Η Σκιά του AI Jungle: Γιατί η Έγκριση μιας Πλατφόρμας Δεν είναι το Ίδιο με την Ασφάλεια του Τις Χτίζει

Η υιοθέτηση του AI από τις επιχειρήσεις είναι μακράν από το να είναι χωρίς προβλήματα. Οι ανησυχίες σχετικά με τον έλεγχο των δεδομένων, την συμμόρφωση με τις κανονιστικές απαιτήσεις και την ασφάλεια έχουν ακολουθήσει κάθε στάδιο του ταξιδιού. Αλλά καθώς οι οργανισμοί αυξάνουν τις δραστηριότητές τους σε μεγάλες πλατφόρμες όπως η Microsoft, η Salesforce και η ServiceNow, υπάρχει μια αυξανόμενη αίσθηση ότι τα πιο δύσκολα ζητήματα διακυβέρνησης αντιμετωπίζονται, τουλάχιστον εν μέρει. Οι εταιρικές συμφωνίες είναι σε ισχύ. Οι ελέγχοι ασφάλειας έχουν ολοκληρωθεί. Οι πλατφόρμες έχουν εγκριθεί.

Αυτό που αυτή η εμπιστοσύνη έχει την τάση να παραβλέψει είναι ένα διαφορετικό ζήτημα εντελώς: όχι αν η πλατφόρμα είναι ασφαλής, αλλά τι και ποιος χτίζει.

Σε όλους τους κλάδους, μια σιωπηλή επανάσταση είναι σε εξέλιξη, καθώς μη τεχνικοί υπάλληλοι χρησιμοποιούν εταιρικές πλατφόρμες AI για να δημιουργήσουν αυτόνομους πράκτορες, αυτοματοποιημένα ροές εργασιών και εφαρμογές συνδεμένες με δεδομένα, συχνά σε λίγα λεπτά, χωρίς να γράψουν μια seule γραμμή κώδικα. Ελεύθεροι από τους παραδοσιακούς χρονους ανάπτυξης και τις περιορισμούς, αυτοί οι κατασκευαστές είναι ένα δώρο για την οργανωτική αποτελεσματικότητα. Αλλά αυτά τα εργαλεία δεν ελέγχονται ποτέ από μια ομάδα ασφάλειας. Σε πολλές περιπτώσεις, οι ομάδες ασφάλειας δεν γνωρίζουν ότι υπάρχουν.

Αυτά τα εργαλεία, είτε ταξινομούνται ως εφαρμογές, πράκτορες ή αυτοματοποιήσεις, είναι μέρος ενός αυξανόμενου προβλήματος που ονομάζεται Σκιά AI, και αντιπροσωπεύει одну από τις πιο σημαντικές μετατοπίσεις του εταιρικού κινδύνου σε μια δεκαετία, για τον πολύ απλό λόγο ότι οι απειλές έχουν τώρα μετακινηθεί στο εσωτερικό.

Το αρχικό πρόβλημα της Σκιάς IT ήταν σχετικά απλό: οι υπάλληλοι χρησιμοποιούσαν μη εξουσιοδοτημένα εργαλεία από έξω από την οργάνωση, και η δουλειά της ασφάλειας ήταν να τα βρει και να τα αποκλείσει. Η Σκιά AI είναι μια διαφορετική πρόκληση εντελώς. Τα εργαλεία είναι μέσα στις πλατφόρμες που εγκρίνατε. Οι άνθρωποι που τα χτίζουν είναι οι δικοί σας υπάλληλοι. Η πρόσβαση που χρησιμοποιούν είναι hợp法. Και κανένα από αυτά δεν περνάει από τις διαδικασίες ασφάλειας που έχουν σχεδιαστεί για να πιάσουν προβλήματα πριν φτάσουν στην παραγωγή.

Αυτό που κάνει αυτό το πρόβλημα ιδιαίτερα δύσκολο να αντιμετωπιστεί είναι η κλίμακα. Οι περισσότεροι ηγέτες ασφάλειας υποτιμούν σημαντικά πόσο έχει χτιστεί μέσα στο δικό τους περιβάλλον. Πρόσφατη έρευνα από πάνω από 200 εταιρικούς CISO και ηγέτες ασφάλειας βρήκε ότι η μέση ομάδα ασφάλειας μπορεί να να λογαριαστεί μόνο για το 44% των πρακτόρων AI, αυτοματοποιήσεων και εφαρμογών που έχουν δημιουργηθεί από τους επιχειρηματικούς χρήστες. Αυτό δεν είναι ένα κενό. Είναι ένα τυφλό σημείο που καλύπτει την πλειοψηφία του τι τρέχει.

