Ηγέτες σκέψης
Η Σκιά του AI Τζανγκλ: Γιατί η Έγκριση μιας Πλατφόρμας Δεν είναι το Ίδιο με την Ασφάλεια του Τι Осντιγμένος Επάνω της

Η υιοθέτηση του AI από τις επιχειρήσεις είναι μακράν από εύκολη. Οι ανησυχίες σχετικά με τον έλεγχο των δεδομένων, τη συμμόρφωση με τους κανονισμούς και την ασφάλεια έχουν ακολουθήσει κάθε στάδιο του ταξιδιού. Όμως, καθώς οι οργανισμοί αυξάνουν τις επιχειρηματικές τους δραστηριότητες σε μεγάλες πλατφόρμες όπως η Microsoft, η Salesforce και η ServiceNow, υπάρχει μια αυξανόμενη αίσθηση ότι τα πιο δύσκολα ζητήματα διακυβέρνησης αντιμετωπίζονται, τουλάχιστον εν μέρει. Οι εταιρικές συμφωνίες είναι σε ισχύ. Οι ελέγχοι ασφάλειας έχουν ολοκληρωθεί. Οι πλατφόρμες έχουν εγκριθεί.
Αυτό που η εμπιστοσύνη αυτή έχει την τάση να παραβλέψει είναι ένα διαφορετικό ζήτημα εντελώς: όχι αν η πλατφόρμα είναι ασφαλής, αλλά τι και ποιος κατασκευάζει.
Σε όλους τους κλάδους, μια ήσυχη επανάσταση είναι σε εξέλιξη, καθώς μη τεχνικοί υπάλληλοι χρησιμοποιούν εταιρικές πλατφόρμες AI για να δημιουργήσουν αυτόνομους πράκτορες, αυτοματοποιημένα εργατικά ροή και εφαρμογές που συνδέονται με δεδομένα, συχνά μέσα σε λίγα λεπτά, χωρίς να γράψουν ούτε μια γραμμή κώδικα. Ελεύθεροι από τους παραδοσιακούς χρονους ανάπτυξης και τις περιορισμούς, αυτοί οι κατασκευαστές είναι ένα πλεονέκτημα για την εταιρική αποτελεσματικότητα. Όμως, αυτά τα εργαλεία δεν ελέγχονται ποτέ από μια ομάδα ασφάλειας. Σε πολλές περιπτώσεις, οι ομάδες ασφάλειας δεν γνωρίζουν ότι υπάρχουν.
Αυτά τα εργαλεία, είτε ταξινομούνται ως εφαρμογές, πράκτορες ή αυτοματοποιήσεις, είναι μέρος ενός αυξανόμενου προβλήματος που ονομάζεται Σκιά του AI, και αντιπροσωπεύει одну από τις πιο σημαντικές μετατοπίσεις του εταιρικού κινδύνου σε μια δεκαετία, για τον πολύ απλό λόγο ότι οι απειλές έχουν μετακινηθεί εσωτερικά.
Το αρχικό πρόβλημα της Σκιάς IT ήταν σχετικά απλό: οι υπάλληλοι χρησιμοποιούσαν μη εγκεκριμένα εργαλεία από έξω από την οργάνωση, και η δουλειά της ασφάλειας ήταν να τα βρει και να τα αποκλείσει. Η Σκιά του AI είναι μια διαφορετική πρόκληση εντελώς. Τα εργαλεία είναι μέσα στις πλατφόρμες που εγκρίνατε. Οι άνθρωποι που τα κατασκευάζουν είναι οι δικοί σας υπάλληλοι. Η πρόσβαση που χρησιμοποιούν είναι νόμιμη. Και κανένα από αυτά δεν περνάει από τις διαδικασίες ασφάλειας που σχεδιάστηκαν για να πιάσουν προβλήματα πριν φτάσουν στην παραγωγή.
Αυτό που κάνει αυτό το πρόβλημα ιδιαίτερα δύσκολο να αντιμετωπιστεί είναι η κλίμακα. Οι περισσότεροι ηγέτες ασφάλειας υποτιμούν σημαντικά πόσο έχει κατασκευαστεί μέσα στο δικό τους περιβάλλον. Πρόσφατη έρευνα από πάνω από 200 εταιρικούς CISOs και ηγέτες ασφάλειας βρήκε ότι η μέση εταιρική ομάδα ασφάλειας μπορεί να υπολογίσει μόνο το 44% των πρακτόρων AI, αυτοματοποιήσεων και εφαρμογών που έχουν δημιουργηθεί από τους επιχειρηματικούς χρήστες. Αυτό δεν είναι ένα κενό. Είναι ένα τυφλό σημείο που καλύπτει την πλειοψηφία του τι τρέχει.
