الأمن السيبراني

أنطون تشوفاكين من Google Cloud يتحدث عن GenAI في المؤسسة


ومع انتشار الذكاء الاصطناعي التوليدي، الذي يركز معظمه على المستهلك، قد يكون من المحتم أن تجد مثل هذه المنصات والأدوات طريقها إلى مكان العمل – حتى لو لم تكن مصممة لتلبية احتياجات الشركات الرقابية في التكنولوجيا الخاصة بها.

من كود الملكية إلى البيانات الحساسة، يمكن أن تكون المخاطر كبيرة بالنسبة للمؤسسات. الذكاء الاصطناعي التوليدي (genAI) الذي لم يتم تصميمه خصيصًا لمواجهة الصعوبات التي تواجهها الشركات يمكن أن يشكل عائقًا عندما يتعلق الأمر بالامتثال التنظيمي بشأن أمن المعلومات والوصول إليها. علاوة على ذلك، فإن ما ينتجه الذكاء الاصطناعي التوليدي الذي يركز على المستهلك قد يكون محفوفًا بهلوسة الذكاء الاصطناعي، والأخطاء، وببساطة لا يرقى إلى مستوى المعايير التي تتطلبها الشركات.

قد تؤدي الأدوات المسلية لإنتاج المحتوى الرقمي إلى ترك بعض النوافذ والأبواب وقنوات التهوية مفتوحة – مما قد يعرض الأمن الرقمي للخطر.

تحدث أنطون تشوفاكين، المستشار الأمني ​​في مكتب CISO مع Google Cloud، مع InformationWeek حول كيف يمكن للذكاء الاصطناعي التوليدي الموجه نحو المستهلك أن يجلب المزيد من المتاعب للشركات أكثر من الكفاءة.

شقت التكنولوجيا الاستهلاكية، مثل الهواتف الذكية، طريقها إلى مكان العمل، في بعض الأحيان قبل أن يفكر الناس حقًا في كيفية التعامل مع إدارة الأجهزة أو الأمان. قد تكون المنظمات عالقة في الكائن الجديد اللامع المتمثل في الذكاء الاصطناعي التوليدي الآن، ولا تتساءل كيف يمكنها فعلًا مراقبة ذلك. هل يمكنهم التحول إلى شيء آخر، وربما التوقف عن استخدام الذكاء الاصطناعي التوليدي الموجه نحو المستهلك؟

متعلق ب:كيف يغير الذكاء الاصطناعي التوليدي طبيعة التأمين السيبراني

أعتقد أن الحالات التي واجهناها كانت ممتعة نوعًا ما وأحيانًا غير عقلانية تمامًا. ألم تكن هناك حالة كلاسيكية في وسائل الإعلام حول المحامي الذي كان يستخدم ChatGPT، وكان يزوده ببيانات ملفقة؟ بالنسبة لي، هذا مثل قمة جبل الجليد من الذكاء الاصطناعي المخصص للمستهلكين والذي يتم استخدامه في الأعمال التجارية. في كثير من الحالات، ما يجب أن أتعامل معه كجزء من مكتب CISO هو أن يتصل بي القائد الأمني ​​ويقول: “نحن بحاجة إلى إرشادات أمنية”. ومن ثم يسألون عن هذه الضوابط وتلك الضوابط. ثم قالوا: “أوه، بالمناسبة، نحن نستخدم ChatGPT-3.”

أنا مثل ، “لكنها لعبة.”

لعبة ممتعة للغاية. النقطة المهمة هي أن هذه ألعاب للمتعة والتعليم الشخصي. لكنك تصف مستويات التحكم والوصول الدقيق بين الفرق في مؤسستك، ولكن بعد ذلك تقول أنك تستخدم ChatGPT-3. هذا غير منطقي على الإطلاق، لكنه كان كذلك بالنسبة له لأن عمله كان يدفعه — إلى رغبتهم في استخدام هذه الأداة.

في جوهرها، تكون هذه القصص سريالية تمامًا في بعض الأحيان لأن ما نواجهه من العملاء هو مجرد عدم فهم ما هي لعبة المستهلك – ربما غير دقيقة، ولكنها لا تزال جيدة.

