GenAI موجود في كل مكان – متاح كأداة مستقلة أو ماجستير إدارة أعمال خاص أو مضمن في التطبيقات. نظرًا لأنه يمكن للجميع الوصول إليه بسهولة، فإنه يمثل أيضًا مخاطر تتعلق بالأمان والخصوصية، لذلك يبذل مديرو أمن المعلومات ما في وسعهم لمواكبة ذلك مع حماية شركاتهم بالسياسات.
يقول سامي باسو، الرئيس التنفيذي ومؤسس مزود حلول الأمن السيبراني: “باعتباري كبير مسؤولي أمن المعلومات الذي يتعين عليه الموافقة على استخدام المؤسسة لـ GenAI، أحتاج إلى وجود إطار حوكمة مركزي”. الأمن الحذر. “نحن بحاجة إلى تثقيف الموظفين حول المعلومات التي يمكنهم إدخالها في أدوات الذكاء الاصطناعي، ويجب عليهم الامتناع عن تحميل معلومات العميل السرية أو المقيدة لأنه ليس لدينا وضوح بشأن المكان الذي قد تصل إليه البيانات.”
على وجه التحديد، أنشأ Basu سياسات أمنية ومهام بسيطة للذكاء الاصطناعي ولا تتناول استخدام الذكاء الاصطناعي لعملاء Careful Security. وكما هو معتاد هذه الأيام، يقوم الأشخاص بتحميل المعلومات إلى نماذج الذكاء الاصطناعي للحفاظ على قدرتهم التنافسية. ومع ذلك، يقول باسو إن المستخدم العادي سيحتاج إلى بوابات أمنية مدمجة في أدوات الذكاء الاصطناعي الخاصة به لتحديد المعلومات الحساسة وتنقيحها. فضلاً عن ذلك، قوانين GenAI IP غامضة، لذلك ليس من الواضح دائمًا من يملك حقوق الطبع والنشر للمحتوى الذي تم إنشاؤه بواسطة الذكاء الاصطناعي والذي تم تعديله بواسطة الإنسان.
من الفضول الحذر إلى التبني المدرك للمخاطر
إد جوديت، الرئيس التنفيذي ومؤسس مزود حلول إدارة مخاطر الرعاية الصحية سينسينت يقول على مر السنين كمستخدم وكبير مسؤولي أمن المعلومات، انتقلت تجربته في GenAI من الفضول الحذر إلى اعتماد أكثر تنظيمًا وإدراكًا للمخاطر لقدرات GenAI.
يقول جوديت: “لا يمكن إنكار أن GenAI يفتح مجموعة واسعة من الفرص، على الرغم من أن التخطيط الدقيق والتعلم المستمر يظلان حاسمين لاحتواء المخاطر التي يجلبها”. “كنت حذرًا في البداية بشأن GenAI في البداية بسبب خصوصية البيانات وحماية الملكية الفكرية وسوء الاستخدام. على سبيل المثال، سلطت الإصدارات المبكرة من أدوات GenAI الضوء على كيفية تخزين بيانات الإدخال أو استخدامها لمزيد من التدريب. ولكن مع تحسن التكنولوجيا وقيام مقدمي الخدمة بوضع ضمانات أفضل – بيانات إلغاء الاشتراك وواجهات برمجة التطبيقات الآمنة – فقد توصلت إلى رؤية ما يمكن أن تفعله عند استخدامها بشكل مسؤول.
يعتقد Gaudet أنه لا ينبغي أبدًا إدخال البيانات الحساسة أو الخاصة في أنظمة GenAI، مثل OpenAI أو LLMs الخاصة. كما أنه جعل من الضروري للفرق استخدام الأدوات التي تم فحصها والمصرح بها فقط، ويفضل تلك التي تعمل في بيئات محلية آمنة لتقليل التعرض للبيانات.
إد جوديت، سينسينيت
يقول جوديت: “كان أحد التحديات الكبيرة هو تثقيف الفرق غير الفنية حول هذه السياسات”. “يعتبر GenAI بمثابة حل “الصندوق الأسود” من قبل العديد من المستخدمين، وهم لا يفهمون دائمًا جميع المخاطر المحتملة المرتبطة بتسريب البيانات أو إنشاء معلومات مضللة.”
باتريشيا ثين، المؤسس المشارك والرئيس التنفيذي لشركة توفير حلول خصوصية البيانات الذكاء الاصطناعي الخاصيقول إن تنظيم البيانات الخاصة بالتعلم الآلي أمر معقد بدرجة كافية دون الحاجة إلى التفكير بشكل إضافي في عناصر التحكم في الوصول، وتحديد الأغراض، وأمن معلومات الشركة الشخصية والسرية التي تصل إلى أطراف ثالثة.
