غالبية المنظمات — 89% منهم، وفقًا لتقرير حالة السحابة لعام 2024 من Flexera – اعتمدت استراتيجية متعددة السحابة. وهم الآن يركبون موجة التكنولوجيا الكبيرة التالية: الذكاء الاصطناعي. تبدو الفرص لا حدود لها: روبوتات الدردشة، والتطوير بمساعدة الذكاء الاصطناعي، والحوسبة السحابية المعرفية، والقائمة تطول. لكن قوة الذكاء الاصطناعي في السحابة لا تخلو من المخاطر.
في حين أن الشركات حريصة على استخدام الذكاء الاصطناعي، فإن الكثير منها لا يزال كذلك التعامل مع حوكمة البيانات لأنها تتراكم المزيد والمزيد من المعلومات. يتمتع الذكاء الاصطناعي بالقدرة على تضخيم المخاطر المؤسسية الحالية وإدخال مخاطر جديدة تمامًا. كيف يمكن لقادة المؤسسات تحديد هذه المخاطر، الداخلية والخارجية على حد سواء، وحماية مؤسساتهم مع الاستفادة من فوائد السحابة والذكاء الاصطناعي؟
تحديد المخاطر
البيانات هي شريان الحياة للحوسبة السحابية والذكاء الاصطناعي. وحيثما توجد بيانات، تكون هناك مخاطر أمنية ومخاطر تتعلق بالخصوصية. تعد التكوينات الخاطئة والتهديدات الداخلية والجهات الفاعلة الخارجية ومتطلبات الامتثال والأطراف الثالثة من بين الاهتمامات الملحة التي يجب على قادة المؤسسات معالجتها
إن تقييم المخاطر ليس مفهوماً جديداً لفرق قيادة المؤسسة. تنطبق العديد من الاستراتيجيات نفسها عند تقييم المخاطر المرتبطة بالذكاء الاصطناعي. “أنت تقوم بنمذجة التهديدات ومرحلة التخطيط وتقييم المخاطر. يمكنك القيام بتعريفات متطلبات الأمان [and] “إنفاذ السياسات”، كما يقول ريك كلارك، الرئيس العالمي للاستشارات السحابية في UST، شركة حلول التحولات الرقمية.
مع غمرة أدوات الذكاء الاصطناعي في السوق ومطالبة مختلف وظائف الأعمال بتبنيها، يتسع خطر الكشف عن البيانات الحساسة وسطح الهجوم.
بالنسبة للعديد من المؤسسات، من المنطقي دمج البيانات للاستفادة من الذكاء الاصطناعي الداخلي، لكن هذا لا يخلو من المخاطر. “سواء كان الأمر من أجل الأمن أو التنمية أو أي شيء، [you’re] سيتعين عليك البدء في دمج البيانات، وبمجرد البدء في دمج البيانات، فإنك تقوم بإنشاء نقطة هجوم واحدة،” يشير كلارك.
وهذه هي مجرد المخاطر التي يمكن لقادة الأمن التعرف عليها بسهولة أكبر. تضيف وفرة أدوات GenAI الرخيصة وحتى المجانية المتاحة للموظفين طبقة أخرى من التعقيد.
“إنه [like] كيف اعتدنا أن يكون لدينا تكنولوجيا المعلومات الظل. يقول أمريت جاسال، CTO في: “إنه يتكرر مرة أخرى مع هذا”. إجنايت، شركة إدارة محتوى المؤسسة.
يأتي الذكاء الاصطناعي مصحوبًا بمخاطر جديدة أيضًا.
“أعتقد أن تسمم حاملي شهادات الماجستير في القانون هو أحد أكبر مخاوفي في الوقت الحالي،” هذا ما قاله كلارك لمجلة InformationWeek. “لا تراقبها الشركات بعناية لأنها بدأت في بناء نماذج اللغة هذه.”
كيف يمكن للمؤسسات التأكد من عدم التلاعب بالبيانات التي تغذي شهادات LLM التي يستخدمونها؟
في وقت مبكر من لعبة الذكاء الاصطناعي، تواجه فرق المؤسسة تحديات إدارة السلوك واختبار الأنظمة والأدوات التي قد لا يفهمونها بالكامل بعد.
“الأمر الجديد والصعب والصعب في بعض النواحي بالنسبة لصناعتنا هو أن الأنظمة لديها نوع من السلوك غير الحتمي،” مارك ريلاند، مدير مكتب CISO لشركة خدمات الحوسبة السحابية خدمات الويب من أمازون (AWS)يشرح. “لا يمكنك اختبار نظام ما بشكل شامل لأنه مصمم جزئيًا ليكون نقديًا وإبداعيًا، مما يعني أن نفس المدخلات لا تؤدي إلى نفس المخرجات.”
