مثل AI التوليدي (Genai) تصبح الأدوات مضمنة في نسيج عمليات المؤسسات ، فهي تجلب وعدًا تحويليًا ، ولكنها أيضًا خطر كبير.
بالنسبة إلى CISO ، يكمن التحدي في تسهيل الابتكار مع تأمين البيانات ، والحفاظ على الامتثال عبر الحدود ، والتحضير للطبيعة غير المتوقعة لنماذج اللغة الكبيرة ووكلاء الذكاء الاصطناعي.
المخاطر عالية. يمكن لأداة الذكاء الاصطناعى المعرضة للخطر أو التي تحكمها سوءًا فضح البيانات الحساسة ، أو تنتهك قوانين البيانات العالمية ، أو اتخاذ قرارات حرجة بناءً على مدخلات خاطئة أو معالجة.
للتخفيف من هذه المخاطر ، يجب على CISO إعادة التفكير في استراتيجيات وسياسات الأمن السيبراني في ثلاثة مجالات أساسية: استخدام البيانات ، سيادة البيانات ، وسلامة الذكاء الاصطناعي.
استخدام البيانات: فهم المصطلحات قبل مشاركة المعلومات الحيوية
المخاطر الأكثر إلحاحًا في اعتماد الذكاء الاصطناعي ليست فاعلة ضارة بل الجهل. تدمج الكثير من المنظمات أدوات الذكاء الاصطناعى الطرف الثالث دون فهم تام كيفية استخدام بياناتهم أو تخزينها أو مشاركتها. يتم تدريب معظم منصات الذكاء الاصطناعى على مساحات شاسعة من البيانات العامة المكسورة من الإنترنت ، وغالبًا ما يكون ذلك مع إيلاء اعتبار للمصدر.
في حين أن اللاعبين الأكبر في هذه الصناعة ، مثل Microsoft و Google ، بدأوا في تضمين المزيد من الحماية الأخلاقية والشفافية في شروط الخدمة الخاصة بهم ، فإن الكثير من الطباعة الدقيقة لا يزال غير شفاف ويخضع للتغيير.
بالنسبة إلى CISO ، هذا يعني إعادة كتابة سياسات مشاركة البيانات وقوائم التحقق من المشتريات. يجب التعامل مع أدوات الذكاء الاصطناعى كبائعين من طرف ثالث مع وصول عالي الخطورة. قبل النشر ، يجب على فرق الأمان مراجعة شروط استخدام منصة الذكاء الاصطناعى ، وتقييم أين وكيف يمكن الاحتفاظ ببيانات المؤسسة أو إعادة استخدامها ، والتأكد من أن عمليات إلغاء الاشتراك في مكانها حيثما أمكن ذلك.
يمكن للاستثمار في الاستشاريين الخارجيين أو أخصائيي حوكمة الذكاء الاصطناعي الذين يفهمون هذه العقود الدقيقة أن يحمي المنظمات من تبادل المعلومات الملكية عن غير قصد. في جوهرها ، يجب معاملة البيانات المستخدمة مع الذكاء الاصطناعي كتصدير قيمة يتم النظر فيها بعناية وتتبعها وتنظيمها.
سيادة البيانات: الدرابزين من أجل تقنية بلا حدود
أحد الأخطار الخفية في تكامل الذكاء الاصطناعي هو عدم وضوح الحدود الجغرافية عندما يتعلق الأمر بالبيانات. ما يتوافق مع قوانين البيانات في بلد ما قد لا في بلد واحد.
بالنسبة للشركات متعددة الجنسيات ، فإن هذا يخلق حقل ألغام من الانتهاكات التنظيمية المحتملة ، وخاصة بموجب أعمال مثل درة والقادم مشروع قانون الأمن السيبراني والمرونة في المملكة المتحدة بالإضافة إلى أطر مثل الناتج المحلي الإجمالي للاتحاد الأوروبي أو قانون حماية البيانات في المملكة المتحدة.
يجب على CISO أن تتكيف مع استراتيجيات الأمان الخاصة بها لضمان توافق منصات الذكاء الاصطناعى مع متطلبات سيادة البيانات الإقليمية ، مما يعني مراجعة مكان استضافة أنظمة الذكاء الاصطناعى ، وكيفية تدفق البيانات بين الولايات القضائية ، وما إذا كانت آليات نقل البيانات المناسبة مثل الفصول التعاقدية القياسية أو قواعد الشركة الملزمة موجودة.
