एआई पहले से ही आपके व्यवसाय के अंदर है। यदि आप इसे सुरक्षित नहीं कर रहे हैं, तो आप पीछे हैं

चाहे आप आधिकारिक तौर पर अपने संगठन में एआई को लागू किया हो या नहीं, यह पहले से ही वहां है। कर्मचारी दस्तावेज़ तैयार करने के लिए चैटजीपीटी का उपयोग कर रहे हैं, संभवतः विश्लेषण को तेज़ करने के लिए संवेदनशील डेटा को ऑनलाइन टूल में अपलोड कर रहे हैं, और जनरेटिव टूल्स पर निर्भर कर रहे हैं ताकि वे कोड से लेकर ग्राहक सेवा तक सब कुछ छोटा कर सकें। एआई हो रहा है, चाहे आप इसके बारे में जानते हों या नहीं, और यह सीआईएसओ को रात में जगाए रखना चाहिए।

विभागों में अनधिकृत एआई टूल्स का यह शांत प्रसार एक नए, तेजी से बढ़ते हुए शैडो आईटी परत का निर्माण कर रहा है। यह विकेंद्रीकृत है, ज्यादातर अदृश्य है, और जोखिमों से भरा हुआ है। अनुपालन उल्लंघनों से लेकर डेटा लीक और अनदेखी निर्णय लेने तक, एआई के उपयोग की इस लहर को नजरअंदाज करने के परिणाम वास्तविक हैं। फिर भी, बहुत सी कंपनियां अभी भी सोचती हैं कि वे इसे नीतियों या फ़ायरवॉल के साथ रोक सकती हैं।

सच्चाई यह है कि एआई को रोका नहीं जा सकता है। यह सुरक्षित किया जा सकता है। और जितनी जल्दी कंपनियां यह स्वीकार करेंगी, उतनी ही जल्दी वे एआई द्वारा पहले से खोले गए खतरनाक अंतराल को बंद करना शुरू कर सकती हैं।

शैडो एआई संगठनों में घुसपैठ कर रहा है, और यह एक सुरक्षा अंधकार क्षेत्र है

हमने इस पैटर्न को पहले देखा है। 2010 के दशक की शुरुआत में क्लाउड अपनाने में यही बात हुई, जब टीमें ऐसे टूल्स की ओर बढ़ीं जो उन्हें तेजी से आगे बढ़ने में मदद करते थे, अक्सर सुरक्षा टीम की मंजूरी के बिना। कई सुरक्षा टीमें बदलाव का विरोध करने की कोशिश करती थीं, लेकिन उन्हें प्रतिक्रियात्मक सफाई में मजबूर होना पड़ा जब उल्लंघन, मिसकॉन्फ़िगरेशन या अनुपालन विफलता हुई।

आज, एआई के साथ भी यही हो रहा है। हमारी 2024 एआई सुरक्षा रिपोर्ट के अनुसार, अधिकांश संगठन एआई का उपयोग अपने स्वयं के कस्टम अनुप्रयोगों को विकसित करने के लिए कर रहे हैं, और फिर भी कुछ को यह दिखाई नहीं देता है कि वे मॉडल कहां रहते हैं, वे कैसे कॉन्फ़िगर किए गए हैं, या वे संवेदनशील डेटा को उजागर कर रहे हैं या नहीं।

यह दो जोखिम पैदा करता है:

1. कर्मचारी प्रोप्राइटरी या संवेदनशील डेटा तक पहुंच के लिए सार्वजनिक टूल का उपयोग कर रहे हैं, जो बिना पर्यवेक्षण के बाहरी प्रणालियों को उस जानकारी के लिए उजागर करता है।
2. आंतरिक टीमें पर्याप्त सुरक्षा नियंत्रणों के बिना एआई मॉडल तैनात कर रही हैं, जिसके परिणामस्वरूप शोषण किए जा सकने वाले दोष और खराब प्रथाएं हो सकती हैं जो ऑडिट में विफल हो सकती हैं।

शैडो एआई सिर्फ एक सुरक्षा मुद्दा नहीं है, यह एक शासन संकट भी हो सकता है। यदि आप देख नहीं सकते कि एआई का उपयोग कहां किया जा रहा है, तो आप यह नहीं जान सकते कि इसे कैसे प्रशिक्षित किया जा रहा है, इसके पास किस डेटा तक पहुंच है, या यह क्या आउटपुट उत्पन्न कर रहा है। और यदि आप एआई निर्णयों को ट्रैक नहीं कर रहे हैं, तो आप उन्हें समझाने या उनका बचाव करने में असमर्थ हो जाते हैं, जिससे आप नियामक, प्रतिष्ठा या संचालन जोखिम के लिए खुले हो जाते हैं।

