Raportit

Ilmoitusraportti paljastaa AI-valmiuden aukon, kun yritysten tietoturva tiimit kamppailevat näkyvyyden ja hallinnan kanssa

mm
Published
Updated

Uusi raportti Manifestilta, ”Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain”, paljastaa kasvavan eron johtajien luottamuksen ja operatiivisen todellisuuden välillä, kun on kyse AI-turvallisuuden valmiudesta. Tutkimus perustuu yli 300 tietoturva johtajan ja asiantuntijan haastatteluihin Yhdysvalloissa ja EMEA-alueella, ja se osoittaa, että vaikka useimmat johtajat uskovat, että heidän organisaatiot ovat valmiit AI-kohdistamiin uhkiin, tietoturva tiimit raportoivat merkittäviä hallintaukkoja, varjo-AI-käyttöä ja rajoitettua näkyvyyttä modernien ohjelmistojärjestelmien komponentteihin.

Tutkimuksen tulokset korostavat keskeistä jännitettä, joka on syntynyt yritysten teknologiassa: AI-omaksuminen on kiihtyvässä vauhdissa tuotteissa ja työnkulkujen parissa, mutta mekanismit, joita tarvitaan näiden järjestelmien jäljittämiseen, hallitsemiseen ja turvallisuuden varmistamiseen, eivät ole pysyneet vauhdissa.

AI luo uudelleen toimitusketjun turvallisuusongelmia uusissa muodoissa

Yli kymmenen vuoden ajan organisaatiot ovat pyrkineet parantamaan ohjelmistotoimitusketjun turvallisuutta seuraamalla riippuvuuksia, valvomalla haavoittuvuuksia ja perustamalla hallintorakenteita. Kuitenkin Manifestin raportti väittää, että AI on tehokkaasti uudelleen tuonut monia samoja riskejä – nyt leviää malleihin, tietokantoihin, agenteihin ja kolmannen osapuolen AI-palveluihin.

AI-komponentit toimivat usein läpinäkymättöminä järjestelminä. Yritykset usein eivät voi täysin selittää, miten mallit on koulutettu, mitä tietokantoja on käytetty tai mitkä ulkoiset palvelut on upotettu sovelluksiinsa. Tämän seurauksena organisaatiot kohtaavat uuden luokan toimitusketjun riskin: ohjelmistojärjestelmiä, joita ei voida luotettavasti tarkastella, vahvistaa tai valvoa ajan myötä.

Raportti korostaa, että näkyvyys on jo heikentynyt. 63% organisaatioista raportoi “varjo-AI”:n läsnäolosta, joka viittaa AI-työkaluihin tai integraatioihin, jotka on omaksuttu ilman tietoturva-, hankinta- tai riskienhallintatiimien valvontaa.

Daniel Bardenstein, Manifestin toimitusjohtaja ja perustaja, sanoi, että data paljastaa kasvavan aukon johtajien näkemyksen ja operatiivisen todellisuuden välillä: “Johtajien luottamus AI-valmiuteen ei vastaa sitä, mitä sovellusturva tiimit kohtaavat päivittäin. Johtajat uskovat, että hallinto on paikallaan, mutta käytännön toteutus näyttää, että AI-käyttö on hallitsematonta, omistajuus on epäselvä ja näkyvyys siitä, mitä tuotteissa ja toimittajilla tapahtuu, on heikentynyt.”

Johtajat sanovat olevansa valmiit, tietoturva tiimit eroavat mielipiteissään

Yksi raportin merkittävimmistä löydöksistä on johtajien luottamuksen ja eturintaman tietoturva-arvioiden ero.

Lähes 80% tietoturva johtajista sanoo, että heidän organisaatiot ovat kehittäneet kypsiä AI-turva käytäntöjä, mutta vain noin 40% sovellusturva tiimeistä on samaa mieltä tästä arviosta.

Sovellusturva tiimit ovat usein ensimmäisiä, jotka kohtaavat operatiivisia epäonnistumisia hallintorakenteissa, koska he ovat suoraan yhteydessä ohjelmistotoimitusketjuun. Nämä ammattilaiset raportoivat kohtaavansa suuria määriä hälytyksiä, epäselvää omistajuutta turvallisuuden vastuulla ja hajanaisia työkaluja kehitys- ja turvallisuusympäristöissä.

Raportin mukaan 47% vastaajista tunnisti eristetyt tiimit ja epäselvän omistajuuden suurimmaksi esteeksi ohjelmistotoimitusketjun turvallisuuden parantamiselle.

Tuloksena on ympäristö, jossa organisaatiot saattavat uskoa, että heillä on vahvat turvallisuusohjelmat, vaikka kriittiset aukot näkyvyydessä, vastuussa ja operatiivisessa koordinoinnissa säilyvät.

