рд╡рд┐рдЪрд╛рд░ рдиреЗрддрд╛
рдЫрд╛рдпрд╛ рдПрдЖрдИ рдЬрдВрдЧрд▓: рдХреНрдпреЛрдВ рдПрдХ рдкреНрд▓реЗрдЯрдлрд╝реЙрд░реНрдо рдХреЛ рдордВрдЬреВрд░реА рджреЗрдирд╛ рдЙрд╕ рдкрд░ рдмрдирд╛рдП рдЧрдП рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рд╕рдорд╛рди рдирд╣реАрдВ рд╣реИ
एंटरप्राइज़ एआई अपनाना बिल्कुल भी घर्षण मुक्त नहीं है। डेटा नियंत्रण, नियामक अनुपालन और सुरक्षा के बारे में चिंताएं पूरी यात्रा में हर चरण के साथ आई हैं। लेकिन जैसे ही संगठन माइक्रोसॉफ्ट, सेल्सफोर्स और सर्विसनाउ जैसे प्रमुख प्लेटफ़ॉर्म पर अपने ऑपरेशन को बढ़ाते हैं, एक बढ़ती हुई भावना है कि सबसे कठिन शासन संबंधी प्रश्न, कम से कम आंशिक रूप से, संबोधित किए जा रहे हैं। एंटरप्राइज़ समझौते जगह में हैं। सुरक्षा समीक्षा पूरी हो गई है। प्लेटफ़ॉर्म मंजूर हैं।
जो विश्वास अक्सर अनदेखा करता है वह एक अलग प्रश्न है: न कि प्लेटफ़ॉर्म सुरक्षित है या नहीं, बल्कि क्या और कौन बना रहा है।
उद्योगों भर में, एक शांत क्रांति चल रही है क्योंकि गैर-तकनीकी कर्मचारी एंटरप्राइज़ एआई प्लेटफ़ॉर्म का उपयोग करके स्वायत्त एजेंट, स्वचालित कार्य प्रवाह और डेटा-संबंधित अनुप्रयोग बना रहे हैं, अक्सर बिना कोड लिखे। पारंपरिक विकास की समय सीमा और प्रतिबंधों से मुक्त, ये निर्माता संगठनात्मक दक्षता के लिए वरदान हैं। लेकिन इन उपकरणों की कभी सुरक्षा टीम द्वारा समीक्षा नहीं की जाती है। कई मामलों में, सुरक्षा टीमें यह भी नहीं जानती हैं कि वे मौजूद हैं।
इन उपकरणों, चाहे उन्हें ऐप्स, एजेंटों या स्वचालन के रूप में वर्गीकृत किया गया हो, एक बढ़ती हुई समस्या का हिस्सा हैं जिसे शैडो एआई के रूप में जाना जाता है, और यह पिछले एक दशक में एंटरप्राइज़ जोखिम में सबसे महत्वपूर्ण बदलावों में से एक का प्रतिनिधित्व करता है, क्योंकि खतरे अब अंदर चले गए हैं।
मूल शैडो आईटी समस्या अपेक्षाकृत सीधी थी: कर्मचारी संगठन के बाहर से अनधिकृत उपकरण का उपयोग कर रहे थे, और सुरक्षा का काम उन्हें खोजना और ब्लॉक करना था। शैडो एआई एक अलग चुनौती है। उपकरण आपके द्वारा मंजूर किए गए प्लेटफ़ॉर्म के अंदर हैं। जो लोग उन्हें बना रहे हैं वे आपके自己的 कर्मचारी हैं। उपयोग की जा रही पहुंच वैध है। और इसमें से कोई भी सुरक्षा प्रक्रियाओं से गुजरता नहीं है जो समस्याओं को पकड़ने के लिए डिज़ाइन की गई हैं इससे पहले कि वे उत्पादन तक पहुंचें।
इसे संबोधित करना विशेष रूप से कठिन बनाने वाली बात पैमाने पर है। अधिकांश सुरक्षा नेता अपने स्वयं के वातावरण के भीतर बनाए जा रहे की मात्रा को महत्वपूर्ण रूप से कम आंकते हैं। 200 से अधिक एंटरप्राइज़ सीआईएसओ और सुरक्षा नेताओं के हालिया शोध में पाया गया कि औसत एंटरप्राइज़ सुरक्षा टीम केवल 44% एआई एजेंटों, स्वचालन और अनुप्रयोगों के लिए खाता है जो उनके व्यवसाय उपयोगकर्ताओं द्वारा बनाए गए हैं। यह एक अंतर नहीं है। यह एक अंधा धब्बा है जो ज्यादातर चीजों को कवर करता है जो चल रहा है।