पारंपरिक सुरक्षा टूल क्यों कम पड़ जाते हैं

अधिकांश सुरक्षा टूल एआई को संभालने के लिए नहीं बनाए गए हैं। वे मॉडल आर्टिफैक्ट्स को नहीं पहचानते हैं, एआई-विशिष्ट डेटा पथों को स्कैन नहीं कर सकते हैं, और एलएलएम इंटरैक्शन को ट्रैक करने या मॉडल शासन को लागू करने के लिए नहीं जानते हैं। यहां तक कि जो टूल मौजूद हैं वे अक्सर पजल के संकीर्ण टुकड़ों पर अधिक ध्यान केंद्रित करते हैं, जिससे संगठन बिना एक सुसंगत दृष्टिकोण के बिंदु समाधानों के साथ संघर्ष करते हैं।

यह एक समस्या है। एआई सुरक्षा एक बाद की बात या एक बोल्ट-ऑन नहीं हो सकती है। यह आपके क्लाउड वातावरण को प्रबंधित करने, अपने डेटा की रक्षा करने और अपने डेवसेकओप्स पाइपलाइनों को संरचित करने के तरीके में निर्मित होना चाहिए। अन्यथा, आप एआई के केंद्रीय होने को कम आंक रहे हैं आपके संचालन में और अपनी व्यवसायिक बुनियादी ढांचे के एक मूलभूत हिस्से के रूप में इसे सुरक्षित करने का अवसर चूक रहे हैं।

“इसे ब्लॉक करें” की मिथक को समाप्त करना होगा

यह सोचना लुभावना है कि आप इसे नीतियों के माध्यम से हल कर सकते हैं जैसे कि “तीसरे पक्ष के एआई टूल नहीं” या “आंतरिक प्रयोग नहीं”。 लेकिन यह इच्छाधारी सोच है। सीधे शब्दों में कहें, कर्मचारी आज अपना काम तेजी से करने में मदद करने के लिए एआई टूल का उपयोग कर रहे हैं। और वे दुर्भावनापूर्ण तरीके से ऐसा नहीं कर रहे हैं, वे ऐसा कर रहे हैं क्योंकि यह काम करता है।

एआई एक बल गुणक है और लोग इसका उपयोग तब तक करेंगे जब तक यह उन्हें समय सीमा को पूरा करने, श्रम को कम करने या समस्याओं को तेजी से हल करने में मदद करता है।

इस व्यवहार को सीधे तौर पर रोकने की कोशिश करना इसे रोकने में विफल रहेगा। यह इसे और भी अधिक भूमिगत बना देगा। और जब कुछ गलत हो जाता है, तो आप सबसे खराब संभावित स्थिति में होंगे – कोई दृश्यता, कोई नीति, और कोई प्रतिक्रिया योजना नहीं।

एआई को रणनीतिक रूप से, सुरक्षित रूप से और दृश्यमान रूप से अपनाना

स्मार्ट दृष्टिकोण यह है कि एआई को सक्रिय रूप से अपनाना, लेकिन अपनी शर्तों पर। इसकी शुरुआत तीन चीजों से होती है:

1. कर्मचारियों को सुरक्षित, स्वीकृत विकल्प प्रदान करें। यदि आप जोखिम भरे टूल्स से उपयोग को दूर करना चाहते हैं, तो आपको सुरक्षित विकल्प प्रदान करने होंगे। चाहे वह आंतरिक एलएलएम हों, मंजूरी प्राप्त तृतीय-पक्ष टूल हों, या मुख्य प्रणालियों में एकीकृत एआई सहायक हों, मुख्य बात यह है कि कर्मचारियों को वहीं मिले जहां वे हैं, जो उतनी ही तेजी से काम करते हैं लेकिन बहुत अधिक सुरक्षित हैं।

