Ананд Освал, вице-президент и генеральный директор по сетевой безопасности в Palo Alto Networks.
Сегодня на рынке доступно тысячи инструментов Генеративного ИИ (GenAI), при этом каждый месяц запускаются десятки новых приложений ИИ. Более половины ваших сотрудников, скорее всего, уже используют его для увеличения производительности на работе, и ожидается, что принятие этой технологии будет расти по мере появления новых приложений для различных сфер применения.
Проблема заключается в том, что большинство этих сторонних приложений GenAI не были проверены или утверждены для использования на работе, что ставит компании перед серьезными рисками. IT- и информационно-безопасностные команды проверяют и утверждают сторонние приложения, используемые в экосистеме технологий своей компании, чтобы понимать, какие приложения используются, являются ли они безопасными, и какие конфиденциальные компании данные, если таковые имеются, попадают в эти приложения. Они также учитывают (среди многих других факторов) то, как разработчик приложения обрабатывает проблемы, такие как уязвимости, и какие контроли приняты для ограничения доступа только к необходимой информации для выполнения работ сотрудниками.
Принятие несанкционированных приложений GenAI может привести к широкому спектру проблем кибербезопасности, начиная от утечки данных и заканчивая вредоносными программами. Это связано с тем, что ваша компания не знает, кто использует какие приложения, какие чувствительные данные попадают в них, и что происходит с этой информацией после этого. И поскольку не все приложения созданы в соответствии с необходимыми стандартами безопасности для предприятий, они также могут представлять угрозу, предоставляя злоумышленникам доступ к вашей системе и данным. Все эти проблемы могут привести к нарушениям требований регулирования, утечке чувствительных данных, краже интеллектуальной собственности, нарушению операций и финансовым потерям. Хотя эти приложения предоставляют огромный потенциал для повышения производительности, с их принятием связаны серьезные риски и потенциальные последствия, если это делается безопасно.
Приведу несколько примеров:
• Маркетинговые команды используют несанкционированное приложение, использующее ИИ для создания потрясающих изображений и видеоконтента. Что произойдет, если команда загрузит чувствительную информацию в приложение, и детали вашего конфиденциального запуска продукта утекут? Это не тот «вирусный» эффект, который вы искали.
• Руководители проектов используют приложения для создания текстовых заметок с использованием ИИ для транскрибирования встреч и предоставления полезных сводок. Но что будет, если записи будут содержать конфиденциальное обсуждение результатов финансовой отчетности за текущий квартал до его официального объявления?
• Разработчики используют совместные ресурсы и услуги оптимизации кода для быстрой разработки продуктов. Но что, если оптимизированный код, возвращенный из взломанного приложения, содержит зловредные сценарии?
Это лишь некоторые способы, которые хорошо намеренное использование GenAI приводит к несознательному увеличению риска. Однако блокировка этих технологий может ограничить способность вашей организации получить конкурентное преимущество, поэтому это также не является ответом. Компании могут – и должны – уделить время обдумыванию, как обеспечить сотрудников возможностью использовать эти приложения безопасно. Вот несколько рекомендаций:
Прозрачность: Вы не можете защищать то, о чем ничего не знаете. Одной из самых больших проблем, с которыми сталкиваются IT-команды с несанкционированными приложениями, является сложность быстрого реагирования на инциденты безопасности, что увеличивает возможность возникновения нарушений безопасности. Каждое предприятие должно отслеживать использование сторонних приложений GenAI и понимать конкретные риски, связанные с каждым инструментом. Основываясь на понимании использования инструментов, IT-команды должны иметь представление о том, какие данные поступают в корпоративные системы и из них. Эта прозрачность также поможет обнаружить нарушение безопасности для его быстрого идентификации и устранения.
Контроль: IT-команды должны иметь возможность информированно принимать решение о блокировке, разрешении или ограничении доступа к сторонним приложениям GenAI, либо на индивидуальной основе для каждого приложения, либо используя контроль на основе риска или категорий. Например, вы можете захотеть заблокировать доступ ко всем инструментам оптимизации кода для всех сотрудников, но разрешить разработчикам получить доступ к стороннему оптимизационному инструменту, который ваша команда информационной безопасности оценила и утвердила для внутреннего использования.
Защита данных: Ваши команды передают ли чувствительные данные через приложения? IT-команды должны блокировать утечку чувствительных данных, чтобы защитить информацию от неправомерного использования и кражи. Это особенно важно, если ваша компания подвергается регулированию или подпадает под законы о суверенитете данных. На практике это означает отслеживание данных, отправляемых в приложения GenAI, а затем использование технических контролов для обеспечения того, что чувствительные или защищенные данные, такие как личная информация или интеллектуальная собственность, не отправляются в эти приложения.
Предотвращение угроз: Возможность эксплуатации и уязвимости могут скрываться под поверхностью использованных вашими командами инструментами GenAI. Учитывая невероятно быстрый темп, с которым было разработано множество этих инструментов и введено на рынок, вы часто не знаете, построена ли используемая модель на искаженных моделях, обучена ли неверной или злонамеренной информации или подвержена ли обширному набору уязвимостей, специфичных для ИИ. Рекомендуется как лучшая практика отслеживать и контролировать данные, поступающие из приложений в вашу организацию на наличие вредоносной или подозрительной активности.
Хотя инструменты ИИ приносят невероятный потенциал для максимизации производительности сотрудников и способствуют росту выручки вашей организации, улучшая при этом прибыльность, эти инструменты также несут новые и более сложные риски, которые мы когда-либо видели. На бизнес-лидерах и их IT-командах лежит обязанность позволить своему персоналу уверенно использовать инструменты ИИ, обеспечивая при этом защищенность с помощью осведомленности, прозрачности, контроля, защиты данных и предотвращения угроз. Как только ваша команда безопасности узнает, что используется и как, они смогут предотвратить утечки чувствительных данных и защититься от угроз, скрывающихся в небезопасных или скомпрометированных платформах ИИ.