कारण सीधा है: व्यवसाय उपयोगकर्ता अब कुछ संगठनों में 10 से 1 के अनुपात में पेशेवर विकासकारों से अधिक हैं। वे लगातार हर विभाग में बना रहे हैं, जो आसानी से बनाने के लिए डिज़ाइन किए गए प्लेटफ़ॉर्म पर, और फिर सी-सूट द्वारा बनाने के लिए प्रोत्साहित किया जाता है। सुरक्षा टीमें डेवलपर पाइपलाइन और कोड रिपॉजिटरी के आसपास उन्मुख हैं। वे इसे मॉनिटर करने के लिए डिज़ाइन नहीं किए गए थे।
सबसे आम गलत धारणा यह है कि एक प्लेटफ़ॉर्म को मंजूरी देने से सुरक्षा समस्या हल हो जाती है। यह नहीं करता है, यह बस इसे स्थानांतरित करता है। जब एक एंटरप्राइज़ माइक्रोसॉफ्ट, सेल्सफोर्स या यूआईपैथ के साथ एक समझौते पर हस्ताक्षर करता है, तो प्लेटफ़ॉर्म प्रदाता अपने बुनियादी ढांचे को सुरक्षित करता है। जो कर्मचारी इसके ऊपर बनाते हैं और वे इसे कैसे कॉन्फ़िगर करते हैं, यह पूरी तरह से एंटरप्राइज़ की जिम्मेदारी है।
समस्या यह है कि व्यवसाय उपयोगकर्ताओं द्वारा बनाए गए उपकरण पारंपरिक सुरक्षा प्रणालियों को सॉफ़्टवेयर की तरह नहीं दिखते हैं। कोड स्कैन करने के लिए कोई कोड नहीं है, कोई रिपॉजिटरी मॉनिटर करने के लिए नहीं है, कोई पाइपलाइन इंस्पेक्ट करने के लिए नहीं है। एक एचआर प्रबंधक द्वारा मेनू और टेक्स्ट प्रॉम्प्ट की एक श्रृंखला के माध्यम से बनाए गए एक एआई एजेंट, अधिकांश सुरक्षा टूलिंग के दृष्टिकोण से, अदृश्य है।
और फिर भी ये उपकरण महत्वहीन नहीं हैं। शोध में पाया गया है कि अधिकांश सीआईएसओ ने पुष्टि की है कि व्यवसाय-निर्मित अनुप्रयोग अब व्यवसाय-महत्वपूर्ण प्रक्रियाओं का समर्थन करते हैं और संवेदनशील कंपनी डेटा तक पहुंच है। दांव वास्तविक हैं, और पर्यवेक्षण नहीं पकड़ा है।
शून्य से आपदा तक
उपयोग के मामले विविध हैं और लगभग हर विभाग से आते हैं, यहां तक कि उन लोगों से भी जिन पर सुरक्षा टीम को नजर रखने की उम्मीद नहीं होगी।
उदाहरण के लिए, एक मार्केटिंग समन्वयक एक पूरी तरह से प्रतिबंधित प्लेटफ़ॉर्म पर उत्पाद प्रश्नों का उत्तर देने के लिए एक ग्राहक-सामने वाले एआई एजेंट बनाता है। कुछ ही मिनटों में, ऐप चल रहा है, लेकिन कोई सुरक्षा प्रशिक्षण नहीं होने के नाते, दो छोटे कॉन्फ़िगरेशन त्रुटियां अनदेखी हो जाती हैं और एजेंट को कंपनी के पूरे डेटाबेस तक सीधी पहुंच और क्या पुनर्प्राप्त किया जा सकता है इसकी कोई सीमा नहीं है। उत्पादन में, एक उपयोगकर्ता इसे कर्मचारी रिकॉर्ड खींचने के लिए कहता है। यह करता है। चूंकि एजेंट के पास ईमेल क्षमता भी है, उपयोगकर्ता इसे व्यक्तिगत पते पर डेटा भेजने के लिए निर्देशित करता है। पूरी क्रम 60 सेकंड से कम समय लेता है। कोई अनधिकृत पहुंच नहीं। कोई प्लेटफ़ॉर्म उल्लंघन नहीं। कोई सुरक्षा अलर्ट नहीं।
