מה מדאיג את מנהלי אבטחת המידע בבינה המלאכותית היוצרת?

לא תהיה זו הגזמה לומר שהכניסה של מערכות הבינה המלאכותיות היוצרת בחודשים האחרונים טלטלה את העולם – הצרכני והארגוני כאחד. על ה-GenAI לתחום הצרכני, כגון ChatGPT ו-Midjourney, הכבירו כבר מילים. באשר לתחום הארגוני, דו"ח אחרון של מק'ינזי קובע שלטכנולוגיה החדשה צפויה להיות השפעה משמעותית בכל מגזרי התעשייה. בין היתר, ציינו מומחי החברה כי הבינה המלאכותית היוצרת, שעל פי הצפי תיכנס יותר ויותר לעולם הבנקאות, עשויה להוסיף לו ערך שנתי של 200 עד 400 מיליארד דולר.

בנקודת הזמן הזו, נראה שהבינה המלאכותית היוצרת חודרת במהירות לשוק הארגוני. אחרי שלפני ימים אחדים התייחס טור זה להשפעה שלה על המנכ"ל, הפעם הגיע תורו של מנהל האבטחה. האתר CIO שוחח עם כמה מנהלי אבטחה, כדי ללמוד מהם על הלך הרוח אצלם ביחס לטכנולוגיה החדשה, שעל פי כל התחזיות תהיה גם משבשת. בעצם, היא כבר התחילה להיות כזאת.

הדבר הראשון שמדאיג את מנהלי האבטחה הוא העדר היכולת לפקח ולנתב את כניסת יישומי הטכנולוגיה החדשה לארגון. בחלק מהארגונים, גם במקרים שבהם ההנהלה לא החליטה על אימוץ רשמי של ה-GenAI, העובדים והמנהלים בדרגים הנמוכים יותר כבר עושים זאת: הם משתמשים בכלי בינה מלאכותית יוצרת לכתיבת קודים, יצירת תוכן ועוד. המציאות הזו פתחה אתגר חדש בפני מנהלי האבטחה, ולרשימת המשימות שלהם נוספת משימה חדשה – לנטר אחרי ההכנסה והשימוש של העובדים בטכנולוגיה החדשה, מבלי לפגוע בזרימת העבודה שלהם. וכאמור, זה, לדברי מנהלי האבטחה, אתגר קשה ביותר.

מה שמקשה עוד יותר על כך, בפרט במקרים שבהם העובד כבר אימץ את ה-GenAI בעוד שהנהלת הארגון טרם עשתה החליטה לעשות זאת, הוא שהארגונים לא מאפשרים התאמה של המוצר לתפקיד על שולחן העבודה שלו. אם חברות כבר החליטו ללכת על ה-GenAI, הן מתמקדת יותר ברמה החוזית, מול יצרניות הפתרונות, כאשר עדיין אין אחידות בנהלים לפיתוח תוכנות אלה – מה שמגדיל את סיכוני האבטחה.

אתגר נוסף בתחום האבטחה של הבינה המלאכותית היוצרת הוא פריצת ה-IP וזיהום נתונים, עד כדי שיבושם – דבר שמשפיע על קבלת החלטות, כולל כאלה שהתוצאות שלהן קריטיות.

עובדי הארגון עובדים עם כלי בינה מלאכותית יוצרת, בין אם בברכת ההנהלה ובין אם לאו. כדי לעזור לרסן את מה שיכול להיות דליפת מידע נרחבת או אירוע נזק משמעותי אחר, מנהלי האבטחה וההנהלות של הארגונים לשלוט בשימוש ב-GenAI בארגון

עוד חשש הוא שילוב הבינה המלאכותית היוצרת בערכות הדרכה למוצרים מצד שלישי, שיכולים להיות מועתקים או משובשים, משום שמקורם לא בהכרח מוגן.

אולם, החשש המרכזי, גם כאן, הוא מדליפת נתונים – בעיקר בשוק המסחרי. כלי הטכנולוגיה הזאת אוספים נתונים באופן רציף, ואלה מעובדים ומסופקים למשתמשים שמחפשים אותם. החשש העיקרי הוא שאותו מידע ידלוף מאותם שרתים, ולא ניתן יהיה לעצור את זה, ואף לעקוב במדויק לאן הנתונים הגיעו. החשש הזה יוצר מעצורים אצל ארגונים, שלא ממהרים לשחרר לעובדים אפשרויות יישום זמינות. יש אף ענקיות טכנולוגיה שאסרו על הכנסת בינה מלאכותית יוצרת לתוך המערכות שלהן, מחשש לדליפה לא מבוקרת של קודי מקור.

מה מנהלי האבטחה יכולים לעשות במצב העניינים הזה?

פתרון אחד הוא להקשיח את אמצעי האבטחה הבסיסיים, כדי למנוע זליגת נתונים.

עוד פתרון הוא לאמץ המלצות של המכון האמריקני הלאומי לתקנים וטכנולוגיה, שמדבר על יצירת מסגרות חדשות של ניהול סיכונים בבינה המלאכותית, שיוצאות מתוך הנחה שכרגע, רמת הסיכון בשימוש במערכות אלה גבוהה.

על ההנהלות, ובכללן מנהלי האבטחה, לתת את הדעת על הבינה המלאכותית היוצרת. צילום: ShutterStock

יש גם את הרובד של ההנהלה הבכירה, שצריכה לתת תשובות לגבי ממשל תאגידי, לענות לדרישות רגולטוריות ולייצר נהלים ברורים שיאפשרו מקסום היתרונות של ה-AI, היוצרת ובכלל, תוך שמירה על רמת סיכונים סבירה. הנהלת הארגון צריכה גם לתת מענים משפטי ורגולטורי לנושאים הקשורים ב-AI. עליה לתת הנחיות שיסדירו את השימוש בבינה מלאכותית יוצרת, למפות את המצב הקיים, ליצור מנגנונים לזיהוי מערכות GenAI שפועלות בארגון ולקבוע תהליכים לטיפול בתקלות.

לסיכום, עובדי הארגון עובדים עם כלי בינה מלאכותית יוצרת, בין אם בברכת ההנהלה ובין אם לאו. כדי לעזור לרסן את מה שיכול להיות דליפת מידע נרחבת או אירוע נזק משמעותי אחר, מנהלי האבטחה וההנהלות של הארגונים לשלוט בשימוש ב-GenAI בארגון. אכיפה משמעתית צריכה להיות האופציה האחרונה, כי כבר כיום ברור שלא ניתן לעצור את הטכנולוגיה, ומה שצריך לעשות הוא לשמור שהיא לא תפגע בליבת העסקים.