รายงาน
รายงาน Manifest เผยช่องว่างความพร้อมของ AI ในด้านความปลอดภัยของห่วงโซ่อุปทาน
รายงานใหม่จาก Manifest “Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain” เผยช่องว่างที่เพิ่มขึ้นระหว่างความมั่นใจของฝ่ายบริหารและความเป็นจริงในการปฏิบัติงานเมื่อพูดถึงความพร้อมด้านความปลอดภัยของ AI ในห่วงโซ่อุปทานซอฟต์แวร์ ตามการสำรวจมากกว่า 300 ผู้นำด้านความปลอดภัยและผู้ปฏิบัติงานทั่วสหรัฐอเมริกาและ EMEA การศึกษาพบว่าในขณะที่ผู้บริหารส่วนใหญ่เชื่อว่าองค์กรของตนพร้อมที่จะรับมือกับความเสี่ยงด้านห่วงโซ่อุปทานที่ขับเคลื่อนด้วย AI แต่ทีมความปลอดภัยในระดับปฏิบัติงานรายงานว่ามีช่องว่างด้านการกำกับดูแลที่สำคัญ การใช้ AI ที่ไม่ได้รับการควบคุม และการมองเห็นที่จำกัดในเรื่องส่วนประกอบที่ขับเคลื่อนระบบซอฟต์แวร์สมัยใหม่
การค้นพบเน้นย้ำถึงความตึงเครียดที่เกิดขึ้นใหม่ในเทคโนโลยีระดับองค์กร: การใช้ AI กำลังเพิ่มขึ้นอย่างรวดเร็วทั่วทั้งผลิตภัณฑ์และกระบวนการทำงาน แต่กลไกที่จำเป็นในการติดตาม การกำกับดูแล และรักษาความปลอดภัยของระบบเหล่านี้ไม่ได้ตามทัน
AI กำลังสร้างปัญหาเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานในรูปแบบใหม่
มากกว่าหนึ่งทศวรรษที่ผ่านมา องค์กรต่างๆ ได้ทำงานเพื่อปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์โดยการติดตามความพึ่งพา การติดตามช่องโหว่ และการสร้างกรอบการกำกับดูแล อย่างไรก็ตาม รายงานของ Manifest แย้งว่า AI กำลังนำความเสี่ยงหลายอย่างกลับเข้ามาใหม่ ซึ่งตอนนี้กระจายไปทั่วแบบจำลอง ชุดข้อมูล ตัวแทน และบริการ AI ของบุคคลที่สาม
ส่วนประกอบของ AI มักดำเนินการเป็นระบบที่ไม่โปร่งใส องค์กรไม่สามารถอธิบายได้อย่างเต็มที่ว่าแบบจำลองถูกฝึกฝนอย่างไร ชุดข้อมูลใดถูกใช้ หรือบริการภายนอกใดที่ฝังอยู่ภายในแอปพลิเคชันของตน ซึ่งทำให้องค์กรมีความเสี่ยงใหม่ในห่วงโซ่อุปทาน: ระบบซอฟต์แวร์ที่ไม่สามารถตรวจสอบ ตรวจสอบ หรือติดตามได้อย่างน่าเชื่อถือตลอดเวลา
รายงานเน้นย้ำว่าการมองเห็นกำลังลดลง 63% ขององค์กรรายงานการมีอยู่ของ “AI ที่ไม่ได้รับการควบคุม” ซึ่งหมายถึงเครื่องมือ AI หรือการรวมที่นำมาใช้โดยไม่มีการกำกับดูแลจากทีมความปลอดภัย การจัดซื้อ หรือทีมจัดการความเสี่ยง