2. स्पष्ट नीतियां निर्धारित करें और उन्हें लागू करें। एआई शासन को विशिष्ट, कार्रवाई योग्य और आसानी से पालन करने योग्य होना चाहिए। किस प्रकार के डेटा को एआई टूल के साथ साझा किया जा सकता है? क्या लाल रेखाएं हैं? आंतरिक एआई परियोजनाओं की समीक्षा और अनुमोदन के लिए कौन जिम्मेदार है? अपनी नीतियों को प्रकाशित करें और सुनिश्चित करें कि आपके प्रवर्तन तंत्र, तकनीकी और प्रक्रियात्मक, स्थान पर हैं।

3. दृश्यता और निगरानी में निवेश करें। आप जो देख नहीं सकते हैं उसे सुरक्षित नहीं कर सकते हैं। आपको ऐसे टूल्स की आवश्यकता है जो शैडो एआई उपयोग का पता लगा सकें, उजागर एक्सेस कुंजी की पहचान कर सकें, गलत कॉन्फ़िगर किए गए मॉडल को फ्लैग कर सकें, और हाइलाइट कर सकें कि संवेदनशील डेटा प्रशिक्षण सेट या आउटपुट में कैसे रिसाव हो सकता है। एआई पोस्चर प्रबंधन जल्द ही क्लाउड सुरक्षा पोस्चर प्रबंधन के रूप में महत्वपूर्ण हो रहा है।

सीआईएसओ को इस संक्रमण का नेतृत्व करने की आवश्यकता है

चाहे आप इसे पसंद करें या नहीं, यह सुरक्षा नेतृत्व के लिए एक निर्धारण क्षण है। सीआईएसओ की भूमिका अब केवल बुनियादी ढांचे की रक्षा करने के बारे में नहीं है। यह नवाचार को सुरक्षित रूप से सक्षम बनाने के बारे में हो रहा है, जिसका अर्थ है कि संगठन को एआई का उपयोग करके तेजी से आगे बढ़ने में मदद करना, सुनिश्चित करते हुए कि सुरक्षा, गोपनीयता और अनुपालन प्रत्येक चरण में शामिल हैं।

यह नेतृत्व दिखता है:

• बोर्ड और कार्यकारी अधिकारियों को वास्तविक बनाम कथित एआई जोखिमों पर शिक्षित करना
• एआई तैनाती में सुरक्षा को पहले से ही एम्बेड करने के लिए इंजीनियरिंग और उत्पाद टीमों के साथ साझेदारी बनाना
• आधुनिक टूल में निवेश करना जो जानते हैं कि एआई प्रणाली कैसे काम करती हैं
• एक संस्कृति बनाना जहां जिम्मेदार एआई उपयोग सभी की जिम्मेदारी है

सीआईएसओ को कमरे में एआई विशेषज्ञ होने की आवश्यकता नहीं है, लेकिन उन्हें सही प्रश्न पूछने की आवश्यकता है। कौन से मॉडल हम उपयोग कर रहे हैं? कौन सा डेटा उन्हें खिला रहा है? कौन से गार्डरेल लगे हुए हैं? क्या हम यह साबित कर सकते हैं?

नीचे की रेखा: कुछ नहीं करना सबसे बड़ा जोखिम है

एआई पहले से ही हमारे व्यवसायों के संचालन को बदल रहा है। चाहे यह ग्राहक सेवा टीमें तेजी से प्रतिक्रिया तैयार कर रही हों, वित्त टीमें विश्लेषण कर रही हों, या विकासकर्ता अपने कार्य प्रवाह को तेज कर रहे हों, एआई दैनिक कार्य में निहित है। इस वास्तविकता को अनदेखा करना एआई को अपनाने को धीमा नहीं करता है, यह केवल अंधे धब्बे, डेटा लीक और नियामक विफलताओं को आमंत्रित करता है।

सबसे खतरनाक मार्ग आगे की कोई कार्रवाई नहीं है। सीआईएसओ और सुरक्षा नेताओं को यह स्वीकार करना चाहिए कि एआई पहले से ही यहां है। यह आपकी प्रणालियों में, आपके कार्य प्रवाह में है, और यह जाने वाला नहीं है। प्रश्न यह है कि क्या आप इसे पहले सुरक्षित करेंगे या इससे पहले कि यह ऐसा नुकसान करे जिसे आप पूरा नहीं कर सकते हैं।

एआई को अपनाएं, लेकिन कभी भी सुरक्षा-पहले दृष्टिकोण के बिना नहीं। यह आगे की चीजों से आगे रहने का एकमात्र तरीका है।