Connect with us

Το AI Ρίσκο Που Κανείς Δεν Παρακολουθεί: Εξοπλισμός Μυστικών Στις Εργασιακές Ροές Επιχειρήσεων

Ηγέτες σκέψης

Το AI Ρίσκο Που Κανείς Δεν Παρακολουθεί: Εξοπλισμός Μυστικών Στις Εργασιακές Ροές Επιχειρήσεων

mm
Published
Updated

Οι περισσότερες συζητήσεις σχετικά με τα ρίσκα της επιχειρηματικής τεχνητής νοημοσύνης ξεκινούν με μια οικεία ανησυχία: οι υπάλληλοι κολλάνε δεδομένα πελάτη σε chatbots. Η ιδιωτικότητα και η εκθεση κανονιστικών προτύπων κυριαρχούν στα νέα και τις ενημερώσεις του διοικητικού συμβουλίου, και έρευνα από Deloitte δείχνει ότι η ιδιωτικότητα των δεδομένων και η ασφάλεια κατατάσσονται μεταξύ των κορυφαίων ρισκών της τεχνητής νοημοσύνης που ανησυχούν οι οργανισμοί.

Ωστόσο, τα δεδομένα που προκύπτουν από την πραγματική χρήση επιχειρηματικών εφαρμογών της τεχνητής νοημοσύνης बतούν μια διαφορετική ιστορία. Οι πιο κοινές ευαίσθητες πληροφορίες που ρέουν σε εργαλεία τεχνητής νοημοσύνης δεν είναι καθόλου προσωπικά δεδομένα. Είναι μυστικά και διαπιστευτήρια.

Οι κλειδιά API, οι tokens πρόσβασης, οι webhooks και τα αρτεφάκτα αυθεντικοποίησης αντιπροσωπεύουν τώρα το μεγαλύτερο μερίδιο των ευαίσθητων δεδομένων που εκτίθενται σε προτροπές της τεχνητής νοημοσύνης. Những αποκαλύψεις σπάνια προέρχονται από αμέλεια ή κακόβουλη πρόθεση και αντίθετα προκύπτουν από καθημερινές εργασίες όπως η αντιμετώπιση ενός αποτυχημένου ολοκλήρωματος, η αντιμετώπιση προβλημάτων αυτοματοποίησης, η δοκιμή κώδικα ή η επίλυση ενός προβλήματος πελάτη. Όσο η τεχνητή νοημοσύνη ενσωματώνεται στις καθημερινές εργασιακές ροές, αυτές οι στιγμές συμβαίνουν συνεχώς και συχνά εκτός της ορατότητας των παραδοσιακών ελέγχων ασφαλείας.

Οι συνέπειες είναι σαφείς. Όσο η υιοθέτηση της τεχνητής νοημοσύνης επεκτείνεται, οι οργανισμοί αποκτούν μια πιο ακριβή εικόνα για το πού εμφανίζονται τα πραγματικά ρίσκα και η διακυβέρνηση πρέπει να εξελιχθεί για να τα αντιμετωπίσει.

Ένα παραμελημένο ρίσκο εκθέσεων δεδομένων της τεχνητής νοημοσύνης κρύβεται σε πλήρη θέα

Μια πρόσφατη ανάλυση χρήσης της τεχνητής νοημοσύνης που διεξήχθη από την Nudge Security εξέτασε ανώνυμη τηλεμετρία σε περιβάλλοντα επιχειρήσεων για να κατανοήσει πώς τα εργαλεία της τεχνητής νοημοσύνης χρησιμοποιούνται στην πραγματικότητα στην εργασία. Αντί να βασίζεται σε ερωτηματολόγια ή αυτοαναφορές, η έρευνα ανάλυσε την παρατηρημένη δραστηριότητα της τεχνητής νοημοσύνης, τις ολοκλήρωσεις και τη συμπεριφορά των προτροπών σε επιχειρηματικά περιβάλλοντα SaaS.

Τα ευρήματα παρέχουν νέα εικόνα για το πού στην πραγματικότητα εμφανίζεται το ρίσκο της τεχνητής νοημοσύνης στην επιχειρηματική χρήση. Οι εκθέσεις ευαίσθητων δεδομένων στις προτροπές της τεχνητής νοημοσύνης κυριαρχούνται από τα λειτουργικά διαπιστευτήρια. Τα μυστικά και τα διαπιστευτήρια αντιπροσωπεύουν περίπου το 48% των ανιχνευμένων ευαίσθητων δεδομένων, σε σύγκριση με το 36% για τα οικονομικά δεδομένα και το 16% για τις υγείας σχετικές πληροφορίες. Αυτά τα πρότυπα υποδηλώνουν ότι η σημαντικότερη πρόκληση εκθέσεων δεδομένων της τεχνητής νοημοσύνης δεν είναι η διαρροή της ιδιωτικότητας, αλλά η διάχυση των μυστικών.