Daniel Bardenstein ซีอีโอและผู้ร่วมก่อตั้ง Manifest ระบุว่าข้อมูลเผยให้เห็นถึงช่องว่างที่กว้างขึ้นระหว่างการรับรู้ของผู้บริหารและความเป็นจริงในการปฏิบัติงาน: “ความมั่นใจของผู้บริหารในความพร้อมของ AI ไม่สอดคล้องกับสิ่งที่ทีม AppSec ต้องเผชิญในแต่ละวัน ผู้นำเชื่อว่าการกำกับดูแลมีอยู่ แต่ผู้ปฏิบัติงานเห็นการใช้ AI ที่ไม่ได้รับการจัดการ ความเป็นเจ้าของที่ไม่ชัดเจน และจุดบอดในระบบที่ทำงานอยู่ทั่วผลิตภัณฑ์และผู้ให้บริการ”
ผู้บริหารระบุว่าพร้อม แต่ทีมความปลอดภัยไม่เห็นด้วย
หนึ่งในผลการค้นพบที่น่าประหลาดใจที่สุดในรายงานคือความแตกต่างระหว่างความมั่นใจของผู้บริหารและความประเมินของทีมความปลอดภัยในระดับแนวหน้า
เกือบ 80% ของผู้บริหารด้านความปลอดภัยระบุว่าองค์กรของตนมีการปฏิบัติงานด้านความปลอดภัยของ AI ที่เต็มที่ แต่ เพียงประมาณ 40% ของทีม AppSec เห็นด้วยกับการประเมินนั้น
ทีม AppSec มักเป็นคนแรกที่พบกับความล้มเหลวในการปฏิบัติงานในกรอบการกำกับดูแล เนื่องจากพวกเขาโต้ตอบโดยตรงกับห่วงโซ่อุปทานซอฟต์แวร์ ผู้ปฏิบัติงานเหล่านี้รายงานการพบกับการแจ้งเตือนในปริมาณมาก ความเป็นเจ้าของที่ไม่ชัดเจน และเครื่องมือที่กระจัดกระจายทั่วสภาพแวดล้อมการพัฒนาและความปลอดภัย
ตามรายงาน 47% ของผู้ตอบแบบสอบถามระบุว่าทีมที่แยกจากกันและความเป็นเจ้าของที่ไม่ชัดเจนเป็นอุปสรรคที่ใหญ่ที่สุดในการปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์
ผลลัพธ์คือสภาพแวดล้อมที่องค์กรมีความเชื่อมั่นในโปรแกรมความปลอดภัยที่แข็งแกร่ง ในขณะที่ช่องว่างที่สำคัญยังคงอยู่ในด้านการมองเห็น ความรับผิดชอบ และการประสานงานในการปฏิบัติงาน
ความขัดแย้งของ SBOM: สร้างแล้วแต่ไม่ได้ใช้
ข้อมูลอื่นที่สำคัญจากการศึกษานี้เกี่ยวข้องกับ Software Bills of Materials (SBOMs) ซึ่งเป็นรายการของส่วนประกอบซอฟต์แวร์ที่ช่วยให้องค์กรมีการติดตามความพึ่งพาและช่องโหว่
การนำ SBOM มาใช้ได้ขยายตัวขึ้นอย่างมากในหลายปีที่ผ่านมา โดยเฉพาะอย่างยิ่งเนื่องจากแรงกดดันจากกฎระเบียบและการโจมตีห่วงโซ่อุปทาน อย่างไรก็ตาม การวิจัยของ Manifest ชี้ให้เห็นว่าหลายองค์กรมองการสร้าง SBOM เป็นเพียงการตรวจสอบความถูกต้องมากกว่าการใช้งานจริง
รายงานเน้นย้ำถึงสถิติที่สำคัญหลายประการ:
- 60% ขององค์กรสร้าง SBOMs
- มากกว่าครึ่งหนึ่งไม่ได้ใช้หรือจัดการพวกมันในทางปฏิบัติ
