές οργανώσεις. Η έρευνα διαπίστωσε:

• 93% των респондέντων λένε ότι η οργάνωση τους έχει χώρο για βελτίωση στη διαχείριση των αδειών και των υποχρεώσεων IP του AI
• 54.6% συμφωνούν ισχυρά ότι αυτό παραμένει μια μεγάλη πρόκληση

Αυτοί οι κίνδυνοι γίνονται ιδιαίτερα οξείς όταν οι οργανώσεις εκπαιδεύουν ανοιχτά μοντέλα σε εσωτερικά δεδομένα ή συνδυάζουν ιδιωτικά σύνολα δεδομένων με στοιχεία AI τρίτων.

Χωρίς ισχυρότερους πλαισιούς διακυβέρνησης, οι εταιρείες θα μπορούσαν να εισαγάγουν ακούσια παραβάσεις αδειών ή έκθεση συμμόρφωσης σε συστήματα παραγωγής.

Η Λειτουργική Συστάθμιση Μπορεί να Είναι Η Πραγματική Πρόκληση

Ενώ τα εργαλεία ασφαλείας συνεχίζουν να εξελίσσονται, η αναφορά υποδηλώνει ότι το μεγαλύτερο εμπόδιο για την αποτελεσματική ασφάλεια της αλυσίδας εφοδιασμού του AI μπορεί να μην είναι η τεχνολογία herself.

Αντίθετα, πολλές οργανώσεις παλέουν με θραυσματικές ιδιοκτησίες, αποσυνδεδεμένες ροές εργασίας και την απουσία ενός κοινού συστήματος εγγραφής για στοιχεία λογισμικού και AI.

Οι πιο συχνά αναφερόμενες περιορισμοί περιλαμβάνουν:

• 47.3% οργανωτικά περιορισμοί
• 36.3% ανεπαρκείς δεξιότητες
• 35.7% περιορισμοί προϋπολογισμού
• 34.8% έλλειψη κατανόησης της διαχείρισης
• 32.6% ελλείψη προσωπικού

Αυτά τα λειτουργικά κενά καθιστούν δύσκολο για τα σήματα ασφαλείας να μεταφραστούν σε συνεχή επιβολή πολιτικής ή μετρητή_reduction κίνδυνου.

Γιατί Η Ασφάλεια της Αλυσίδας Εφοδιασμού του AI Γίνεται Ένα Στρατηγικό Προτεραιότητα

Όσο το AI ενσωματώνεται σε κάθε επίπεδο του επιχειρηματικού λογισμικού, η έννοια της αλυσίδας εφοδιασμού του λογισμικού επεκτείνεται για να περιλαμβάνει μοντέλα, σύνολα δεδομένων, υπηρεσίες συλλογής και πλατφόρμες AI τρίτων.

Η αναφορά του Manifest καταλήγει στο συμπέρασμα ότι οι οργανώσεις πρέπει να ξεπεράσουν τα εργαλεία ορατότητας στο σημείο και να κατασκευάσουν συνεχή, λειτουργική έλεγχο στις αλυσίδες εφοδιασμού του AI.

Αυτό περιλαμβάνει:

• Παρακολούθηση όλων των μοντέλων AI που χρησιμοποιούνται σε περιβάλλοντα ανάπτυξης
• Επιβεβαίωση της προέλευσης και της αδειοδότησης των συνόλων δεδομένων
• Επιβολή πολιτικών διακυβέρνησης κατά τη διάρκεια της ανάπτυξης και της εγκατάστασης
• Διατήρηση συνεχών αποθεμάτων παρόμοιων με τα SBOM για τα στοιχεία AI

Χωρίς αυτά τα μηχανικά, το χάσμα μεταξύ της υιοθέτησης του AI και της διακυβέρνησης του AI θα συνεχίσει να διευρύνεται.

Και όπως η μελέτη καθιστά σαφές, αυτό το χάσμα ήδη υπάρχει μέσα σε πολλές επιχειρήσεις σήμερα.