Connect with us

Tankeledere

Konfronterende Sikkerhetsrisikoene for Copilots

mm
Published
Updated

Mer og mer bruker bedrifter copilots og lavkodeplattformer for å aktivere ansatte – selv de med liten eller ingen teknisk ekspertise – til å lage kraftfulle copilots og forretningsapper, samt å prosessere store mengder data. En ny rapport fra Zenity, The State of Enterprise Copilots and Low-Code Development in 2024, fant at gjennomsnittlig har bedrifter omtrent 80 000 apper og copilots som ble laget utenfor den standardiserte programvareutviklingslivssyklusen (SDLC).

Dette utviklingen tilbyr nye muligheter, men også nye risikoer. Blant disse 80 000 appene og copilots er omtrent 50 000 sårbarheter. Rapporten noterte at disse appene og copilots utvikler seg i en rasende fart. Derfor skaper de et stort antall sårbarheter.

Risikoer for bedriftscopilots og apper

Vanligvis bygger programvareutviklere apper omsorgsfullt langs en definert SDLC (sikker utviklingslivssyklus) hvor hver app konstant er designet, distribuert, målt og analysert. Men i dag eksisterer disse sikkerhetsskrankene ikke lenger. Personer uten utviklingserfaring kan nå bygge og bruke høyttrente copilots og forretningsapper innen Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier og andre. Disse appene hjelper med forretningsoperasjoner mens de overfører og lagrer følsomme data. Veksten i dette området har vært betydelig; rapporten fant 39% år-til-år-vækst i antall lavkodeutvikling og copilots.

Som en følge av denne omgåingen av SDLC, er sårbarheter ubetydelige. Mange bedrifter omfavner entusiastisk disse mulighetene uten å fullt ut forstå at de må forstå hvor mange copilots og apper som blir laget – og deres forretningskontekst også. For eksempel må de forstå hvem appene og copilots er ment for, hvilke data appen samhandler med og hva deres forretningsformål er. De må også vite hvem som utvikler dem. Siden de ofte ikke gjør det, og siden standardutviklingspraksisene blir omgått, skaper dette en ny form for skygge-IT.

Dette setter sikkerhetsteamene i en vanskelig posisjon med mange copilots, apper, automatiseringer og rapporter som blir bygget utenfor deres kunnskap av forretningsbrukere i forskjellige LoB. Rapporten fant at alle OWASP (Open Web Application Security Project) Top 10 risikokategorier er ubetydelige over hele bedrifter. Gjennomsnittlig har et bedrift 49 438 sårbarheter. Dette oversettes til 62% av copilots og apper bygget via lavkode som inneholder en sikkerhetssårbarhet av en eller annen type.

Forstå de forskjellige typer risikoer

Copilots presenterer en så signifikant trussel på grunn av at de bruker legitimasjon, har tilgang til følsomme data og besitter en intrinsisk nysgjerrighet som gjør dem vanskelige å inneholde. Faktisk var 63% av copilots bygget med lavkodeplattformer delt med andre – og mange av dem aksepterer uautentisert chat. Dette muliggjør en betydelig risiko for mulige promptinjeksjonsangrep.

På grunn av hvordan copilots opererer og hvordan AI opererer generelt, må strenge sikkerhetstiltak pålegges for å forhindre deling av slutbrukerinteraksjoner med copilots, deling av apper med for mange eller feil personer, unødvendig tilgang til følsomme data via AI og så videre. Hvis disse tiltakene ikke er på plass, risikerer bedrifter økt eksponering for datalekkasje og ondsinnet promptinjeksjon.

Related Topics:
mm

Ben Kliger er administrerende direktør og medgrunnlegger av Zenity, som bringer applikasjonssikkerhet til verden av bedriftspiloter, lavkode og ingen-kode applikasjonsutvikling. Ben har stor erfaring i cybersikkerhetsbransjen som spenner over 16+ år. Hans ekspertise omfatter hånd-til-hånd cybersikkerhet, teambygging og ledelse gjennom forretningsstrategi og ledelse.