- 79.6% ใช้เครื่องมือวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)
- การใช้งาน SBOM ในทางปฏิบัติอยู่ที่ 41.8% ซึ่งต่ำกว่ามาก
หากไม่มีการนำเข้าแบบจัดกลาง การปรับมาตรฐาน การบังคับใช้นโยบาย และการตรวจสอบอย่างต่อเนื่อง SBOMs จะกลายเป็นเอกสารที่ไม่มีการใช้งานจริงมากกว่าเครื่องมือในการจัดการความเสี่ยง
ทีมความปลอดภัยยังแสดงความกังขาเกี่ยวกับแพลตฟอร์มวิเคราะห์องค์ประกอบซอฟต์แวร์แบบดั้งเดิม 56.3% ของผู้ตอบแบบสอบถามระบุว่าเครื่องมือ SCA สร้างเสียงรบกวนหรือชะลอการทำงานของทีมพัฒนา ในขณะที่ 46.4% มีความสงสัยว่าเครื่องมือเหล่านี้สามารถลดความเสี่ยงซอฟต์แวร์ในโลกแห่งความเป็นจริงได้อย่างมีประสิทธิภาพ
ความไม่สอดคล้องนี้แสดงให้เห็นถึงความท้าทายด้านความเต็มที่โดยรวม: องค์กรสามารถสร้างข้อมูลด้านความปลอดภัยในปริมาณมากได้ แต่บ่อยครั้งไม่มีโครงสร้างพื้นฐานในการปฏิบัติงานที่จะเปลี่ยนสัญญาณเหล่านั้นเป็นการลดความเสี่ยงอย่างมีประสิทธิภาพ
ข้อมูลความโปร่งใสช่วยปรับปรุงความปลอดภัยและความเร็วในการใช้งาน
尽管มีความท้าทายเหล่านี้ การวิจัยแสดงให้เห็นว่าองค์กรที่บรรลุความโปร่งใสที่มีความหมายในห่วงโซ่อุปทานซอฟต์แวร์ของตนจะได้รับประโยชน์ที่วัดได้
เกือบ ครึ่งหนึ่งของผู้ตอบแบบสอบถาม (49.4%) ระบุว่าได้รับข้อมูลความโปร่งใสที่สามารถตรวจสอบได้ เช่น SBOMs, บันทึกการมีถิ่นกำเนิด หรือไบนารี่ที่ลงนามจากผู้ขายระหว่างการจัดซื้อ
เมื่อข้อมูลนี้น่าเชื่อถือและถูกนำไปใช้ ผลกระทบจะน่าประทับใจ:
- 64% รายงานการนำเทคโนโลยีใหม่มาใช้เร็วขึ้น
- 61.6% รายงานการแก้ไขปัญหาด้านความปลอดภัยเร็วขึ้น
- 15.5% รายงานการลดเวลาดาวน์
องค์กรที่ไม่มีข้อมูลความโปร่งใสเหล่านี้จะต้องจ่าย “ภาษีความโปร่งใส” – เวลา, ค่าใช้จ่าย และความเสี่ยงที่เพิ่มขึ้นที่เกี่ยวข้องกับการสืบสวนส่วนประกอบซอฟต์แวร์ที่ไม่โปร่งใสด้วยตนเอง
อุตสาหกรรมที่มีการควบคุมอย่างเข้มงวดแสดงให้เห็นถึงความท้าทายนี้ Financial services และ healthcare organizations รายงาน อัตราการรับข้อมูลความโปร่งใสที่สามารถตรวจสอบได้จากผู้ขายต่ำที่สุด – 14.3% และ 19.5% ตามลำดับ แม้จะมีความต้องการสูงสุด
การนำ AI ไปใช้กำลังเพิ่มขึ้นทั่วทั้งองค์กร
การศึกษายังเน้นย้ำถึงความเร็วที่ AI ได้กลายเป็นส่วนหนึ่งของระบบนิเวศซอฟต์แวร์ขององค์กร