عندما لا تقدم أدوات الذكاء الاصطناعي إمكانيات توطين أو امتثال كافية ، يجب على فرق الأمن التفكير في تطبيق الجيوغرام أو إخفاء البيانات أو حتى عمليات نشر الذكاء الاصطناعى المحلي.
يجب أن تفرض تحديثات السياسة أن يتم فرض تفضيلات توطين البيانات لمجموعات البيانات الحساسة أو المنظمة ، ويجب أن تتضمن عمليات شراء الذكاء الاصطناعي أسئلة واضحة حول معالجة البيانات عبر الحدود. في النهاية ، يعد ضمان بقاء البيانات ضمن حدود الامتثال قضية قانونية وكذلك ضرورة أمنية.
السلامة: تصميم المرونة في عمليات نشر الذكاء الاصطناعي
تكمن العمود الأخير لأمن الذكاء الاصطناعي في حماية أنظمة من التهديد المتزايد للتلاعب ، سواء كان ذلك من خلال هجوم الحقن السريعS أو الهلوسة النموذجية أو سوء استخدام من الداخل.
على الرغم من أنه لا يزال فئة تهديد ناشئة ، فقد أصبح الحقن الفوري أحد أكثر المتجهات التي تمت مناقشتها في Genai Security. من خلال صياغة سلاسل المدخلات بذكاء ، يمكن للمهاجمين تجاوز السلوكيات المتوقعة أو استخراج المعلومات السرية من نموذج. في الأمثلة الأكثر تطرفًا ، تحتوي نماذج الذكاء الاصطناعى على مخرجات غريبة أو ضارة ، مع رفض نظام واحد أن يتم إغلاقه من قبل المطورين.
بالنسبة إلى CISO ، يجب أن تكون الاستجابة ذات شقين. أولاً ، يجب تكييف الضوابط الداخلية وتمارين الفوز الأحمر ، مثل اختبار الاختراق التقليدي ، مع أنظمة اختبار الإجهاد. يمكن أن تساعد تقنيات مثل Chaos Engineering في محاكاة حالات الحافة وكشف العيوب قبل استغلالها.
ثانياً ، يجب أن يكون هناك تحول ثقافي في كيفية اختيار البائعين. يجب أن تفضل السياسات الأمنية مقدمي الذكاء الاصطناعي الذين يظهرون اختبارًا صارمًا وآليات سلامة قوية وأطر أخلاقية واضحة. على الرغم من أن هؤلاء البائعين قد يأتيون مقابل علاوة ، إلا أن التكلفة المحتملة للثقة في أداة الذكاء الاصطناعى غير المختبرة أكبر بكثير.
لتعزيز المساءلة ، يجب أن تدعو CISO إلى العقود التي تضع المسؤولية على بائعي الذكاء الاصطناعي عن حالات الفشل التشغيلي أو المخرجات غير الآمنة. يجب أن يعالج الاتفاقية المكتوبة جيدًا المسؤولية وإجراءات الاستجابة للحوادث وطرق التصعيد في حالة حدوث خلل أو خرق.
من حارس البوابة إلى التمكين
عندما تصبح الذكاء الاصطناعى جزءًا أساسيًا من البنية التحتية التجارية ، يجب أن تتطور CISO من كونها حراس بوابات الأمن إلى عوامل الابتكار الآمن. سيكون تحديث السياسات المتعلقة باستخدام البيانات ، وتعزيز الضوابط على سيادة البيانات ، وبناء شبكة أمان ذات طبقات لنشر الذكاء الاصطناعى ضروريًا لإلغاء إمكانات Genai الكاملة دون المساس بالثقة أو الامتثال أو النزاهة.
أفضل دفاع عن التغييرات السريعة الناجمة عن الذكاء الاصطناعي هو التكيف الاستراتيجي الاستراتيجي المتجذر في المعرفة والتعاون والتركيز الذي لا يلين على المسؤولية.
إليوت ويلكس هو CTO في أنظمة الدفاع الإلكترونية المتقدمة. يتمتع ويلكس ، وهو زعيم التحول الرقمي ومدير المنتجات ، على أكثر من عقد من الخبرة في العمل مع كل من الحكومات الأمريكية والبريطانية ، وآخرها كمستشار للأمن السيبراني للخدمة المدنية.