متعلق ب:Selipsky في AWS re: اختراع تأمين البيانات في عالم GenAI

كنت أكتب رسالة إلى مدرس الرقص السابق الخاص بي باستخدام بارد [Google’s chat-based AI tool. Today, Google announced it was changing Bard’s name to “Gemini.”] إنها مثل رسالة عيد الميلاد المتأخرة. بارد [Gemini] يقوم بعمل رائع مع ذلك. هل سأفعل ذلك للحصول على مشورة أمنية بالنظر إلى واقعي تجاه العميل؟ لا، ربما تكون النصائح العامة جيدة، لكن يجب أن تكون دقيقًا؛ يجب أن يكون لديك يقين؛ يجب أن يكون لديك مصدر البيانات. لكن هذا الاختلاط هو نوع من التوطن، وفي بعض الأحيان لا يظهر فقط كعدم تطابق في حالات الاستخدام، ولكن أيضًا كأشخاص يطالبون بضوابط، وهو ما يتوقعونه في تكنولوجيا المؤسسات من التكنولوجيا المخصصة للمستهلكين.

والنتيجة هي توليد المزيد من المرح لأنه لن يكون مناسبًا.

عندما تتحدث فرقنا الميدانية مع العملاء حول Vertex AI [Google’s tool for testing and prototyping generative AI models]، هناك العديد والعديد من طبقات الضوابط – التكنولوجيا، والضوابط الإجرائية التي تشرح كيفية قيامنا بالأشياء.

ما أريد اختراعه، وفي النهاية ما نريد اختراعه، هو أكثر من مجرد التعليم. نحن لا نريد فقط أن نقول للناس: “مرحبًا، أنتم تفعلون ذلك بشكل خاطئ حقًا”. يذهب فقط حتى الآن. أشعر برغبة في بناء حزمة مؤسسية بحيث يكون من السهل اعتمادها كتقنية على مستوى المستهلك ولكن مع وجود جميع عناصر التحكم سيكون الاتجاه، ربما في المستقبل.

متعلق ب:الذكاء الاصطناعي التوليدي يمثل خطرًا ناشئًا مع قيام كبار مسؤولي أمن المعلومات بتغيير استراتيجيات المرونة السيبرانية

هناك موضوع شائع آخر للمؤسسات وهو أن الناس يقولون: “هل يمكن التعلم من مطالباتي؟” والجواب هو: “نعم، بالطبع بالنسبة للمستهلكين؛ لا، بالطبع ليس للأعمال التجارية.

انها مثل الأضداد القطبية الكاملة. نعم، سيكون كذلك. لا، لن يحدث ذلك. بكل تأكيد نعم. طبعا لأ. ترى هذه الشوكات في الطريق، وإذا كنت تريد حقًا ذكاءً اصطناعيًا مؤسسيًا لحالات الاستخدام المؤسسي، فإنك تدفع البائعين لبناء الأشياء، وطلب أشياء، وطلب ضوابط، وطلب ضوابط الخصوصية، وطلب ضوابط الإدارة – قائمة طويلة من الأشياء مقابل مجرد المضي قدمًا وقم بالتسجيل.

هناك عقليات حول الوعي بالأمان والرؤية والوصول وما يحدث داخل البنية التحتية لتكنولوجيا المعلومات أو البنية التحتية السحابية. لأي سبب من الأسباب، هل تم نسيان ذلك بمجرد ظهور الذكاء الاصطناعي التوليدي على الساحة؟

إذا نظرت إلى بعض التقارير عبر الإنترنت حول بعض الأشخاص الذين يحاولون إنشاء ذكاء اصطناعي مؤسسي من الذكاء الاصطناعي للمستهلك، فسترى بعض المرح في أذونات الوصول. على سبيل المثال، لا ينبغي لوظيفتك في مؤسسة أن ترى ما تفعله وظيفتي في المؤسسة باستخدام الذكاء الاصطناعي. قد يكون الامتثال؛ قد يكون عمليًا فقط. قد يكون الأمر أقل حساسية من اهتمامك، ولكن هذا النوع من التلقيح المتبادل والتعلم المتبادل يُفترض نوعًا ما لدى المستهلك لأنك تريد التعلم من كل شيء. لكن من المفترض ألا يكون موجودًا في المؤسسة.