SBOM-paradoksi: Luotu, mutta harvoin käytetty

Raportin toinen tärkeä näkökulma koskee Ohjelmistojen materiaaliluetteloita (SBOM) – ohjelmistokomponenttien luetteloita, jotka auttavat organisaatioita seuraamaan riippuvuuksia ja haavoittuvuuksia.

SBOM-käytön on laajentunut merkittävästi viime vuosina, erityisesti sääntelypaineen ja toimitusketjun hyökkäysten vuoksi. Kuitenkin Manifestin tutkimus osoittaa, että monet organisaatiot käsittävät SBOM-luomisen enemminkin sääntelynä kuin operatiivisena kyvykkyytenä.

Raportti korostaa useita avaintilastojen:

  • 60% organisaatioista luo SBOMeja
  • Yli puolet ei aktiivisesti hallitse tai käytä niitä käytännössä
  • 79,6% käyttää ohjelmistojen koostumisen analyysi (SCA) työkaluja
  • SBOMien operatiivinen käyttö on paljon alhaisempi, 41,8%

Ilman keskitettyä syötettä, normalisointia, käytäntöjen valvontaa ja jatkuvaa valvontaa SBOMit muuttuvat staattisiksi artefakteiksi eikä aktiivisiksi riskienhallintatyökaluiksi.

Tietoturva tiimit myös ilmaisevat epäilyä perinteisten ohjelmistojen koostumisen analyysi -alustoja kohtaan. 56,3% vastaajista sanoo, että SCA-työkalut luovat melua tai hidastavat kehitystiimejä, kun taas 46,4% epäilee, että nämä työkalut vähentävät merkittävästi todellista ohjelmistojen riskiä.

Tämä ero korostaa laajempaa kypsymishaastetta: organisaatiot voivat luoda suuria määriä turvallisuustietoa, mutta usein puuttuu operatiivinen infrastruktuuri kääntääksesi nämä signaalit toimivaksi riskien vähentämiseksi.

Näkyvyyden data parantaa turvallisuutta ja käyttöönoton nopeutta

Haasteista huolimatta tutkimus osoittaa, että organisaatiot, jotka saavuttavat merkityksellisen näkyvyyden ohjelmistotoimitusketjuissaan, saavuttavat mitattavissa olevia etuja.

Lähes 50% vastaajista (49,4%) raportoi saavansa vahvistettua näkyvyyden dataa – kuten SBOMeja, alkuperän rekisteröintejä tai allekirjoitettuja binääriä – toimittajilta hankinnan aikana.

Kun tämä tieto on luotettavaa ja operatiivista, vaikutus on merkittävä:

  • 64% raportoi nopeamman uuden teknologian käyttöönoton
  • 61,6% raportoi nopeamman turvallisuusongelmien ratkaisun
  • 15,5% raportoi vähennetyn keskeytyksen

Organisaatiot, joilla ei ole tällaista näkyvyyttä, maksavat raportin mukaan “näkyvyyden veron” – lisäaikaa, -kustannuksia ja -riskejä, jotka liittyvät epäselvien ohjelmistokomponenttien manuaaliseen tutkimiseen.

Säänneltyjen alojen esimerkit osoittavat tämän haasteen. Rahoituspalvelu- ja terveydenhuolto-organisaatiot raportoivat joidenkin matalimmista prosentteista vahvistetun näkyvyyden datan saamisesta toimittajilta – 14,3% ja 19,5% vastaavasti – vaikka heillä on suurin tarve sille.

AI-omaksuminen kiihtyy yrityksissä

Tutkimus korostaa myös, miten nopeasti AI on omaksuttu yritysten ohjelmistoympäristöihin.

Melkein mikään yritys ei raportoinut välttävänsä AI:tä kokonaan. Sen sijaan yritykset kokeilevat laajaa joukkoa lähestymistapoja:

  • 80,2% käyttää hyväksyttyjä kaupallisia AI-malleja sisäisesti
  • 79,9% käyttää laajasti kaupallisia työkaluja, kuten ChatGPT:ä tai Cursoria
  • 56,7% kouluttaa avoimia painoja sisäisillä tiedoilla
  • 29,3% rakentaa mukautettuja AI-malleja alusta alkaen

Rahoituspalvelu- ja teknologiayritykset johtavat omaksumista. Lähes 90% rahoituspalveluorganisaatioista raportoi hyväksyttyjä sisäisiä AI-malleja, ja 46,9% rakentaa mukautettuja malleja alusta alkaen, joka on selvästi yleistä keskiarvoa korkeampi.