Η ίδια έρευνα δείχνει ότι η υιοθέτηση της τεχνητής νοημοσύνης έχει ξεπεράσει το πείραμα. Τα εργαλεία της τεχνητής νοημοσύνης ενσωματώνονται στις εργασιακές ροές, ολοκληρώνονται με βασικές επιχειρηματικές πλατφόρμες και γίνονται ολοένα και πιο ικανά για αυτονομία. Οι βασικοί παρόχοι μεγάλων μοντέλων γλώσσας είναι τώρα σχεδόν πανταχού παρόντες, με την OpenAI παρουσία σε το 96% των οργανισμών και την Anthropic σε το 78%.

Έρευνα από McKinsey βρίσκει ότι το 88% των οργανισμών αναφέρουν τακτική χρήση της τεχνητής νοημοσύνης σε τουλάχιστον μια επιχειρηματική λειτουργία, σε σύγκριση με το 78% πέρυσι. Τα εργαλεία ευφυίας συνεδρίων, οι πλατφόρμες κωδικοποίησης με τη βοήθεια της τεχνητής νοημοσύνης, οι γεννήτορες παρουσιάσεων και οι τεχνολογίες φωνής είναι ευρέως διαδεδομένα, αντανακλώντας το πώς η τεχνητή νοημοσύνη έχει επεκταθεί από τις διεπαφές chat σε καθημερινές εργασιακές ροές. Αυτή η επέκταση έχει σημασία γιατί το ρίσκο ακολουθεί την χρήση. Όσο η τεχνητή νοημοσύνη ενσωματώνεται σε περιβάλλοντα προγραμματιστών, πλατφόρμες συνεργασίας και εργασιακές ροές υποστήριξης πελάτη, κερδίζει εγγύτητα σε ευαίσθητα συστήματα και λειτουργικά δεδομένα.

Η υιοθέτηση έχει επίσης οδηγηθεί από την βάση. Μια πρόσφατη μελέτη της KPMG βρήκε ότι το 44% των υπαλλήλων χρησιμοποιούν εργαλεία της τεχνητής νοημοσύνης με τρόπους που οι εργοδότες τους δεν έχουν εγκρίνει, αντανακλώντας το πώς γρήγορα αυτά τα εργαλεία εισέρχονται στις καθημερινές εργασιακές ροές. Οι υπάλληλοι εγκαθιστάνε επεκτάσεις προγράμματος περιήγησης, συνδέουν βοηθούς και πειραματίζονται με ολοκλήρωσεις για να επιταχύνουν τις καθημερινές εργασίες, συχνά εκτός κεντρικών διαδικασιών προμήθειας. Οι αναλυτές ασφαλείας περιγράφουν αυτό το πρότυπο ως σκιώδη τεχνητή νοημοσύνη, όπου τα εργαλεία λειτουργούν μέσα σε προγράμματα περιήγησης και εργασιακές ροές SaaS πέρα από την παραδοσιακή ορατότητα του ΤΙ. Επειδή αυτά τα εργαλεία μπορούν να αναπτυχθούν άμεσα και απαιτούν ελάχιστη τεχνική εγκατάσταση, τα προγράμματα διακυβέρνησης που βασίζονται σε διαδικασίες έγκρισης προμηθευτών και πολιτικές αποδοχής δυσκολεύουν να跟πουν το πώς η τεχνητή νοημοσύνη εισάγεται και χρησιμοποιείται στην επιχείρηση.

Γιατί οι διαρρεύσεις μυστικών μπορούν να δημιουργήσουν άμεσο επιχειρηματικό ρίσκο