على سبيل المثال، إذا كنت مستجيبًا لحوادث أمنية وأنت رجل تكنولوجيا المعلومات، فلا أريدك أن تنظر إلى التذاكر الخاصة بي (مثال من التسعينيات)، لأنه من الممكن أن أقوم بالتحقيق معك بتهمة تسريب بيانات الشركة. هناك العديد من الأسباب الأخرى التي تجعل البيانات الأمنية أكثر حساسية. تخيل نفس الشيء مع genAI حيث تقوم بتدريب الذكاء الاصطناعي على التذاكر.

قد تقول بعض الشركات، “الذكاء الاصطناعي – التذاكر. اضغط الزر.” هل فكروا، “قف، انتظر ثانية. أذوناتهم، ومستوى الحساسية هنا، لا يشبه مجرد “قاعدة بيانات التذاكر”.” لقد كنت أروي قصة – لم يحدث ذلك لعميل، ولكن هذا شيء سمعته من جهات الاتصال في الصناعة حيث كان هناك شيء ما حدث شيء مشابه بشكل غامض. إذا لم يكن لديهم genAI، إذا كانوا يلعبون فقط في المشاريع، فسيفكرون، “حسنًا، ما هي قواعد الوصول؟ من سيصل إلى ماذا؟”

لكن مع هذا الذكاء الاصطناعي تحديدًا، لم يقتصر الأمر على أنهم لم يفكروا في الأمر فحسب، بل إن مجموعة التكنولوجيا الفعلية التي استخدموها لم يكن لديها طريقة للقيام بذلك لأنها كانت نوعًا ما مشتقة من الذكاء الاصطناعي العام للمستهلك في نهاية المطاف. بالنسبة لي، هذا النوع من الأذونات، وأنا لا أتحدث عن الأذونات الجيدة، ولكن أشبه بـ “فقط أعطه جميع البيانات”.

ما هي العواقب على الشركات؟ ما الذي سيكون على المحك هنا إذا لم توضح المؤسسات في عملياتها كيف ستستخدم الذكاء الاصطناعي العام، وما إذا كانت ستسمح باستخدام الخيارات التي تواجه المستهلك أم لا؟ هل تعلمنا الدروس من الأمثلة في الأيام السابقة لـ ChatGPT متى رمز الملكية من سامسونج حصلت على البرية؟

في الأساس، ذهبوا إلى ChatGPT، وقدموا أجزاء من كود Samsung وأرادوا تحسينها أو أيًا كانت حالة الاستخدام – أتذكر ذلك بشكل غامض. لم يكن الأمر مجرد حادث من وجهة نظرهم. لقد أرادوا حقًا أن يفعلوا ذلك بالضبط. لقد كانت مجرد أداة خاطئة.

المشكلة هي أنه في ذلك الوقت لم تكن هناك الأدوات الصحيحة. أعتقد أن الإثارة لاستخدام التكنولوجيا الجديدة هي سمة واضحة للعديد من تقنيي تكنولوجيا المعلومات. ربما أقل من ذلك في مجال الأمن. بصراحة، قبل بضعة أيام، كنت أقوم باستطلاع رأي قادة الأمن حول ما يهتمون به أكثر: تأمين الذكاء الاصطناعي أم استخدام الذكاء الاصطناعي لأغراض أمنية؟

كنت أتوقع منهم أن يصابوا بجنون العظمة الكامل ويقولوا: “مرحبًا، نحن جميعًا نقوم بتأمين الذكاء الاصطناعي”. لكن في الواقع، انقسم الأمر إلى نصفين ونصف. لقد كان استطلاعًا غير رسمي للغاية، ولم يكن برعاية Google. النقطة المهمة هي أن التوازن لم يكن كما يلي: “أنا كبير مسؤولي أمن المعلومات؛ أنا أهتم بالاستخدام الآمن للذكاء الاصطناعي من قبل شركتي.” وكانت النتيجة أن قال أحد كبار مسؤولي أمن المعلومات “نعم”، وكان رئيس أمناء أمن آخر يقول: “أنا أهتم باستخدام الذكاء الاصطناعي للأمان الآن.” الدافع للتحرك بسرعة قوي جدًا وأشعر أن الخوف من فقدان الفرصة هنا أقوى. هذا هو تخميني، بناء على تجربتي.





Source link

زر الذهاب إلى الأعلى