Connect with us

Sztuczna inteligencja jest już w Twojej firmie. Jeśli nie zabezpieczysz jej, zostaniesz w tyle

Cyberbezpieczeństwo

Sztuczna inteligencja jest już w Twojej firmie. Jeśli nie zabezpieczysz jej, zostaniesz w tyle

mm
Published
Updated

Niezależnie od tego, czy oficjalnie wdrożyłeś sztuczną inteligencję w swojej organizacji, jest ona już tam. Pracownicy używają ChatGPT do tworzenia dokumentów, prawdopodobnie uploadujących wrażliwe dane do internetowych narzędzi w celu przyspieszenia analizy, oraz opierają się na generatywnych narzędziach, aby skrócić wszystko, od kodu do obsługi klienta. Sztuczna inteligencja dzieje się z Twoim udziałem lub bez niego, i to powinno niepokoić CISO.

Ten cichy rozprzestrzenianie się niezweryfikowanych narzędzi sztucznej inteligencji we wszystkich departamentach stworzył nową, szybko rosnącą warstwę cieniowej infrastruktury IT. Jest to zdecentralizowane, w dużej mierze niewidoczne i pełne ryzyka. Od naruszeń zgodności z przepisami do wycieku danych i nieśladowalnych decyzji, konsekwencje ignorowania tej fali użycia sztucznej inteligencji są realne. Jednak wiele firm nadal uważa, że mogą ją powstrzymać za pomocą polityk lub zapór sieciowych.

Prawdą jest, że sztuczna inteligencja nie może być zablokowana. Może być tylko zabezpieczona. I im szybciej firmy zaakceptują to, tym szybciej będą mogły zacząć zamykać niebezpieczne luki, które sztuczna inteligencja już otworzyła.

Cieniowa sztuczna inteligencja infiltrowuje organizacje i jest słabym punktem bezpieczeństwa

Widzieliśmy ten wzorzec wcześniej. Przyjęcie chmury w latach 2010. rozpoczęło się dokładnie w ten sposób, z zespołami, które sięgały po narzędzia, które pomagały im działać szybciej, często bez zgody zespołu ds. bezpieczeństwa. Wiele zespołów ds. bezpieczeństwa próbowało się temu oprzeć, ale zostało zmuszone do reaktywnej naprawy, gdy nastąpiły naruszenia, błędy konfiguracji lub niezgodności z przepisami.

Dziś to samo dzieje się ze sztuczną inteligencją. Według naszego Raportu o stanie bezpieczeństwa sztucznej inteligencji 2024, ponad połowa organizacji używa sztucznej inteligencji do tworzenia własnych aplikacji, a jednak niewiele z nich ma widoczność, gdzie te modele się znajdują, jak są skonfigurowane, czy narażają wrażliwe dane.

To tworzy dwa rodzaje ryzyka:

  1. Pracownicy używający publicznych narzędzi, aby uzyskać dostęp do własnościowych lub wrażliwych danych, co naraża te informacje na zewnętrzne systemy bez nadzoru.
  2. Wewnętrzne zespoły wdrażające modele sztucznej inteligencji bez adekwatnych kontroli bezpieczeństwa, co skutkuje lukami, które mogą być wykorzystane i słabymi praktykami, które mogą nie powieść w audytach.

Cieniowa sztuczna inteligencja nie jest tylko kwestią bezpieczeństwa, może być także kryzysem zarządzania. Jeśli nie widać, gdzie sztuczna inteligencja jest używana, nie można zarządzać tym, jak jest szkolona, jakie dane ma dostęp do, czy jakie dane generuje. I jeśli nie śledzi się decyzji sztucznej inteligencji, traci się możliwość wyjaśnienia lub obrony ich, co pozostawia organizację na łasce ryzyka regulacyjnego, reputacyjnego lub operacyjnego.

Dlaczego tradycyjne narzędzia bezpieczeństwa nie są wystarczające

Większość narzędzi bezpieczeństwa nie została zaprojektowana, aby radzić sobie ze sztuczną inteligencją. Nie rozpoznają artefaktów modeli, nie mogą skanować ścieżek danych specyficznych dla sztucznej inteligencji i nie wiedzą, jak śledzić interakcje z modelem językowym ani egzekwować zarządzania modelem. Nawet narzędzia, które istnieją, koncentrują się często na wąskich fragmentach układanki, pozostawiając organizacje, które muszą jonglować rozwiązaniami punktowymi bez spójnego widoku.

To jest problem. Bezpieczeństwo sztucznej inteligencji nie może być pomyślane jako coś, co można dodać później lub jako coś, co można przerzucić na inny dział. Musi być wbudowane w sposób, w jaki zarządzasz swoim środowiskiem chmury, chronisz swoje dane i strukturyzujesz swoje DevSecOps pipeline. W przeciwnym razie zaniżasz, jak centralna jest sztuczna inteligencja w Twoich operacjach i pomijasz okazję, aby ją zabezpieczyć jako część Twojej infrastruktury biznesowej.

Mit „po prostu zablokuj to” musi się skończyć

Kusi, aby myśleć, że można to rozwiązać, wprowadzając całkowity zakaz za pomocą polityk „brak narzędzi sztucznej inteligencji third-party” lub „brak wewnętrznych eksperymentów”. Ale to jest myślenie życzeniowe. Po prostu, pracownicy używają narzędzi sztucznej inteligencji, aby wykonać swoją pracę szybciej. I nie robią tego ze złem, robią to, ponieważ to działa.

Sztuczna inteligencja jest mnożnikiem siły i ludzie będą sięgać po nią, dopóki pomoże im w dotrzymaniu terminów, zmniejszeniu pracy lub rozwiązaniu problemów szybciej.