Τα προσωπικά δεδομένα παραμένουν ευαίσθητα και ρυθμίζονται, αλλά τα μυστικά φέρουν άμεσο επιχειρηματικό αντίκτυπο. Μια διαρρευσμένη κλειδί API μπορεί να παρέχει πρόσβαση σε παραγωγικά συστήματα. Ένα συμβατικό token μπορεί να εκθέσει αποθήκες. Μια διεύθυνση URL webhook μπορεί να ενεργοποιήσει μη εξουσιοδοτημένη αυτοματοποίηση. Τα διαπιστευτήρια εμφανίζονται συχνά σε προτροπές της τεχνητής νοημοσύνης κατά τη διάρκεια καθημερινών εργασιών. Οι προγραμματιστές κολλάνε tokens σε διεπαφές chat ενώ αντιμετωπίζουν αποτυχίες αυθεντικοποίησης, οι μηχανικοί μπορεί να μοιράζονται αποσπάσματα διαμόρφωσης για να διαγνώσουν προβλήματα ολοκλήρωσης. Αυτές οι ενέργειες δεν είναι ασυνήθιστες. Τα μυστικά είναι ενσωματωμένα σε τεχνικές εργασίες και εμφανίζονται σε αρχείες καταγραφής, σενάρια, αρχεία διαμόρφωσης και εξόδους αυτοματοποίησης. Όταν οι ομάδες είναι υπό πίεση για να επιλύσουν προβλήματα γρήγορα, μπορεί να μοιράζονται αυτά τα αρτεφάκτα χωρίς να σκέφτονται τι ευαίσθητα δεδομένα περιέχουν.

Οι διεπαφές της τεχνητής νοημοσύνης ενισχύουν αυτή τη συμπεριφορά. Οι προτροπές ενθαρρύνουν την κοινή χρήση контекστού. Οι ανεβάσεις αρχείων υποστηρίζουν πλουσιότερη αντιμετώπιση προβλημάτων. Οι ολοκληρωμένες εργασιακές ροές κάνουν εύκολη την κίνηση δεδομένων μεταξύ συστημάτων. Η έρευνα της Nudge Security βρήκε ότι το 17% των προτροπών περιλαμβάνει αντιγραφή και επικόλληση δραστηριότητας ή ανεβάσεις αρχείων. Σε αυτό το περιβάλλον, τα ευαίσθητα διαπιστευτήρια μπορούν να εκτεθούν σε δευτερόλεπτα.

Η παραδοσιακή διακυβέρνηση παραμελεί το ρίσκο συμπεριφοράς

Τα προγράμματα διακυβέρνησης της τεχνητής νοημοσύνης συχνά επικεντρώνονται σε формάλες ελέγχους όπως πολιτικές και εγκεκριμένα εργαλεία. Αυτή η προσέγγιση υποθέτει ότι το ρίσκο προέρχεται από κακοποίηση ή συμπεριφορά μοντέλου. Στην πράξη, οι πιο σημαντικές εκθέσεις συμβαίνουν κατά τη διάρκεια καθημερινών εργασιών που εκτελούνται από καλοπροαίρετους υπαλλήλους.

Το τοπίο της τεχνητής νοημοσύνης κινείται γρήγορα, με νέες τεχνολογίες που κυκλοφορούν καθημερινά. Όσο οι υπάλληλοί σας φτάνουν στο τελευταίο εργαλείο, μπορούν να παρακάμψουν την παραδοσιακή προσέγγιση των ελέγχων δικτύου γιατί απλά δεν μπορούν να跟πουν. Το πρόγραμμα περιήγησης επιτρέπει την άμεση παρατήρηση της συμπεριφοράς контекστού, η οποία παρέχει την ευελιξία που χρειάζεται για να跟πουν το συνεχώς εξελισσόμενο τοπίο της σύγχρονης εργασίας.

Αυτή η αποσύνδεση εξηγεί γιατί οι οργανισμοί μπορούν να εφαρμόσουν ισχυρές πολιτικές και να εξακολουθούν να βιώνουν ευαίσθητες εκθέσεις δεδομένων. Οι πολιτικές καθορίζουν προσδοκίες. Η συμπεριφορά καθορίζει τα αποτελέσματα. Η αποτελεσματική διακυβέρνηση απαιτεί ορατότητα σε το πώς τα εργαλεία της τεχνητής νοημοσύνης χρησιμοποιούνται στην πραγματικότητα και φράγματα που οδηγούν σε ασφαλέστερες αποφάσεις στο σημείο που μοιράζονται τα δεδομένα.

Οι ολοκλήρωσεις και οι πράκτορες επεκτείνουν το εύρος της εκθέσεων

Το προφίλ ρίσκου eines εργαλείου της τεχνητής νοημοσύνης διαμορφώνεται από το τι μπορεί να προσεγγίσει. Οι ολοκλήρωσεις δημιουργούν εγγυημένες διαδρομές μεταξύ συστημάτων. Οι χορηγίες OAuth, τα token API και τα λογαριασμοί υπηρεσιών επιτρέπουν στα εργαλεία της τεχνητής νοημοσύνης να ανακτούν έγγραφα, να ενημερώνουν εισιτήρια ή να αλληλεπιδρούν με αποθήκες κώδικα. Η έρευνα για την υιοθέτηση της τεχνητής νοημοσύνης στην επιχείρηση υπογραμμίζει ότι οι ολοκλήρωσεις ορίζουν αποτελεσματικά το εύρος της εκθέσεων. Μια λανθασμένη διαμόρφωση άδειας ή ένα συμβατικό token που έχει διαρρεύσει μπορεί να εκθέσει ολόκληρες αποθήκες εγγράφων ή περιβάλλοντα ανάπτυξης γιατί οι αξιόπιστες συνδέσεις επιτρέπουν την κίνηση δεδομένων με ταχύτητα μηχανής.