Ο λόγος είναι απλός: οι επιχειρηματικοί χρήστες υπερτερούν των επαγγελματιών αναπτυξιακών σε einige οργανισμούς. Κτίζουν συνεχώς σε όλους τους τομείς, σε πλατφόρμες που έχουν σχεδιαστεί για να κάνουν την κατασκευή εύκολη, και τότε ενθαρρύνεται από την C-suite να κτίζουν. Οι ομάδες ασφάλειας είναι προσανατολισμένες γύρω από τις αναπτυξιακές διαδικασίες και τα αποθετήρια κώδικα. Δεν είχαν σχεδιαστεί ποτέ για να παρακολουθούν αυτό.

Η πιο κοινή λανθασμένη αντίληψη είναι η πεποίθηση ότι η έγκριση μιας πλατφόρμας λύνει το πρόβλημα ασφάλειας. Δεν το κάνει, απλώς το μετακινεί. Όταν μια επιχείρηση υπογράφει μια συμφωνία με την Microsoft, την Salesforce ή την UiPath, ο πάροχος πλατφόρμας ασφαλίζει την υποδομή του. Τι χτίζουν οι υπάλληλοι επάνω σε αυτό, και πώς το ρυθμίζουν, είναι η πλήρη ευθύνη της επιχείρησης.

Το πρόβλημα είναι ότι τα εργαλεία που δημιουργούν οι επιχειρηματικοί χρήστες δεν μοιάζουν με λογισμικό για τα παραδοσιακά συστήματα ασφάλειας. Δεν υπάρχει κώδικας για να σαρωθεί, δεν υπάρχει αποθετήριο για να παρακολουθηθεί, δεν υπάρχει διαδικασία για να ελεγχθεί. Ένας πράκτορας AI που χτίζεται από einen HR manager μέσω μιας σειράς μενού και κειμένων προτύπων είναι, από την οπτική των περισσότερων εργαλείων ασφάλειας, αόρατος.

Και όμως αυτά τα εργαλεία είναι μακράν από το να είναι αμελητέα. Η έρευνα έχει δείξει ότι πάνω από το μισό των CISO επιβεβαιώνουν ότι οι εφαρμογές που χτίζονται από τους επιχειρηματικούς χρήστες υποστηρίζουν επιχειρηματικά κρίσιμες διαδικασίες και έχουν πρόσβαση σε ευαίσθητα δεδομένα της εταιρείας. Τα στοιχήματα είναι πραγματικά, και η εποπτεία δεν έχει φτάσει ακόμη.

Από το Μηδέν στο Καταστροφικό

Οι περιπτώσεις χρήσης είναι τόσο διαφορετικές όσο και πολυάριθμες και προέρχονται από σχεδόν κάθε τμήμα, ακόμη και αυτά που δεν θα είχαν ποτέ συναντηθεί για μια ομάδα ασφάλειας να κρατήσει το μάτι της.

Για παράδειγμα, ένας συντονιστής μάρκετινγκ χτίζει einen AI πράκτορα σε μια πλήρως εγκεκριμένη πλατφόρμα για να απαντήσει σε ερωτήσεις προϊόντων. Σε λίγα λεπτά, η εφαρμογή είναι ενεργοποιημένη, αλλά ως κάποιος χωρίς εκπαίδευση ασφάλειας, δύο μικρές λάθη ρύθμισης παραμένουν ανεπιφύλακτα και αφήνουν τον πράκτορα με άμεση πρόσβαση στη βάση δεδομένων της εταιρείας και χωρίς όρια σε τι μπορεί να ανακτήσει. Σε παραγωγή, ένας χρήστης ζητά να ανακτήσει εγγραφές υπαλλήλων. Το κάνει. Επειδή ο πράκτορας έχει επίσης μια ικανότητα email, ο χρήστης του δίνει εντολή να στείλει αυτά τα δεδομένα σε một προσωπική διεύθυνση. Η ολόκληρη ακολουθία λαμβάνει λιγότερο από εξήντα δευτερόλεπτα. Χωρίς μη εξουσιοδοτημένη πρόσβαση. Χωρίς παραβίαση πλατφόρμας. Χωρίς ειδοποίηση ασφάλειας.