Ο λόγος είναι απλός: οι επιχειρηματικοί χρήστες υπερτερούν των επαγγελματιών προγραμματιστών με αναλογία 10 προς 1 σε ορισμένες οργανώσεις. Κτίζουν συνεχώς σε κάθε τμήμα, σε πλατφόρμες που σχεδιάστηκαν για να κάνουν την κατασκευή εύκολη, και τότε ενθαρρύνθηκαν από την C-suite να κτίζουν. Οι ομάδες ασφάλειας είναι προσανατολισμένες γύρω από τις πipelines των προγραμματιστών και τα αποθετήρια κώδικα. Δεν σχεδιάστηκαν ποτέ για να παρακολουθούν αυτό.
Η πιο κοινή λάθος αντίληψη είναι η πεποίθηση ότι η έγκριση μιας πλατφόρμας λύνει το πρόβλημα ασφάλειας. Δεν το κάνει, απλώς το μετακινεί. Όταν μια επιχείρηση υπογράφει μια συμφωνία με τη Microsoft, τη Salesforce ή την UiPath, ο πάροχος της πλατφόρμας ασφαλίζει την υποδομή του. Τι οι υπάλληλοι κτίζουν επάνω σε αυτό, και πώς το ρυθμίζουν, είναι η ευθύνη της επιχείρησης εξ ολοκλήρου.
Το πρόβλημα είναι ότι τα εργαλεία που δημιουργούν οι επιχειρηματικοί χρήστες δεν φαίνονται σαν λογισμικό στα παραδοσιακά συστήματα ασφάλειας. Δεν υπάρχει κώδικας για σάρωση, δεν υπάρχει αποθετήριο για παρακολούθηση, δεν υπάρχει pipeline για έλεγχο. Ένας πράκτωρ AI που κατασκευάστηκε από έναν διαχειριστή HR μέσω μιας σειράς μενού και κειμένων, είναι, από την οπτική των περισσότερων εργαλείων ασφάλειας, αόρατος.
Και όμως αυτά τα εργαλεία είναι μακράν από το να είναι αμελητέα. Η έρευνα έχει βρει ότι πάνω από το μισό των CISOs επιβεβαίωσαν ότι οι εφαρμογές που κατασκευάζονται από τους επιχειρηματικούς χρήστες υποστηρίζουν επιχειρηματικά κρίσιμες διαδικασίες και έχουν πρόσβαση σε ευαίσθητα δεδομένα της εταιρείας. Τα στοιχήματα είναι πραγματικά, και η εποπτεία δεν έχει φτάσει ακόμα.
Από το Μηδέν στο Καταστροφικό
Οι περιπτώσεις χρήσης είναι τόσο ποικίλες όσο και πολυάριθμες και προέρχονται σχεδόν από κάθε τμήμα, ακόμη και από αυτά που δεν θα είχε xảyρει σε μια ομάδα ασφάλειας να παρακολουθεί.
Για παράδειγμα, ένας συντονιστής μάρκετινγκ κατασκευάζει ένα πρόσωπο-πελάτη AI σε μια πλήρως εγκεκριμένη πλατφόρμα για να απαντήσει σε ερωτήσεις προϊόντων. Σε λίγα λεπτά, η εφαρμογή είναι ενεργοποιημένη, αλλά ως κάποιος χωρίς εκπαίδευση ασφάλειας, δύο μικρά λάθη ρύθμισης περνούν απαρατήρητα και αφήνουν τον πράκτωρα με άμεση πρόσβαση σε ολόκληρη τη βάση δεδομένων της εταιρείας και χωρίς όρια σε τι μπορεί να ανακτήσει. Σε παραγωγή, ένας χρήστης ζητά από τον πράκτωρα να ανακτήσει εγγραφές υπαλλήλων. Το κάνει. Επειδή ο πράκτωρ έχει επίσης μια ικανότητα email, ο χρήστης του ζητά να στείλει αυτά τα δεδομένα σε một προσωπική διεύθυνση. Η ολόκληρη ακολουθία λαμβάνει λιγότερο από εξήντα δευτερόλεπτα. Καμία μη εγκεκριμένη πρόσβαση. Καμία παραβίαση πλατφόρμας. Καμία ειδοποίηση ασφάλειας.
