Како што се приближуваме кон крајот на 2025 година, постојат две непријатни вистини за вештачката интелигенција кои секој директор за информатичка безбедност мора да ги прифати. Првата е дека секој вработен, доколку има можност, веќе користи генеративни AI алатки за својата работа, дури и кога компанијата тоа не го одобрува или го забранува со интерни правила. Втората е дека секој од тие вработени, ако веќе не го направил тоа, внесува интерни и доверливи податоци на компанијата во тие алатки.
Иако може да се приговори на употребата на зборот „секој“, податоците се движат токму во таа насока. Според истражување на Microsoft, уште во 2024 година три четвртини од канцелариските работници на глобално ниво користеле генеративна вештачка интелигенција на работа, а дури 78% од нив донеле сопствени AI алатки на работното место. Во исто време, речиси една третина од сите корисници на AI признале дека внесувале чувствителни материјали во јавни чат-ботови.
Најголемата закана: „безбедносниот јаз во пристапот“
Најголемата закана што ја носи AI е поврзана со проширувањето на таканаречениот „безбедносен јаз во пристапот“. Во контекст на вештачката интелигенција, тоа се однесува на разликата меѓу одобрените деловни апликации на кои им веруваме и сè поголемиот број недоверливи и неконтролирани апликации кои имаат пристап до податоците на компанијата без знаење на IT или безбедносните тимови.
Во суштина, вработените користат немониторирани уреди со непознати AI апликации, а секоја од нив може да претставува огромен ризик за чувствителните корпоративни податоци.
Две компании, два сосема различни исходи
Да земеме пример со две фиктивни компании: компанија А и компанија Б. Во двете компании, продажните претставници прават снимки од екранот од Salesforce и ги внесуваат во AI за да состават совршен е-пошта за потенцијален клиент. Директорите користат AI за забрзување на длабинските анализи на компании што планираат да ги купат. Продуктните тимови вчитуваат Excel-табели со податоци за користење на производите, надевајќи се дека ќе откријат клучен увид што сите други го пропуштиле.
За компанија А, ова сценарио претставува одличен извештај до управниот одбор за напредокот на интерните AI иницијативи. За компанија Б, тоа е шокантен список на сериозни прекршувања на правилата, од кои некои носат и тешки правни и регулаторни последици.
Разликата? Компанија А веќе развила и имплементирала план за овозможување и управување со вештачката интелигенција. Компанија Б сè уште расправа што би требало да преземе.
Време е за акција
Едноставно кажано, организациите повеќе не можат да си дозволат чекање. Според извештајот Cost of a Data Breach Report на IBM, дури 97% од организациите кои доживеале пробивање на податоци поврзано со AI немале воспоставено контроли за пристап до AI алатки.
Затоа задачата е јасна: да се изработи план кој ќе поттикнува продуктивна употреба на AI, а истовремено ќе ги ограничи ризичните однесувања. За почеток, важно е да се одговорат следниве шест клучни прашања:
- Кои деловни случаи навистина заслужуваат AI?
Фокусирајте се на конкретни примени, како „состави извештај за нова безбедносна закана“ или „сумирај записник од состанок“, а не на користење AI само поради трендот. - Кои проверени алатки ќе ги понудиме?
Изберете доверливи AI алатки со основни безбедносни контроли, како деловни (Enterprise) верзии кои не ги користат податоците на компанијата за тренирање модели. - Каков е ставот за лични AI сметки?
Формализирајте правила за користење лични AI сметки на службени лаптопи, лични уреди и уреди на надворешни соработници. - Како да ги заштитиме податоците на клиентите?
Мапирајте кои типови податоци се внесуваат во AI моделите и усогласете го тоа со договорите за доверливост и регулативи како GDPR. - Како ќе ги откриеме „дивите“ AI апликации?
Следете ја употребата на „shadow AI“ преку безбедносни агенти на уредите, анализа на мрежниот сообраќај и активности на апликациите, како и алатки што даваат детални списоци на екстензии и додатоци во прелистувачите и развојните околини. - Како ќе ги едуцираме вработените за правилата?
Откако ќе се воспостават правилата, неопходна е проактивна обука. Безбедносните огради немаат вредност ако никој не ги забележи пред да биде предоцна.
Одговорите ќе зависат од „апетитот за ризик“, но усогласеноста меѓу правниот, продуктниот, HR и безбедносниот тим не смее да биде предмет на преговори. Намалувањето на „безбедносниот јаз во пристапот“ бара тимовите да овозможат користење доверливи AI апликации, за вработените да не бидат принудени да се свртат кон непроверени и ризични алтернативи.