Próba zablokowania tego zachowania wprost nie powstrzyma go. Po prostu spowoduje, że będzie ono bardziej ukryte. I gdy coś pójdzie nie tak, będziesz w najgorszej możliwej sytuacji, bez widoczności, bez polityk i bez planu na odpowiedź.

Przyjmij sztuczną inteligencję strategicznie, bezpiecznie i widocznie

Bardziej inteligentne podejście polega na przyjęciu sztucznej inteligencji proaktywnie, ale na Twoich warunkach. To zaczyna się od trzech rzeczy:

  1. Daj pracownikom bezpieczne, zatwierdzone opcje. Jeśli chcesz skierować użycie w stronę mniej ryzykownych narzędzi, musisz zaoferować bezpieczne alternatywy. Niezależnie od tego, czy są to wewnętrzne modele językowe, zweryfikowane narzędzia third-party, czy zintegrowane asystenci sztucznej inteligencji w systemach podstawowych, kluczem jest spotkać pracowników tam, gdzie są, z narzędziami, które są równie szybkie, ale znacznie bezpieczniejsze.

  2. Ustalaj jasne polityki i egzekwuj je. Zarządzanie sztuczną inteligencją wymaga, aby było konkretnie, wykonalne i łatwe do naśladowania. Jakiego rodzaju dane mogą być udostępnione narzędziom sztucznej inteligencji? Jakie są linie czerwone? Kto jest odpowiedzialny za przegląd i zatwierdzenie wewnętrznych projektów sztucznej inteligencji? Publikuj swoje polityki i upewnij się, że Twoje mechanizmy egzekwowania, techniczne i proceduralne, są na miejscu.

  3. Inwestuj w widoczność i monitorowanie. Nie możesz zabezpieczyć tego, czego nie widzisz. Potrzebujesz narzędzi, które mogą wykryć użycie cieniowej sztucznej inteligencji, zidentyfikować narażone klucze dostępu, oznaczyć źle skonfigurowane modele i wskazać, gdzie wrażliwe dane mogą być narażone na wyciek do zestawów szkoleniowych lub danych wyjściowych. Zarządzanie postawą sztucznej inteligencji staje się tak samo krytyczne, jak zarządzanie postawą bezpieczeństwa chmury.

CISO muszą przewodzić tej transformacji

Podoba się to czy nie, to jest decydujący moment dla przywództwa ds. bezpieczeństwa. Rola CISO nie jest już tylko ochroną infrastruktury. Staje się bardziej o umożliwieniu innowacji w sposób bezpieczny, co oznacza pomoc organizacji w używaniu sztucznej inteligencji, aby działać szybciej, przy jednoczesnym zapewnieniu, że bezpieczeństwo, prywatność i zgodność są wbudowane w każdy krok.

To przywództwo wygląda następująco:

  • Edycja zarządu i kadry kierowniczej na temat rzeczywistych a postrzeganych ryzyk sztucznej inteligencji
  • Tworzenie partnerstw z zespołami inżynieryjnymi i produkcyjnymi, aby osadzić bezpieczeństwo wcześniej w wdrożeniach sztucznej inteligencji
  • Inwestowanie w nowoczesne narzędzia, które rozumieją, jak działają systemy sztucznej inteligencji
  • Budowanie kultury, w której odpowiedzialne użycie sztucznej inteligencji jest zadaniem każdego

CISO nie muszą być ekspertami od sztucznej inteligencji w pokoju, ale muszą być tymi, którzy zadają odpowiednie pytania. Jakie modele używamy? Jakie dane je karmią? Jakie są bariery ochronne? Czy możemy to udowodnić?

Podsumowanie: Nie robienie niczego jest największym ryzykiem ze wszystkich

Sztuczna inteligencja już zmienia, jak nasze firmy działają. Niezależnie od tego, czy są to zespoły obsługi klienta, które tworzą szybsze odpowiedzi, zespoły finansowe, które analizują prognozy, czy deweloperzy, którzy przyspieszają swój workflow, sztuczna inteligencja jest wbudowana w codzienną pracę. Ignorowanie tej rzeczywistości nie spowalnia adopcji, ale zaprasza do ślepych punktów, wycieków danych i awarii regulacyjnych.

Najbardziej niebezpieczna ścieżka do przodu to brak działania. CISO i przywódcy ds. bezpieczeństwa muszą zaakceptować to, co już jest prawdą: sztuczna inteligencja jest tutaj. Jest w Twoich systemach, jest w Twoich workflow, i nie zniknie. Pytanie brzmi, czy zabezpieczysz ją, zanim stworzy szkody, których nie będziesz w stanie naprawić.

Przyjmij sztuczną inteligencję, ale nigdy bez nastawienia na bezpieczeństwo. To jedyny sposób, aby pozostać przed tym, co nadchodzi.

mm

Gil Geron jest CEO i współzałożycielem Orca Security. Gil ma ponad 20 lat doświadczenia w zarządzaniu i dostarczaniu produktów związanych z cyberbezpieczeństwem. Wcześniej, przed objęciem stanowiska CEO, Gil był Chief Product Officer od początku istnienia Orca. Jest pasjonatem zadowolenia klientów i pracował ściśle z klientami, aby zapewnić im możliwość bezpiecznego funkcjonowania w chmurze. Gil jest zaangażowany w dostarczanie bezproblemowych rozwiązań związanych z cyberbezpieczeństwem bez kompromisów w zakresie wydajności. Przed współzałożeniem Orca Security, Gil kierował dużym zespołem specjalistów ds. cyberbezpieczeństwa w firmie Check Point Software Technologies.