Αυτό δεν είναι μια σοφιστικη επίθεση. Είναι το προβλέψιμο αποτέλεσμα ενός καλοπροαίρετου υπαλλήλου που κατασκευάζει κάτι που δεν καταλάβαινε πλήρως, σε μια πλατφόρμα που έκανε την κατασκευή εύκολη και την διακυβέρνηση προαιρετική.
Το Χάσμα Διακυβέρνησης που Κανείς Δεν Έχει Τιμοληψεί
Για τις περισσότερες οργανώσεις, το πρόβλημα της Σκιάς του AI παραμένει αφηρημένο μέχρι να πάει κάτι στραβά. Όμως ο επιχειρηματικός κίνδυνος τρέχει πιο βαθιά από την απάντηση σε παραβίαση.
Όταν ένας πράκτωρας που κατασκευάστηκε από την επιχείρηση διαρρέει ευαίσθητα δεδομένα, η ερώτηση που θα κάνει η διοίκηση δεν είναι “πώς συνέβη η λάθος ρύθμιση;” Θα είναι “πώς κανείς δεν ήξερε ότι το εργαλείο τρέχει;” Δεν θα διακρίνουν μεταξύ μιας παραβίασης που προκλήθηκε από έναν εξωτερικό επιτιθέμενο και μιας που προκλήθηκε από ένα λάθος εσωτερικό εργαλείο. Αν προσωπικά δεδομένα εκτέθηκαν και η οργάνωση έλλειπε ορατότητα σε τι τρέχει, η απουσία εποπτείας είναι η ίδια η ευθύνη. “Ένας υπάλληλος το κατασκεύασε σε μια εγκεκριμένη πλατφόρμα” δεν είναι μια άμυνα, είναι η περιγραφή του χάσματος.
Η επείγουσα ανάγκη είναι πραγματική, αλλά η πρόθεση και η εκτέλεση δεν είναι το ίδιο πράγμα, και για τις περισσότερες επιχειρήσεις, το χάσμα μεταξύ τους παραμένει ανοιχτό.
Η απάντηση δεν είναι να περιορίσετε ποιος μπορεί να κατασκευάσει. Το κλείδωμα της ανάπτυξης των πολιτών θα θυσίαζε πραγματικές κερδισμένες αποτελεσματικότητας και, στην πράξη, δεν θα κρατούσε. Οι υπάλληλοι θα βρουν γύρω. Η απάντηση είναι να φέρει τι κατασκευάζεται στην ορατότητα, και να κυβερνήσει αυτό το σημείο όπου ο κίνδυνος πραγματικά εμφανίζεται: σε χρόνο εκτέλεσης.
Αυτό σημαίνει να κατανοήσετε όχι μόνο ποιοι πράκτορες υπάρχουν, αλλά πώς συμπεριφέρονται, ποια δεδομένα έχουν πρόσβαση, ποια συστήματα αγγίζουν, και αν οι ενέργειές τους παραμένουν μέσα στα όρια που οι κατασκευαστές τους είχαν προορίσει. Σημαίνει να ορίσετε φράγμες που λειτουργούν στο επίπεδο της οργάνωσης, όχι μόνο στο σημείο της ρύθμισης. Και σημαίνει να φτάσετε σε ένα σημείο όπου οι ομάδες ασφάλειας μπορούν να απαντήσουν στις πιο βασικές ερωτήσεις για κάθε πράκτορα στο περιβάλλον τους: ποιος το κατασκεύασε, τι έχει πρόσβαση, και συμπεριφέρεται όπως σχεδιάστηκε;
Οι περισσότερες επιχειρήσεις δεν μπορούν να απαντήσουν σε αυτές τις ερωτήσεις σήμερα. Οι οργανώσεις που θα φτάσουν πρώτες θα είναι αυτές που θα μπορέσουν να κλιμακώσουν την υιοθέτηση του AI με εμπιστοσύνη, γιατί θα γνωρίζουν τι τρέχει πραγματικά.