يقول ثاين: “لم تكن هذه مهمة سهلة على الإطلاق، بغض النظر عن وقت حدوثها”. “يعتمد نجاح هذا المسعى العملاق بشكل كامل تقريبًا على ما إذا كانت المؤسسات قادرة على الحفاظ على الثقة من خلال الإدارة السليمة للذكاء الاصطناعي وما إذا كنا قد فهمنا أخيرًا مدى الأهمية الأساسية لتنظيم البيانات الدقيقة والشروح ذات الجودة، بغض النظر عن حجم النموذج الذي نطرحه على مجموعة كبيرة من الأشخاص. مهمة.”
المخاطر يمكن أن تفوق الفوائد
يستخدم المزيد من العمال GenAI للعصف الذهني وإنشاء المحتوى وكتابة التعليمات البرمجية والبحث والتحليل. على الرغم من أن لديها القدرة على تقديم مساهمات قيمة لمختلف مسارات العمل أثناء نضوجها، إلا أن الكثير من الأمور يمكن أن تسوء دون وجود الضمانات المناسبة.
“كما أ [CISO]يقول هارولد ريفاس، رئيس قسم تكنولوجيا المعلومات في شركة عالمية للأمن السيبراني: “أعتقد أن هذه التكنولوجيا تمثل مخاطر أكثر من الفوائد دون ضمانات مناسبة”. تريليكس. “لقد اعتمدت العديد من الشركات هذه التكنولوجيا بشكل سيئ على أمل الترويج لمنتجاتها باعتبارها مبتكرة، ولكن التكنولوجيا نفسها استمرت في إثارة إعجابي بتطورها السريع المذهل. ”
ومع ذلك، يمكن للهلوسة أن تعترض طريقك. يوصي ريفاس بإجراء تجارب في بيئات خاضعة للرقابة وتنفيذ حواجز حماية لاعتماد GenAI. وبدونها، يمكن أن تقع الشركات ضحية لحوادث إلكترونية رفيعة المستوى مثلما حدث عند اعتماد السحابة لأول مرة.
ديف ناج، الرئيس التنفيذي لشركة دعم الأتمتة QueryPalيقول إنه كان لديه مخاوف أولية لها ما يبررها بشأن خصوصية البيانات والتحكم فيها، لكن المشهد نضج بشكل ملحوظ في العام الماضي.
“لقد أدى ظهور حلول الذكاء الاصطناعي الطرفي، وقدرات الاستدلال على الجهاز، وعمليات نشر LLM الخاصة إلى تغيير جذري في حساب المخاطر لدينا. يقول ناج: “حيث كان علينا في السابق الاختيار بين الوظيفة وخصوصية البيانات، يمكننا الآن نشر نماذج لا ترسل أبدًا بيانات حساسة خارج حدود سيطرتنا”. “نحن ندير نماذج كمية مفتوحة المصدر ضمن البنية التحتية الخاصة بنا، مما يمنحنا أداءً يمكن التنبؤ به وسيادة كاملة للبيانات.”
لقد تطور مشهد المعايير أيضًا. الافراج عن إطار عمل إدارة مخاطر الذكاء الاصطناعي الخاص بـ NIST و إرشادات ملموسة من موفري الخدمات السحابية الرئيسيين بشأن حوكمة الذكاء الاصطناعي، توفير أطر واضحة للتدقيق على أساسها.
“لقد قمنا بتنفيذ عناصر التحكم هذه ضمن البنية الأمنية الحالية لدينا، حيث تعاملنا مع الذكاء الاصطناعي مثل أي قدرة أخرى لمعالجة البيانات تتطلب ضمانات مناسبة. يقول ناج: “من الناحية العملية، نقوم الآن بتشغيل أعباء عمل مختلفة للذكاء الاصطناعي بناءً على حساسية البيانات”. “قد تستفيد الوظائف العامة من واجهات برمجة التطبيقات السحابية باستخدام عناصر التحكم المناسبة، بينما تتم معالجة البيانات الحساسة حصريًا على البنية التحتية الخاصة باستخدام نماذجنا الخاصة. ويتيح لنا هذا النهج المتدرج زيادة المنفعة إلى أقصى حد مع الحفاظ على رقابة صارمة على البيانات الحساسة.