यह एक जटिल हमला नहीं है। यह एक अच्छी तरह से इरादे वाले कर्मचारी द्वारा कुछ बनाने का परिणाम है जो उन्हें पूरी तरह से नहीं समझता है, एक प्लेटफ़ॉर्म पर जो निर्माण को आसान बनाता है और शासन को वैकल्पिक बनाता है।
कोई भी मूल्य निर्धारित नहीं किया गया शासन अंतर
अधिकांश संगठनों के लिए, शैडो एआई समस्या तब तक अमूर्त रहती है जब तक कि कुछ गलत नहीं हो जाता। लेकिन व्यवसाय जोखिम उल्लंघन प्रतिक्रिया से गहरा चलता है।
जब एक व्यवसाय-निर्मित एजेंट संवेदनशील डेटा लीक करता है, तो एक बोर्ड जो प्रश्न पूछेगा वह यह नहीं होगा कि “मिसकॉन्फ़िगरेशन कैसे हुआ?” यह होगा “किसी को यह नहीं पता था कि टूल चल रहा है?” वे एक बाहरी हमलावर द्वारा किए गए उल्लंघन और एक मिसकॉन्फ़िगर्ड आंतरिक टूल द्वारा किए गए उल्लंघन के बीच अंतर नहीं करेंगे। यदि व्यक्तिगत डेटा उजागर किया गया था और संगठन को यह दिखाई नहीं दे रहा था कि क्या चल रहा है, तो देखभाल की अनुपस्थिति स्वयं दायित्व है। “एक कर्मचारी ने एक मंजूरी प्राप्त प्लेटफ़ॉर्म पर इसे बनाया” एक बचाव नहीं है, यह अंतर का वर्णन है।
ज़रूरत की बात है, लेकिन इरादा और निष्पादन एक ही चीज़ नहीं हैं, और अधिकांश एंटरप्राइज़ के लिए, उनमें से दो के बीच का अंतर अभी भी खुला है।
उत्तर यह नहीं है कि कौन बना सकता है। नागरिक विकास को प्रतिबंधित करने से वास्तविक उत्पादकता लाभ की बलि दी जाएगी और व्यवहार में यह नहीं रखेगा। कर्मचारी काम के चारों ओर मिलेंगे। उत्तर यह है कि जो बनाया जा रहा है उसे दृष्टि में लाना है, और जोखिम के बिंदु पर इसे शासन करना है: रनटाइम।
इसका मतलब है कि न केवल यह समझना कि कौन से एजेंट मौजूद हैं, बल्कि वे कैसे व्यवहार करते हैं, वे किन डेटा तक पहुंचते हैं, वे किन प्रणालियों को छूते हैं, और क्या उनकी क्रियाएं उनके निर्माताओं द्वारा इरादा किए गए सीमाओं के भीतर रहती हैं। इसका मतलब है संगठन स्तर पर, कॉन्फ़िगरेशन बिंदु पर नहीं, गार्डरेल स्थापित करना। और इसका मतलब है एक ऐसी जगह पर पहुंचना जहां सुरक्षा टीमें अपने वातावरण में किसी भी एजेंट के बारे में सबसे बुनियादी प्रश्नों का उत्तर दे सकती हैं: किसने इसे बनाया, इसके पास क्या पहुंच है, और क्या यह उस तरह से व्यवहार कर रहा है जैसा यह डिज़ाइन किया गया था?
अधिकांश एंटरप्राइज़ आज उन प्रश्नों का उत्तर नहीं दे सकते हैं। जो संगठन पहले वहां पहुंचेंगे वे वे होंगे जो एआई अपनाने को स्केल कर सकते हैं आत्मविश्वास के साथ, क्योंकि वे जानते हैं कि वे वास्तव में क्या चला रहे हैं।