Η πράκτορας τεχνητή νοημοσύνη εισάγει πρόσθετη复雑ότητα. Οι πρώιμες αναπτύξεις συχνά προτιμούν τη λειτουργικότητα από την ελάχιστη εξουσία. Οι άδειες που χορηγούνται κατά τη διάρκεια του πειράματος μπορεί να παραμείνουν πολύ καιρό μετά την εξέλιξη των αρχικών χρήσεων. Με τον καιρό, αυτές οι συσσωρευμένες άδειες δημιουργούν σιωπηρό ρίσκο. Οι ομάδες ασφαλείας πρέπει να αντιμετωπίσουν τις ολοκλήρωσεις και τις άδειες πρακτόρων ως ανθεκτικές αποφάσεις πρόσβασης και όχι προσωρινές ευκολίες.

Τι πρέπει να κάνουν τώρα οι ομάδες ασφαλείας

Η μείωση της εκθέσεων μυστικών στις εργασιακές ροές της τεχνητής νοημοσύνης απαιτεί μια αλλαγή από αντιδραστικούς ελέγχους σε διακυβέρνηση που αντανακλά το πώς στην πραγματικότητα συμβαίνει η εργασία. Οι ηγέτες ασφαλείας μπορούν να αρχίσουν με πρακτικά βήματα που βελτιώνουν την ορατότητα, οδηγούν σε ασφαλέστερη συμπεριφορά και μειώνουν την έκθεση χωρίς να επιβραδύνουν την παραγωγικότητα:

  • Χαρτογραφήστε το πού συμβαίνουν οι αλληλεπιδράσεις της τεχνητής νοημοσύνης.
    Γνωρίστε τα περιβάλλοντα όπου τα δεδομένα εισέρχονται στα εργαλεία της τεχνητής νοημοσύνης, συμπεριλαμβανομένων των επεκτάσεων προγράμματος περιήγησης, των περιβαλλόντων προγραμματιστών, των πλατφόρμων αυτοματοποίησης και των διεπαφών chat. Η συνεχής ορατότητα σε αυτά τα σημεία επαφής παρέχει τη βάση για την αποτελεσματική διακυβέρνηση.
  • Εμβαθύνετε στο σημείο που λαμβάνονται οι αποφάσεις.
    Εφαρμόστε σάρωση μυστικών, προτροπές διαγραφή και προειδοποιήσεις στο σημείο που οι χρήστες ενημερώνουν διαπιστευτήρια ή ευαίσθητα αρτεφάκτα. Η своєчасτη καθοδήγηση μειώνει την τυχαία έκθεση ενώ διατηρεί την ταχύτητα της εργασίας.
  • Εφαρμόστε διακυβέρνηση ολοκλήρωσης με την ίδια αυστηρότητα όπως οι εφαρμογές OAuth.
    Εξετάστε τα εργαλεία της τεχνητής νοημοσύνης που συνδέονται με το email, τα έγγραφα, τα συστήματα εισιτηρίων και τις αποθήκες. Εφαρμόστε ελάχιστες άδειες και διεξάγετε περιοδικές αναθεωρήσεις άδειας για να μειώσετε το μακροπρόθεσμο ρίσκο εκθέσεων.
  • Δημιουργήστε ασφαλέστερες εργασιακές ροές για αντιμετώπιση προβλημάτων και υποστήριξη.
    Παρέχετε προτυποποιημένα αρχεία διαμόρφωσης, ασφαλείς συνδέσμους και εσωτερικά εργαλεία για την ανάλυση αρχείων καταγραφής ή αρχείων διαμόρφωσης, ώστε οι ομάδες να μπορούν να χρησιμοποιούν την τεχνητή νοημοσύνη για την αντιμετώπιση προβλημάτων χωρίς να εκθέτουν ζωντανούς κωδικούς.
  • Θεσμοθετήστε φράγματα για την αυτοματοποίηση με βάση πράκτορες.
    Απαιτήστε ανθρώπινη έγκριση για δράσεις υψηλής επίδρασης, καταγράψτε την δραστηριότητα του πράκτορα κεντρικά και χρησιμοποιήστε token πρόσβασης με εύρος για να προотвείτε την διάχυση άδειας και την απρόσκοπτη αυτοματοποίηση.
  • Ιδρύστε την εκπαίδευση σε πραγματικές εργασιακές ροές.
    Η εκπαίδευση είναι πιο αποτελεσματική όταν αντανακλά κοινές εργασίες όπως η αντιμετώπιση ολοκλήρωσεων, η ανασκόπηση αρχείων καταγραφής ή η ανεβάσμευση αρχείων. Τα πρακτικά παραδείγματα βοηθούν τους υπαλλήλους να αναγνωρίσουν το ρίσκο στο σημείο που εμφανίζεται.

