Кібербезпека

Штучний інтелект вже перебуває всередині вашого бізнесу. Якщо ви не забезпечуєте його безпеку, ви відсталі

mm
Опубліковано
Оновлено

Чи офіційно ви розгорнули штучний інтелект по всій організації, чи ні, він вже там. Працівники використовують ChatGPT для створення документів, ймовірно, завантажують конфіденційну інформацію в онлайн-інструменти для прискорення аналізу, і спираються на генеративні інструменти для скорочення всього, від кодування до обслуговування клієнтів. Штучний інтелект відбувається з вами чи без вас, і це повинно тримати керівників із інформаційної безпеки в нічній тривозі.

Ця тиха поширення неверифікованих інструментів штучного інтелекту по всіх департаментах створила новий, швидко зростаючий шар тіньової інформатехнології. Він децентралізований, в основному невидимий і повний ризиків. Від порушень вимог законодавства до витоку даних і необслідуваної прийняття рішень, наслідки ігнорування цієї хвилі використання штучного інтелекту реальні. Однак багато компаній все ще думають, що можуть утримувати це під контролем за допомогою політики або брандмауерів.

Правда полягає в тому, що штучний інтелект не можна заблокувати. Його можна тільки забезпечити безпекою. І чим швидше компанії приймуть це, тим швидше вони зможуть почати закривати небезпечні прогалини, які штучний інтелект вже відкрив.

Тіньовий штучний інтелект проникає в організації, і це сліпота інформаційної безпеки

Ми бачили цю схему раніше. Прийняття хмарних технологій розгорнулося на початку 2010-х років саме так, коли команди досягали інструментів, які допомагали їм рухатися швидше, часто без схвалення команди інформаційної безпеки. Багато команд інформаційної безпеки намагалися опиратися цій зміні, але були змушені до реактивного виправлення, коли відбулися порушення безпеки, неправильна конфігурація або порушення законодавства.

Сьогодні відбувається те саме з штучним інтелектом. За даними нашого звіту про стан безпеки штучного інтелекту 2024 року, понад половина організацій використовують штучний інтелект для розробки власних програм, і все ж таки мало хто має видимість того, де ці моделі розташовані, як вони налаштовані чи чи вони розкривають конфіденційну інформацію.

Це створює два ризики:

  1. Працівники використовують публічні інструменти для доступу до власної чи конфіденційної інформації, що розкривають цю інформацію зовнішнім системам без нагляду.
  2. Внутрішні команди розгортають моделі штучного інтелекту без адекватних засобів безпеки, що призводить до уразливостей, які можуть бути використані, і поганих практик, які можуть провалити перевірки.

Тіньовий штучний інтелект не тільки питання інформаційної безпеки, а й криза управління. Якщо ви не бачите, де використовується штучний інтелект, ви не можете керувати тим, як його тренують, до якої інформації він має доступ, чи які результати він генерує. І якщо ви не відстежуєте рішення штучного інтелекту, ви втрачаєте можливість пояснити чи захистити їх, залишаючи себе відкритим для законодавчих, репутаційних чи операційних ризиків.

Чому традиційні інструменти безпеки не достатні

Більшість інструментів безпеки не були створені для обробки штучного інтелекту. Вони не розпізнають артефакти моделей, не можуть сканувати спеціальні дані штучного інтелекту, і не знають, як відстежувати взаємодію великих мовних моделей чи забезпечувати управління моделями. Навіть інструменти, які існують, зазвичай фокусуються на вузьких частинах пазла, залишаючи організації, які балансують розв’язання окремих питань без єдиної точки зору.

Це проблема. Безпека штучного інтелекту не може бути післяthought або додатком. Вона повинна бути закладена в спосіб, яким ви керуєте своєю хмарною інфраструктурою, захищаєте свої дані, і структуруєте свої DevSecOps-пайплайни. В іншому випадку ви недооцінюєте, наскільки центральним штучний інтелект стає для ваших операцій, і пропускаєте можливість забезпечити його як основну частину вашої бізнес-інфраструктури.

Міф про «просто заблокуй» повинен закінчитися

Це спокусительно думати, що ви можете вирішити це питання, заблокувавши його за допомогою політики «ні інструменти штучного інтелекту третіх сторін» або «ні внутрішніх експериментів». Але це бажане мислення. Просто кажучи, працівники сьогодні використовують інструменти штучного інтелекту, щоб виконувати свою роботу швидше. І вони роблять це не злісно, а тому, що це працює.

Штучний інтелект є множником сили, і люди будуть до нього досягати, поки він допомагає їм виконувати завдання швидше, скорочувати трудомісткість чи вирішувати проблеми швидше.