يمكن أن تتضاعف مخاطر الذكاء الاصطناعي والسحابة مع تعقيد مجموعة التكنولوجيا الخاصة بالمؤسسة. من خلال استراتيجية السحابة المتعددة وسلسلة التوريد المتنامية في كثير من الأحيان، يتعين على فرق الأمان التفكير في سطح هجوم مترامي الأطراف وعدد لا يحصى من نقاط الخطر.
“على سبيل المثال، كان علينا أن نلقي نظرة فاحصة على الأشياء المميزة على الأقل، ليس فقط لعملائنا ولكن لموظفينا أيضًا. يقول جسال: “وبعد ذلك يجب أن يمتد ذلك ليس إلى مزود واحد فقط بل إلى مقدمي خدمات متعددين”. “من المؤكد أن الأمر يصبح أكثر تعقيدًا.”
الذكاء الاصطناعي ضد السحابة
سيتم الاستفادة من أدوات الذكاء الاصطناعي المتاحة على نطاق واسع ليس فقط من قبل الشركات ولكن أيضًا من قبل المهاجمين الذين يستهدفونها. عند هذه النقطة، التهديد بالهجمات التي يغذيها الذكاء الاصطناعي على البيئات السحابية منخفض إلى حد ما، وفقًا لتقرير X-Force Cloud Threat Landscape Report لعام 2024 الصادر عن شركة IBM. ولكن من السهل تخيل تصاعد هذا التهديد.
يمكن للذكاء الاصطناعي أن يزيد بشكل كبير من قدرات الجهات الفاعلة في مجال التهديد من خلال المساعدة في الترميز، والحملات المتطورة بشكل متزايد، والهجمات الآلية.
يقول كلارك: “سنبدأ في رؤية قدرة الذكاء الاصطناعي على جمع المعلومات للبدء في شن هجمات تصيد شخصية”. “ستكون هناك هجمات عدائية للذكاء الاصطناعي، حيث يستغلون نقاط الضعف في نماذج الذكاء الاصطناعي الخاصة بك حتى عن طريق تغذية البيانات لتجاوز أنظمة الأمان.”
وبطبيعة الحال، سيحاول مطورو نماذج الذكاء الاصطناعي الحد من هذا النشاط، لكن الضحايا المحتملين لا يمكنهم افتراض اختفاء هذا الخطر. يقول ريلاند: “من الواضح أن مقدمي أنظمة GenAI لديهم القدرات اللازمة لمحاولة اكتشاف الاستخدام السيء لأنظمتهم، وأنا متأكد من أن عناصر التحكم هذه فعالة إلى حد معقول ولكنها ليست مثالية”.
حتى لو اختارت الشركات تجنب الذكاء الاصطناعي في الوقت الحالي، فإن الجهات الفاعلة في مجال التهديد سوف تستخدم هذه التكنولوجيا ضدها. “سيتم استخدام الذكاء الاصطناعي في الهجمات ضدك. ستحتاج إلى الذكاء الاصطناعي لمكافحته، لكن عليك تأمين الذكاء الاصطناعي الخاص بك. يقول كلارك: “إنها حلقة مفرغة بعض الشيء”.
دور مقدمي الخدمات السحابية
لا تزال الشركات تتحمل مسؤولية بياناتها الموجودة في السحابة، بينما يلعب مقدمو الخدمات السحابية دورهم من خلال تأمين البنية التحتية للسحابة.
يقول جسال: “لا تزال المسؤولية المشتركة قائمة”. “في نهاية المطاف، إذا حدث شيء ما، أو اختراق إلى آخره، في أنظمة Egnyte… فإن Egnyte مسؤولة عن ذلك سواء كان ذلك بسبب مشكلة في Google أو مشكلة في Amazon. العميل لا يهتم حقًا.”
في حين أن هذا أساسي نموذج المسؤولية المشتركة ويبقى السؤال التالي: هل يغير الذكاء الاصطناعي تلك المحادثة على الإطلاق؟
أصبح مقدمو النماذج الآن جزءًا من المعادلة. يقول ريلاند: “يتحمل مقدمو النماذج مجموعة متميزة من المسؤوليات”. “تلك الكيانات… [take] على بعض المسؤولية للتأكد من أن النماذج تتصرف وفقًا للالتزامات التي تم التعهد بها حول الذكاء الاصطناعي المسؤول.