ديف ناج، QueryPal
كما أدى ظهور منصات الذكاء الاصطناعي على مستوى المؤسسات مع امتثال SOC 2 والمثيلات الخاصة وعدم وجود سياسات للاحتفاظ بالبيانات إلى توسيع خيارات QueryPal لأحمال العمل شبه الحساسة.
“عند دمجها مع التصنيف المناسب للبيانات وضوابط الوصول، يمكن دمج هذه المنصات بأمان في العديد من العمليات التجارية. ومع ذلك، فإننا نحافظ على مراقبة صارمة وضوابط وصول لجميع أنظمة الذكاء الاصطناعي. “نحن نتعامل مع مدخلات ومخرجات النموذج كتدفقات بيانات حساسة تحتاج إلى تتبعها وتسجيلها وتدقيقها. إن إجراءات الاستجابة للحوادث لدينا تأخذ في الاعتبار على وجه التحديد سيناريوهات التعرض للبيانات المتعلقة بالذكاء الاصطناعي، ونقوم باختبار هذه الإجراءات بانتظام.
تعمل GenAI على تحسين اكتشاف الأمن السيبراني والاستجابة له
جريج نوتش، كبير مسؤولي تكنولوجيا المعلومات في مزود خدمة الكشف والاستجابة المُدارة طرديقول إن قدرة GenAI على شرح ما حدث بسرعة أثناء حادث أمني لكل من محللي مركز العمليات الأمنية والأطراف المتأثرة تقطع شوطًا طويلًا نحو تحسين الكفاءة وزيادة المساءلة في مركز العمليات الأمنية.
“[GenAI] يقول نوتش: “لقد أثبت بالفعل أنه سيغير قواعد اللعبة بالنسبة للعمليات الأمنية”. “بينما تغمر تقنيات الذكاء الاصطناعي السوق، تواجه الشركات تحديًا مزدوجًا يتمثل في تقييم إمكانات هذه الأدوات وإدارة المخاطر بفعالية. يجب على CISOs تجاوز “ضجيج” تقنيات GenAI المختلفة لتحديد المخاطر الفعلية ومواءمة برامج الأمان وفقًا لذلك، واستثمار الكثير من الوقت والجهد في صياغة السياسات وتقييم الأدوات الجديدة ومساعدة الأعمال على فهم المقايضات. بالإضافة إلى ذلك، يعد تدريب فرق الأمن السيبراني لتقييم واستخدام هذه الأدوات أمرًا ضروريًا، وإن كان مكلفًا. إنها ببساطة تكلفة التعامل مع GenAI.”
يمكن أن يؤدي اعتماد أدوات الذكاء الاصطناعي أيضًا إلى تغيير المحيط الأمني للشركة عن غير قصد، مما يجعل من الضروري تثقيف الموظفين حول مخاطر مشاركة المعلومات الحساسة باستخدام أدوات GenAI في حياتهم المهنية والشخصية. وينبغي وضع سياسات أو حواجز حماية واضحة للاستخدام المقبول لتوجيههم.
يقول نوتش: “إن التغيير الحقيقي لقواعد اللعبة هو التخطيط القائم على النتائج”. “يجب على القادة أن يسألوا: ما هي النتائج التي نحتاجها لدعم أهداف أعمالنا؟ ما هي الاستثمارات الأمنية المطلوبة لدعم هذه الأهداف؟ وهل تتوافق هذه مع قيود ميزانيتنا وأهداف العمل؟ وقد يتضمن ذلك تخطيط السيناريو، وتخيل تكاليف فقدان البيانات المحتمل، والتكاليف القانونية وغيرها من التأثيرات السلبية على الأعمال بالإضافة إلى تدابير الوقاية، لضمان تغطية الميزانيات للاحتياجات الأمنية الفورية والمستقبلية.
تساعد الميزانيات القائمة على السيناريوهات المؤسسات على تخصيص الموارد بشكل مدروس واستباقي، مما يؤدي إلى تعظيم القيمة طويلة المدى من استثمارات الذكاء الاصطناعي وتقليل الهدر. ويقول إن الأمر يتعلق بالاستعداد، وليس بالذعر.
يقول نوتش: “إن التركيز على النظافة الأمنية الأساسية هو أفضل طريقة لحماية مؤسستك”. “الخطر الأول هو السماح لتهديدات الذكاء الاصطناعي التي لا أساس لها من الصحة بصرف انتباه المؤسسات عن تشديد ممارساتها الأمنية القياسية. ضع خطة عندما ينجح الهجوم سواء كان الذكاء الاصطناعي عاملاً أم لا. إن الحصول على الرؤية وطريقة العلاج أمر بالغ الأهمية عندما ينجح المهاجم، وليس إذا نجح.
