"בינה מלאכותית יוצרת אינה המענה לכל בעיות האבטחה – רק לחלק"
כריס בץ, מנהל האבטחה של AWS לאנשים ומחשבים: "במאבק מול הרעים הטובים חייבים לנצח - כי האמון והביטחון בדמנו"
"GenAI (בינה מלאכותית יוצרת – י"ה) היא כלי מדהים, המסייע לפתרון בעיות ששנים נאבקנו בהן. אבל כמו שהיא טובה, למשל בסיכום אירועי סייבר, כך יש לה גם בעיות, כגון הזיות, אשליות. היא כלי – אחד מרבים – בארגז הכלים של האבטחה", כך אמר כריס בץ, מנהל אבטחת המידע הראשי של אמזון ווב סרביסז (AWS).
בץ היה דובר המפתח בכנס האבטחה השנתי AWS re:Inforce 24, שערכה אמזון ווב סרביסז השבוע בפילדלפיה, בהשתתפות אלפי לקוחות ענקית הענן ושותפיה העסקיים.
לשאלת אנשים ומחשבים מי ינצח במאבק בין הרעים והטובים, כשכל אחד מהם עושה שימוש ב-GenAI, השיב בץ: "אנו חייבים לנצח – כי האמון והביטחון (Trust) בדמנו".
צו השעה: בניית תרבות אבטחה
במשך שנים רבות היה איציק כוכב, מוותיקי הגנת הסייבר וממונה אבטחת מידע בשירותי בריאות כללית, נושא תחת כל עץ רענן את המנטרה "אבטחת מידע היא תרבות". נדמה כי בץ שמע לו, וחלק ניכר מנאומו הוקדש לא לטכנולוגיה, אלא לבניית תרבות אבטחה בארגונים.
"תרבות אבטחה", ציין בץ, "דורשת השקעה וטיפול מתמשך, לעומק ולרוחב החברה, עם נגיעה בכל עובד, תהליך ומוצר. זה מתחיל בהנהלה: איתרע מזלי והייתי CISO בכמה חברות בהן הצלחתי לגייס את המנכ"ל לנושא, ומשם זה חילחל מטה".
לדבריו, "השיח על AI חשוב, אבל אינו היחידי. צריך להתמקד באנשים, לדבר יותר על אבטחה, לעורר מודעות בלא להפחיד, וליצור תמהיל של מומחי AI ואבטחה. אז יש לטפל בבעלות על האבטחה, שתהיה באחריות המנהלים העסקיים. השלב הבא הוא מומחיות: לקבוע איזו טכנולוגיות להטמיע, בתזמון הנכון ובמקום הדרוש. לבסוף צריך 'לחגוג' את ההצלחות לרוחב הארגון".
הוא הוסיף ואמר ש-"פיתחנו תרבות אבטחה חזקה במשך שנים. זה לא נעשה בן לילה, אלא דורש מיקוד והשקעה ממושכים, תחזוקה רציפה – כדי שהאבטחה תהיה בראש סדר העדיפויות בארגון. באמזון האבטחה הייתה ותמיד תהיה בראש סדר העדיפויות שלנו, מהרבה סיבות, ביניהן: היא חלק מהעבודה של כולם; בנינו יסודות אבטחה נכונים, היא משולבת בכל תהליך ומוצר, ואבטחה היא רכיב הכרחי להגיע לחדשנות".
"אבטחה טובה היא המפתח להתנסות בטכנולוגיות חדשות, כולל GenAI"
לדבריו, "אבטחה טובה היא המפתח להתנסות בטכנולוגיות חדשות, כולל GenAI. בינה מלאכותית יוצרת יכולה לשנות כמעט כל חווית לקוח באמצעות כלים רבי עוצמה, הנגישים לכולם. עם זאת, בלא שליטה ברורה עליה, היא תעלה חששות בתחומי האבטחה והפרטיות. אסור לתת לעובדים המעוניינים בבינה מלאכותית את התחושה שהאבטחה היא מחלקת 'דובי לא-לא'. זה לא רק שגוי, אלא רע לעסקים. ב-AWS, תמיד האמנו שאבטחה היא גורם עסקי. היא מפחיתה סיכונים, מחזקת את חוסן הסייבר ומעצימה את הלקוחות לחדש מהר יותר ובביטחון. צוותי האבטחה צריכים להיתפש כתומכים ביעדים העסקיים, הפועלים לצד העובדים להבין את הסיכונים ולצמצם אותם".
"הדאגה הגדולה ביותר שאני שומע מלקוחות הבוחנים כיצד לאמץ GenAI היא כיצד להגן על הנתונים שלהם, ועל הנתונים של הלקוחות שלהם", אמר בץ. "מהיום הראשון, לתשתית ולשירותי AI שלנו יש תכונות אבטחה והגנת פרטיות מובנות, כדי לאפשר ללקוחות לשלוט על הנתונים שלהם. מערכת Nitro שלנו משחקת כאן תפקיד מפתח: החומרה המיוחדת והקושחה הקשורה שלה אוכפות הגבלות, כך שאיש לא יוכל לקבל גישה לוגית לתשתית, לעומסי העבודה או לנתונים של הלקוחות". הוא הוסיף כי "בתחום בנייה מאובטחת של יישומי בינה מלאכותית, שירות Bedrock שלנו נותן ללקוחות שליטה מלאה על הנתונים שלהם, עם הצפנה מלאה".
"הגנת הסייבר הטובה ביותר היא התקפה", אמר בץ. "בכל יום אנו סורקים, מזהים ומסכלים מתקפות סייבר. MadPot, רשת חיישני האיומים שלנו, 'מלכודת דבש', עוזרת לצוותי האבטחה להבין את התנהגות התוקפים. כל פעם שתוקף מנסה לפגוע באחד מחיישני האיומים, אנו משתמשים במודיעין הזה כדי להגן על לקוחות". הוא הוסיף כי "Sonaris הוא כלי לניתוח תעבורת רשת, לזיהוי ועצירת ניסיונות תקיפה של הרעים. בשנה האחרונה הכלי מנע יותר מ-24 מיליארד ניסיונות של תוקפים לסרוק נתוני לקוחות המאוחסנים אצלנו ב-Amazon S3, ומנע כמעט 2.6 טריליון ניסיונות לגלות פגיעויות בשרתי EC2 שלנו".
"באופן אירוני משהו, בניית אמון תיעשה באמצעות מימוש תפישת 'אפס אמון", סיכם בץ, "אתגרי הגנת הסייבר יימשכו, ואנו נמשיך להגן באופן מוכלל ומוחלט. זה תהליך בלתי פוסק".
תגובות
(0)