Connect with us

AI Àr redan inne i ditt företag. Om du inte sÀkerstÀller det, Àr du efter

CybersÀkerhet

AI Àr redan inne i ditt företag. Om du inte sÀkerstÀller det, Àr du efter

mm
Published
Updated

Oavsett om du har rullat ut AI över hela organisationen eller inte, är det redan där. Anställda använder ChatGPT för att skapa dokument, laddar troligen upp känslig data i onlineverktyg för att påskynda analysen och använder generativa verktyg för att förkorta allt från kod till kundtjänst. AI sker med eller utan dig, och det borde hålla CISO:er vaken om natten.

Denna tysta spridning av otestade AI-verktyg över alla avdelningar har skapat ett nytt, snabbt växande lager av skugg-IT. Det är decentraliserat, till stor del osynligt och fullt av risker. Från överträdelser av regelefterlevnad till dataläckage och outredda beslutsprocesser, är konsekvenserna av att ignorera denna våg av AI-användning verkliga. Ändå tror många företag fortfarande att de kan hålla det på avstånd med hjälp av policys eller brandväggar.

Sanningen är att AI inte kan blockeras. Det kan bara säkerställas. Och ju snabbare företag accepterar det, desto snabbare kan de börja stänga de farliga luckor som AI redan har öppnat.

Skugg-AI tränger in i organisationer, och det är en säkerhetsblind fläck

Vi har sett det här mönstret förut. Molntjänster tog fart i början av 2010-talet exakt på det här sättet, med team som sträckte sig efter verktyg som hjälpte dem att flytta snabbare, ofta utan säkerhetsteamets godkännande. Många säkerhetsteam försökte motstå förändringen, men tvingades sedan till reaktiv rensning när dataintrång, felkonfigurationer eller överträdelser av regelefterlevnad inträffade.

Idag sker samma sak med AI. Enligt vår 2024 State of AI Security Report, använder mer än hälften av organisationerna AI för att utveckla sina egna anpassade applikationer, och ändå har få syn på var dessa modeller finns, hur de är konfigurerade eller om de utsätter känslig data.

Detta skapar två risker:

  1. Anställda använder offentliga verktyg för att komma åt proprietär eller känslig data, vilket utsätter den informationen för externa system utan tillsyn.
  2. Internpersonal installerar AI-modeller utan tillräckliga säkerhetskontroller, vilket resulterar i sårbarheter som kan utnyttjas och dåliga metoder som kan misslyckas med granskningar.

Skugg-AI är inte bara ett säkerhetsproblem, det kan också vara en styrningskris. Om du inte kan se var AI används, kan du inte hantera hur det tränas, vilken data det har tillgång till eller vilka utdata det genererar. Och om du inte spårar AI-beslut, förlorar du förmågan att förklara eller försvara dem, vilket lämnar dig öppen för regulatoriska, ryktesmässiga eller operativa risker.

Varför traditionella säkerhetsverktyg inte räcker till

De flesta säkerhetsverktyg var inte byggda för att hantera AI. De känner inte igen modellartefakter, kan inte skanna AI-specifika datavägar och vet inte hur man spårar LLM-interaktioner eller upprätthåller modellstyrning. Även de verktyg som finns tenderar att fokusera på smala delar av pusslet, vilket lämnar organisationer med punktlösningar utan en sammanhängande vy.

Det är ett problem. AI-säkerhet kan inte vara en eftertanke eller en tilläggsfunktion. Den måste byggas in i hur du hanterar din molnmiljö, skyddar din data och strukturerar dina DevSecOps-pipeliner. Annars underskattar du hur central AI blir för dina verksamheter och missar möjligheten att säkerställa det som en del av din affärsinfrastruktur.

Myten om “bara blockera det” måste ta slut

Det är frestande att tro att du kan lösa det här med en blankettförbud genom policys som “inga tredjeparts AI-verktyg” eller “ingen intern experiment”. Men det är önsketänkande. Enkelt uttryckt använder anställda idag AI-verktyg för att få jobbet gjort snabbare. Och de gör det inte med illa vilja, de gör det för att det fungerar.

AI är en kraftmultiplicator och människor kommer att sträcka sig efter det så länge det hjälper dem att möta deadlines, minska slit och släp eller lösa problem snabbare.