Αυτά τα μέτρα ευθυγραμμίζουν τη διακυβέρνηση με την καθημερινή εργασία, επιτρέποντας στους οργανισμούς να μειώσουν την έκθεση μυστικών ενώ υποστηρίζουν τις κερδισμένες παραγωγικότητας που οδηγούν στην υιοθέτηση της τεχνητής νοημοσύνης.

Από την πολιτική της τεχνητής νοημοσύνης στη διακυβέρνηση συμπεριφοράς

Η τεχνητή νοημοσύνη εξελίσσεται από ένα εργαλείο παραγωγικότητας σε ένα επιχειρηματικό επίπεδο που είναι ενσωματωμένο στην καθημερινή εργασία, με έρευνα που δείχνει ότι οι πράκτορες της τεχνητής νοημοσύνης είναι τώρα ενσωματωμένοι σε επιχειρηματικές εργασιακές ροές και προβλέψεις που προβλέπουν πράκτορες ειδικής εργασίας μέσα σε μεγάλο μερίδιο επιχειρηματικών εφαρμογών. Όσο η υιοθέτηση深ens, τα κυρίαρχα ρίσκα εκτείνονται πέρα από τις παραβιάσεις της ιδιωτικότητας ή την κακοποίηση του μοντέλου. Προκύπτουν από το πώς οι άνθρωποι, οι άδειες και οι πλατφόρμες διασταυρώνονται σε πραγματικές εργασιακές ροές.

Η έκθεση μυστικών στις προτροπές της τεχνητής νοημοσύνης είναι ένα ορατό σήμα αυτής της ευρύτερης μεταμόρφωσης. Υπενθυμίζει τις περιορισμούς των ελέγχων περιμέτρου και της διακυβέρνησης πολιτικής και ενισχύει την ανάγκη για φράγματα που λειτουργούν στο σημείο που λαμβάνονται οι αποφάσεις. Οι οργανισμοί που προσαρμόζονται θα μεταβούν πέρα από τους αντιδραστικούς ελέγχους και προς μοντέλα διακυβέρνησης που βασίζονται στην πραγματική συμπεριφορά. Θα αντιμετωπίσουν τις ολοκλήρωσεις και τις άδειες ως ανθεκτικές αποφάσεις πρόσβασης. Θα οδηγούν τους υπαλλήλους στο σημείο της δράσης αντί να βασίζονται αποκλειστικά στην επιβολή της πολιτικής.

Η τεχνητή νοημοσύνη μεταβαίνει από εργαλείο σε συνεργάτη στη σύγχρονη εργασία. Η ασφάλεια αυτής της συνεργασίας απαιτεί διακυβέρνηση που跟πει, προστατεύοντας κρίσιμα δεδομένα ενώ οδηγεί σε ασφαλέστερες αποφάσεις και διατηρώντας την ταχύτητα και την αποτελεσματικότητα που η τεχνητή νοημοσύνη κάνει δυνατή.

mm

Ο Russell Spitler είναι ο συνιδρυτής και διευθύνων σύμβουλος της Nudge Security, ηγέτης στις λύσεις ασφαλείας SaaS και AI. Ο Russell έχει πάνω από 20 χρόνια εμπειρίας στη δημιουργία προϊόντων και εταιρειών startup που ασφαλίζουν οργανισμούς σε όλο τον κόσμο. Πριν από τη Nudge, ο Russell υπηρέτησε σε ρόλους ηγεσίας προϊόντων, μηχανικής και στρατηγικής στην AT&T Cybersecurity, AlienVault (που εξαγοράστηκε από την AT&T Cybersecurity) και Fortify Software. Στην AlienVault, συνίδρυσε το Open Threat Exchange, τη μεγαλύτερη ανοιχτή κοινότητα πληροφοριών απειλών στον κόσμο με πάνω από 370.000 συμμετέχοντες σε όλο τον κόσμο σήμερα.