في حين أن الأطراف المختلفة – المستخدمين ومقدمي الخدمات السحابية وموفري النماذج – لديهم مسؤوليات مختلفة، فإن الذكاء الاصطناعي يمنحهم طرقًا جديدة للوفاء بهذه المسؤوليات.
على سبيل المثال، سيكون الأمن القائم على الذكاء الاصطناعي ضروريًا للمؤسسات لحماية بياناتها في السحابة، ولمقدمي الخدمات السحابية لحماية البنية التحتية الخاصة بهم، ولشركات الذكاء الاصطناعي لحماية نماذجهم.
ويرى كلارك أن موفري الخدمات السحابية يلعبون دورًا محوريًا هنا. “إن أجهزة Hyperscalers هي الوحيدة التي سيكون لديها ما يكفي من وحدات معالجة الرسومات لأتمتة نماذج تهديد المعالجة والهجمات. أعتقد أنه سيتعين عليهم تقديم الخدمات لعملائهم لاستخدامها. “لن يقدموا لك هذه الأشياء مجانًا. لذا، هذه هي الخدمات الأخرى التي سيبيعونها لك.
تقدم كل من AWS وMicrosoft وGoogle مجموعة من الأدوات المصممة لمساعدة العملاء على تأمين تطبيقات GenAI. ومن المرجح أن يأتي المزيد من هذه الأدوات.
“نحن مهتمون بالتأكيد بزيادة القدرات التي نقدمها للعملاء لإدارة المخاطر، وتخفيف المخاطر، وأشياء مثل أدوات الاختبار الآلية الأكثر قوة،” يشارك ريلاند.
إدارة المخاطر
على الرغم من أن مخاطر الذكاء الاصطناعي والسحابة معقدة، إلا أن المؤسسات لا تفتقر إلى الموارد اللازمة لإدارتها.
أفضل الممارسات الأمنية التي كانت موجودة قبل ظهور GenAI لا تزال ذات صلة اليوم. يقول ريلاند: “من خلال بناء عملية تشغيل نظام تكنولوجيا معلومات باستخدام الأنواع الصحيحة من ضوابط الوصول، وبأقل قدر من الامتيازات… والتأكد من أن البيانات محمية بعناية، وكل هذه الأشياء التي كنا نفعلها تقليديًا، يمكننا الآن تطبيقها على نظام GenAI”.
وستكون سياسات الحوكمة والضوابط التي تضمن اتباع تلك السياسات أيضًا بمثابة استراتيجية مهمة لإدارة المخاطر، خاصة فيما يتعلق باستخدام الموظفين لهذه التكنولوجيا.
“رؤساء أمن المعلومات الأذكياء [don’t] يقول ريلاند: “حاول منع هذا النشاط تمامًا، ولكن بدلاً من ذلك قم بسرعة بوضع السياسات الصحيحة حول ذلك”. “تأكد من أن الموظفين على اطلاع وأنه يمكنهم استخدام الأنظمة عندما يكون ذلك مناسبًا، ولكن أيضًا احصل على التحذيرات والحواجز المناسبة حول استخدام الأنظمة الخارجية.”
ويعمل الخبراء على تطوير أدوات خاصة باستخدام الذكاء الاصطناعي.
“هناك الكثير من الأطر الجيدة في الصناعة، أشياء مثل OWASP أعلى 10 مخاطر بالنسبة لـ LLMsويضيف ريلاند: “والتي لها اعتماد كبير”. “تمتلك فرق الأمن والحوكمة الآن بعض ممارسات الصناعة الجيدة… المقننة بمدخلات من الكثير من الخبراء، والتي تساعدهم في الحصول على مجموعة من المفاهيم ومجموعة من الممارسات التي تساعدهم على تحديد وإدارة المخاطر التي تنشأ من التكنولوجيا الجديدة “.
إن صناعة الذكاء الاصطناعي تنضج، لكنها لا تزال ناشئة نسبيا وسريعة التطور. سيكون هناك منحنى تعليمي للمؤسسات التي تستخدم التكنولوجيا السحابية والذكاء الاصطناعي. “لا أرى كيف يمكن تجنب ذلك. يقول جسال: “سيكون هناك تسرب للبيانات”.
سيتعين على فرق المؤسسة العمل من خلال منحنى التعلم هذا، والآلام المتزايدة المصاحبة له، مع التقييم المستمر للمخاطر وإدارتها وأدوات جديدة مصممة لمساعدتهم.