Αυτό δεν είναι μια σοφιστική επίθεση. Είναι το προβλέψιμο αποτέλεσμα ενός καλοπροαίρετου υπαλλήλου που χτίζει κάτι που δεν καταλαβαίνει πλήρως, σε μια πλατφόρμα που έκανε την κατασκευή εύκολη και την διακυβέρνηση προαιρετική.

Η Διακυβέρνηση Κενό που Κανείς Δεν Έχει Τιμήσει

Για τις περισσότερες οργανώσεις, το πρόβλημα της Σκιάς AI παραμένει αφηρημένο μέχρι να πάθει κάτι λάθος. Αλλά ο επιχειρηματικός κίνδυνος τρέχει βαθύτερα από την απάντηση σε παραβίαση.

Όταν ένας επιχειρηματικός πράκτορας διαρρέει ευαίσθητα δεδομένα, η ερώτηση που θα κάνει η διοίκηση δεν είναι “πώς συνέβη η λάθος ρύθμιση;” Θα είναι “πώς δεν γνώριζε κανείς ότι το εργαλείο τρέχει;” Δεν θα διακρίνουν μεταξύ μιας παραβίασης που προκλήθηκε από έναν εξωτερικό επιτιθέμενο και μιας που προκλήθηκε από ένα λάθος εσωτερικό εργαλείο. Αν προσωπικά δεδομένα εκτέθηκαν και η οργάνωση έλλειπε ορατότητα σε τι τρέχει, η απουσία εποπτείας είναι η ίδια η ευθύνη. “Ένας υπάλληλος το χτίσε σε μια εγκεκριμένη πλατφόρμα” δεν είναι μια άμυνα, είναι η περιγραφή του κενού.

Η επείγουσα είναι πραγματική, αλλά η πρόθεση και η εκτέλεση δεν είναι το ίδιο πράγμα, και για τις περισσότερες επιχειρήσεις, το κενό μεταξύ τους παραμένει ανοιχτό.

Η απάντηση δεν είναι να περιορίσετε ποιος μπορεί να χτίσει. Το κλείσιμο της ανάπτυξης των πολιτών θα θυσιάσει πραγματικές κερδισμένες Produktivität και, στην πράξη, δεν θα κρατήσει. Οι υπάλληλοι θα βρουν εργαλεία. Η απάντηση είναι να φέρει τι χτίζεται στην οπτική, και να το κυβερνήσει στο σημείο όπου ο κίνδυνος εμφανίζεται πραγματικά: σε χρόνο εκτέλεσης.

Αυτό σημαίνει να καταλαβαίνετε όχι μόνο τι πράκτορες υπάρχουν, αλλά πώς συμπεριφέρονται, ποια δεδομένα έχουν πρόσβαση, ποια συστήματα αγγίζουν, και αν οι ενέργειές τους παραμένουν μέσα στα όρια που οι κατασκευαστές τους είχαν προορίσει. Σημαίνει να ρυθμίσετε φραγμούς που λειτουργούν στο επίπεδο της οργάνωσης, όχι μόνο στο σημείο ρύθμισης. Και σημαίνει να φτάσετε σε ένα σημείο όπου οι ομάδες ασφάλειας μπορούν να απαντήσουν στις πιο βασικές ερωτήσεις για κάθε πράκτορα στο περιβάλλον τους: ποιος το χτίσε, τι έχει πρόσβαση, και συμπεριφέρεται όπως είχε σχεδιαστεί;

Οι περισσότερες επιχειρήσεις δεν μπορούν να απαντήσουν σε αυτές τις ερωτήσεις σήμερα. Οι οργανισμοί που θα φτάσουν πρώτοι θα είναι αυτοί που θα μπορέσουν να κλιμακώσουν την υιοθέτηση του AI με εμπιστοσύνη, γιατί θα γνωρίζουν τι τρέχει πραγματικά.