Спроба заблокувати це поведінку прямо не зупинить її. Це тільки доведе її до підпілля. І коли щось піде не так, ви опинитесь у найгіршому можливому становищі без видимості, політики чи плану реагування.

Прийміть штучний інтелект стратегічно, безпечно та видимо

Розумніший підхід полягає в тому, щоб прийняти штучний інтелект проактивно, але на ваших умовах. Це починається з трьох речей:

  1. Дайте працівникам безпечні, санкціоновані варіанти. Якщо ви хочете відвести використання від ризикованих інструментів, вам потрібно запропонувати безпечні альтернативи. Чи це внутрішні великі мовні моделі, верифіковані інструменти третіх сторін чи інтегровані інструменти штучного інтелекту в основних системах, ключем є зустріти працівників там, де вони є, з інструментами, які є такими ж швидкими, але набагато безпечнішими.

  2. Встановіть чіткі політики та забезпечте їх виконання. Управління штучним інтелектом потребує бути конкретним, дієвим та легким для виконання. Який тип даних можна поділитися з інструментами штучного інтелекту? Які червоні лінії? Хто відповідає за перегляд та затвердження внутрішніх проектів штучного інтелекту? Опублікуйте свої політики та переконайтеся, що ваші механізми забезпечення, технічні та процедурні, знаходяться на місці.

  3. Інвестуйте в видимість та моніторинг. Ви не можете забезпечити те, чого не бачите. Вам потрібні інструменти, які можуть виявити використання тіньового штучного інтелекту, ідентифікувати відкриті ключі доступу, помітити неправильно налаштовані моделі та підкреслити, де конфіденційна інформація може витікати в навчальні набори чи результати. Управління позою штучного інтелекту швидко стає так само критичним, як управління позою хмарної безпеки.

Керівники інформаційної безпеки повинні очолити цю трансформацію

Хочете ви цього чи ні, це визначальний момент для керівництва інформаційної безпеки. Роль керівника інформаційної безпеки вже не тільки полягає в захисті інфраструктури. Це стає більше про забезпечення безпечної інновації, що означає допомогу організації використовувати штучний інтелект для прискорення руху, одночасно забезпечуючи, що безпека, конфіденційність та законодавча відповідність закладені в кожному кроку.

Це керівництво виглядає так:

  • Освіта ради директорів та виконавців про реальні та сприйняті ризики штучного інтелекту
  • Створення партнерств з інженерними та продуктовими командами для вкладення безпеки на ранній стадії розгортання штучного інтелекту
  • Інвестування в сучасні інструменти, які розуміють, як працюють системи штучного інтелекту
  • Будування культури, в якій відповідальне використання штучного інтелекту є роботою всіх

Керівники інформаційної безпеки не повинні бути експертами з штучного інтелекту в кімнаті, але вони повинні бути тими, хто ставить правильні питання. Які моделі ми використовуємо? Які дані їх годують? Які перилісні засоби на місці? Чи можемо ми довести це?

Основна точка: не діяти – це найбільший ризик серед усіх

Штучний інтелект вже змінює, як працюють наші підприємства. Чи це команди обслуговування клієнтів, які створюють швидші відповіді, фінансові команди, які аналізують прогнози, чи розробники, які прискорюють свій робочий процес, штучний інтелект закладений в щоденну роботу. Ігнорування цієї реальності не сповільнює прийняття, а тільки запрошує сліпоту, витік даних та законодавчі провали.

Найбільш небезпечний шлях вперед – бездіяльність. Керівники інформаційної безпеки та керівники повинні прийняти те, що вже правда: штучний інтелект вже тут. Він у ваших системах, у ваших робочих процесах, і він не зникне. Питання в тому, чи ви забезпечите його безпеку, перш ніж він створить шкоду, яку ви не зможете скасувати.

Прийміть штучний інтелект, але ніколи без безпечної першої думки. Це єдиний спосіб залишатися попереду того, що відбувається далі.

mm

Гіл Герон є генеральним директором і співзасновником Orca Security. Гіл має понад 20 років досвіду керівництва та доставки продуктів кібербезпеки. До свого призначення на посаду генерального директора Гіл обіймав посаду головного офіцера з продуктів з моменту заснування Orca. Він пристрасно ставиться до задоволення клієнтів і тісно співпрацював з клієнтами, щоб забезпечити їм можливість успішно працювати в хмарі. Гіл зобов'язаний забезпечувати безперебійні рішення з кібербезпеки без компромісу щодо ефективності. До співзаснування Orca Security Гіл керував великою командою фахівців з кібербезпеки в компанії Check Point Software Technologies.