Nämä sektorit ovat vahvoja kannustimia nopeaan toimintaan. Rahoituspalveluissa AI vaikuttaa suoraan petosten havaitsemiseen, riskienhallintaan ja tuottoon. Teknologiayrityksissä AI on yhä enemmän keskiössä tuote- ja alustatarjontaa.

Kuitenkin nopea omaksumisen tahti usein ohittaa hallinnon.

Varjo-AI on yleistynyt ongelma

Tutkimus vahvistaa, että varjo-AI – työkalut tai mallit, jotka on otettu käyttöön ilman virallista valvontaa – on jo laajasti levinnyt.

Vain 34,8% vastaajista raportoi, ettei heillä ole varjo-AI:ta organisaatiossaan, kun taas loput tunnustavat vähintään jonkin verran hallitsematonta AI-käyttöä.

Tämä malli muistuttaa aiempia “varjo-IT”-aaltoja, jolloin työntekijät omaksuivat pilvipalveluita tai SaaS-työkaluja virallisten hankintaprosessien ulkopuolella.

Alueelliset erot ovat myös ilmestyneet. EMEA-alueen organisaatiot raportoivat korkeammat prosentit toimimisesta ilman varjo-AI:ta (45,7%), luultavasti johtuen voimakkaammista sääntelystä kehyksistä ja tiukemmista hankintaprosessista muihin alueisiin verrattuna.

Kuitenkin raportti varoittaa, että perinteiset turvallisuustyökalut eivät ole suunniteltu seuraamaan AI-malleja, tietokantoja ja -palveluita hajautetuissa kehitysympäristöissä.

Lisenssi- ja oikeudelliset riskit ovat toinen suuri sokea piste

AI-omaksumisen lisäksi tutkimus korostaa myös oikeudellisia ja sääntelyhaasteita, jotka liittyvät AI-mallien ja -tietokantojen lisenssiehtojen, immateriaalioikeuksien ja käyttörajoitusten ymmärtämiseen.

93% vastaajista sanoo, että heidän organisaatiollaan on parantamisen varaa AI-lisenssien ja IP-velvollisuuksien hallinnassa

Nämä riskit tulevat erityisen akuuteiksi, kun organisaatiot kouluttavat avoimia painoja sisäisillä tiedoilla tai yhdistävät omistajien tietokantoja kolmannen osapuolen AI-komponentteihin.

Ilman vahvempia hallintorakenteita yritykset voivat tahattomasti tuoda lisenssirikkomuksia tai sääntelyriskiä tuotantojärjestelmiinsä.

Operatiivinen soppatelu saattaa olla todellinen haaste

Vaikka turvallisuustyökalut jatkavat kehittymistään, raportti ehdottaa, että suurin este AI-toimitusketjun turvallisuuden tehokkaalle toteuttamiselle saattaa olla operatiivinen eikä itse teknologia.

Monet organisaatiot kamppailevat hajanaisen omistajuuden, eristyneiden työnkulkujen ja yhteisen järjestelmän puutteen kanssa ohjelmistojen ja AI-komponenttien hallinnassa.

Useimmin mainittuja rajoituksia ovat:

  • 47,3% organisaatiot
  • 36,3% riittämättömät taidot
  • 35,7% budjettirajoitukset
  • 34,8% puute johtamisen ymmärryksestä
  • 32,6% henkilöstöpulaa

Nämä operatiiviset aukot tekevät siitä vaikeaa turvallisuussignaaleille kääntyä johdonmukaiseksi käytäntöjen toteutukseksi tai mitattavaksi riskien vähentämiseksi.

Miksi AI-toimitusketjun turvallisuus on muuttumassa strategiseksi prioriteetiksi

Kun AI on sulautunut jokaiseen kerrokseen yritysten ohjelmistoympäristössä, ohjelmistotoimitusketjun käsite on laajentunut käsittämään mallit, koulutusaineistot, päätelypalvelut ja kolmannen osapuolen AI-alustat.

Manifestin raportti johtaa siihen, että organisaatioiden on siirryttävä pistekohtaisista näkyvyyden työkaluista ja luotava jatkuva, operatiivinen valvonta AI-toimitusketjuunsa.

Tämä sisältää:

  • seuraamisen kaikkia AI-malleja, joita kehitysympäristössä käytetään
  • vahvistamisen koulutusaineiston alkuperää ja lisenssejä
  • hallintopolitiikkojen toteuttamisen kehityksen ja käyttöönoton aikana
  • ylläpitämisen jatkuva luettelo AI-komponenteista, vastaava SBOMeja

Ilman näitä mekanismeja ero AI-omaksumisen ja AI-hallinnon välillä jatkuu laajentumassa.

Ja kuten tutkimus osoittaa, tämä ero on jo olemassa monissa yrityksissä tänään.

mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.