Att försöka blockera det beteendet uttryckligen kommer inte att stoppa det. Det kommer bara att driva det längre under jorden. Och när något går fel, kommer du att vara i den sämsta möjliga positionen med ingen synlighet, inga policys och ingen plan för respons.

Anta AI strategiskt, säkert och synligt

Den smartare strategin är att anta AI proaktivt, men på dina villkor. Det börjar med tre saker:

  1. Ge anställda säkra, sanktionerade alternativ. Om du vill styra användningen bort från riskfyllda verktyg, måste du erbjuda säkra alternativ. Antingen internt LLM, granskade tredjepartsverktyg eller integrerade AI-assister i kärnsystem, är nyckeln att möta anställda där de är, med verktyg som är lika snabba men mycket säkrare.

  2. Sätt tydliga policys och upprätthåll dem. AI-styrning behöver vara specifik, handlingsbar och lätt att följa. Vilken typ av data kan delas med AI-verktyg? Vilka är röda linjer? Vem är ansvarig för att granska och godkänna interna AI-projekt? Publicera dina policys och se till att dina verktyg för upprätthållande, tekniska och procedurmässiga, är på plats.

  3. Investera i synlighet och övervakning. Du kan inte säkerställa det du inte kan se. Du behöver verktyg som kan upptäcka skugg-AI-användning, identifiera exponerade åtkomstnycklar, flagga felkonfigurerade modeller och belysa var känslig data kan läcka in i träningsuppsättningar eller utdata. AI-posturhantering blir snabbt lika viktig som molnsäkerhetsposturhantering.

CISO:er behöver leda den här övergången

Gilla det eller inte, detta är ett avgörande ögonblick för säkerhetsledning. Rollen som CISO är inte längre bara att skydda infrastruktur. Det handlar om att möjliggöra innovation på ett säkert sätt, vilket innebär att hjälpa organisationen att använda AI för att flytta snabbare samtidigt som säkerhet, sekretess och regelefterlevnad är inbyggda i varje steg.

Det ledarskapet ser ut så här:

  • Utbildning av styrelsen och chefer om verkliga vs. upplevda AI-risker
  • Skapande av partnerskap med ingenjörs- och produktteam för att inbädda säkerhet tidigare i AI-distributioner
  • Investeringar i moderna verktyg som förstår hur AI-system fungerar
  • Byggande av en kultur där ansvarsfull AI-användning är allas jobb

CISO:er behöver inte vara AI-experter i rummet, men de behöver vara de som ställer rätt frågor. Vilka modeller använder vi? Vilken data matar dem? Vilka skyddsräcken finns på plats? Kan vi bevisa det?

Slutsatsen: Att inte göra något är den största risken av alla

AI förändrar redan hur våra företag fungerar. Oavsett om det är kundtjänstteam som skapar snabbare svar, finansteam som analyserar prognoser eller utvecklare som påskyndar sin arbetsflöde, är AI inbäddat i det dagliga arbetet. Att ignorera den verkligheten bromsar inte antagandet, det bjuder in blind fläckar, data läckor och regulatoriska misslyckanden.

Den farligaste vägen framåt är inaktivitet. CISO:er och säkerhetsledare måste acceptera vad som redan är sant: AI är här. Det är i dina system, det är i dina arbetsflöden och det kommer inte att försvinna. Frågan är om du kommer att säkerställa det innan det skapar skada som du inte kan återställa.

Anta AI, men aldrig utan en säkerhetsförst-attityd. Det är det enda sättet att ligga före vad som kommer härnäst.

mm

Gil Geron Àr VD och medgrundare av Orca Security. Gil har mer Àn 20 Ärs erfarenhet av att leda och leverera cybersÀkerhetsprodukter. Före sin roll som VD var Gil Chief Product Officer frÄn Orca:s start. Han Àr passionerad om kundnöjdhet och har arbetat nÀra med kunder för att sÀkerstÀlla att de kan trivas sÀkert i molnet. Gil Àr engagerad i att tillhandahÄlla smidiga cybersÀkerhetslösningar utan att kompromissa med effektivitet. Innan han co-founderade Orca Security, ledde Gil ett stort team av cybersÀkerhetsexperter pÄ Check Point Software Technologies.