แทบไม่มีองค์กรที่สำรวจไม่ได้รายงานการหลีกเลี่ยง AI ทั้งหมด แทนที่จะทดลองใช้แนวทางต่างๆ:
- 80.2% ใช้แบบจำลอง AI พาณิชย์ที่ได้รับการอนุมัติภายใน
- 79.9% ใช้เครื่องมือพาณิชย์อย่างกว้างขวาง เช่น ChatGPT หรือ Cursor
- 56.7% ฝึกฝนแบบจำลองน้ำหนักเปิดบนข้อมูลภายใน
- 29.3% สร้างแบบจำลอง AI ตั้งแต่เริ่มต้น
บริษัททางการเงินและเทคโนโลยีเป็นผู้นำในการนำ AI ไปใช้ เกือบ 90% ขององค์กรทางการเงินรายงานแบบจำลอง AI ที่ได้รับการอนุมัติภายใน และ 46.9% สร้างแบบจำลองที่กำหนดเองตั้งแต่เริ่มต้น ซึ่งสูงกว่าค่าเฉลี่ยทั่วไป
ส่วนเหล่านี้มีแรงจูงใจที่แข็งแกร่งในการเคลื่อนไหวอย่างรวดเร็ว ในบริการทางการเงิน AI ส่งผลกระทบโดยตรงต่อการตรวจจับการฉ้อโกง การจัดการความเสี่ยง และการสร้างรายได้ ในบริษัทเทคโนโลยี AI กำลังอยู่ที่แกนกลางของผลิตภัณฑ์และความสามารถของแพลตฟอร์ม
อย่างไรก็ตาม การใช้ AI ที่รวดเร็วนี้มักจะ超过การกำกับดูแล
AI ที่ไม่ได้รับการควบคุมกำลังกลายเป็นปัญหาระดับกว้าง
การวิจัยยืนยันว่า AI ที่ไม่ได้รับการควบคุม – เครื่องมือหรือแบบจำลองที่นำมาใช้โดยไม่มีการกำกับดูแลอย่างเป็นทางการ – กำลังแพร่กระจาย
เพียง 34.8% ของผู้ตอบแบบสอบถามระบุว่าไม่มี AI ที่ไม่ได้รับการควบคุมในองค์กรของตน ในขณะที่ที่เหลือรับทราบถึงการใช้ AI ที่ไม่ได้รับการจัดการอย่างน้อยบางส่วน
รูปแบบนี้สะท้อนถึงคลื่น “IT ที่ไม่ได้รับการควบคุม” ในยุคก่อนหน้า ซึ่งพนักงานนำบริการคลาวด์หรือ SaaS มาใช้นอกกระบวนการซื้อขายอย่างเป็นทางการ
ความแตกต่างในระดับภูมิภาคก็เริ่มปรากฏเช่นกัน องค์กรใน EMEA รายงาน อัตราการดำเนินงานโดยไม่มี AI ที่ไม่ได้รับการควบคุมสูงกว่า (45.7%) อาจเป็นเพราะกรอบการกำกับดูแลที่เข้มงวดและกระบวนการซื้อขายที่เข้มงวดมากกว่าในภูมิภาคอื่น
อย่างไรก็ตาม รายงานเตือนว่าเครื่องมือความปลอดภัยแบบดั้งเดิมไม่ได้ออกแบบมาเพื่อติดตามแบบจำลอง AI ชุดข้อมูล และบริการทั่วสภาพแวดล้อมการพัฒนาที่กระจาย
ความเสี่ยงด้านใบอนุญาตและกฎหมายเป็นจุดบอดอีกประการหนึ่ง
นอกเหนือจากความท้าทายด้านการกำกับดูแลทางเทคนิคแล้ว การศึกษายังเน้นย้ำถึงความท้าทายด้านกฎหมายและความสอดคล้องที่เกี่ยวข้องกับการนำ AI ไปใช้
การทำความเข้าใจข้อกำหนดใบอนุญาต สิทธิ์ในทรัพย์สินทางปัญญา และข้อจำกัดการใช้งานของแบบจำลอง AI และชุดข้อมูลยังคงเป็นเรื่องที่ยากสำหรับหลายองค์กร การสำรวจพบว่า:
- 93% ของผู้ตอบแบบสอบถามระบุว่าองค์กรของตนมีพื้นที่สำหรับการปรับปรุงในการจัดการใบอนุญาต AI และภาระผูกพันทางทรัพย์สินทางปัญญา
- 54.6% เห็นด้วยอย่างแรงว่านี่ยังคงเป็นความท้าทายหลัก
ความเสี่ยงเหล่านี้กลายเป็นเรื่องร้ายแรงอย่างยิ่งเมื่อองค์กรฝึกฝนแบบจำลองน้ำหนักเปิดบนข้อมูลภายในหรือรวมชุดข้อมูลที่เป็นกรรมสิทธิ์เข้ากับส่วนประกอบ AI ของบุคคลที่สาม
หากไม่มีกรอบการกำกับดูแลที่เข้มงวด องค์กรอาจนำความผิดพลาดด้านใบอนุญาตหรือความสอดคล้องเข้ามาในระบบการผลิตโดยไม่ตั้งใจ
การประสานงานในการปฏิบัติงานอาจเป็นความท้าทายที่แท้จริง
ในขณะที่เครื่องมือความปลอดภัยยังคงทันสมัย รายงานชี้ให้เห็นว่าความท้าทายที่ใหญ่ที่สุดต่อความปลอดภัยของห่วงโซ่อุปทาน AI อาจไม่ใช่เทคโนโลยีเอง
หลายองค์กรต้องเผชิญกับการแบ่งส่วน ความไม่เชื่อมต่อของกระบวนการทำงาน และการไม่มีระบบบันทึกที่ใช้ร่วมกันสำหรับส่วนประกอบซอฟต์แวร์และ AI
ข้อจำกัดที่ถูกอ้างถึงบ่อยที่สุดคือ:
- 47.3% ข้อจำกัดขององค์กร
- 36.3% ทักษะที่ไม่เพียงพอ
- 35.7% ข้อจำกัดด้านงบประมาณ
- 34.8% การขาดความเข้าใจของฝ่ายบริหาร
- 32.6% การขาดแคลนบุคลากร
ช่องว่างเหล่านี้ทำให้การรับรู้ด้านความปลอดภัยไม่สามารถเปลี่ยนเป็นการบังคับใช้นโยบายหรือการลดความเสี่ยงได้อย่างต่อเนื่อง
ทำไมความปลอดภัยของห่วงโซ่อุปทาน AI จึงกลายเป็นประเด็นเชิงกลยุทธ์
เมื่อ AI ถูกฝังอยู่ในทุกชั้นของซอฟต์แวร์องค์กร ความหมายของห่วงโซ่อุปทานซอฟต์แวร์กำลังขยายเพื่อรวมแบบจำลอง การฝึกอบรมชุดข้อมูล บริการอนุมาน และแพลตฟอร์ม AI ของบุคคลที่สาม
รายงานของ Manifest สรุปว่าองค์กรต้องดำเนินต่อไปนอกเหนือจากเครื่องมือการมองเห็นแบบจุดและสร้าง การควบคุมการปฏิบัติงานอย่างต่อเนื่องเหนือห่วงโซ่อุปทาน AI
ซึ่งรวมถึง:
- การติดตามแบบจำลอง AI ทั้งหมดที่ใช้ในสภาพแวดล้อมการพัฒนา
- การตรวจสอบถิ่นกำเนิดและใบอนุญาตของข้อมูลการฝึกอบรม
- การบังคับใช้นโยบายการกำกับดูแลระหว่างการพัฒนาและใช้งาน
- การรักษาสินค้าคงคลังอย่างต่อเนื่องคล้ายกับ SBOMs สำหรับส่วนประกอบ AI
หากไม่มีกลไกเหล่านี้ ช่องว่างระหว่างการนำ AI ไปใช้และการกำกับดูแล AI จะยังคงกว้างขึ้น
และตามที่ การศึกษา ระบุ ช่องว่างนี้มีอยู่แล้วภายในองค์กรหลายแห่งในปัจจุบัน
