מאת: מיי ברוקס-קמפלר | CISSP, חברת דירקטוריון ISC2

24.9.2024

בשנתיים האחרונות הבינה המלאכותית (AI) הפכה להיות חלק בלתי נפרד מהפעילות היום יומית של אנשים וארגונים. כלים כמו ChatGPT ו- Gemini מסייעים לנו להפיק תכנים במהירות מסחררת. סייעני ניהול זמן שמקבלים גישה ליומנים ולפגישות שלנו, מנהלים לנו את הזמן ומייעלים לנו משימות. אין ספק ששימוש ב-AI מייעל תהליכים, חוסך בעלויות, ומאפשר הטמעת שינויים וחידושים מהירים. עם זאת, עם כוח גדול מגיעה אחריות גדולה, והעלייה בשימוש בכלי AI במקומות העבודה טומנת בחובה גם חששות אבטחת מידע משמעותיים.אחת הבעיות הבולטות בתחום של AI, היא העדר המודעות לסיכונים השונים אותה היא טומנת בחובם. וגם אם אנשי אבטחת המידע מכירים את הסיכונים, המשתמשים עצמם פחות מודעים לכך.

במאמר זה אציג כמה מהסיכונים המרכזיים בשימוש בכלי AI  בארגונים, וכיצד ניתן להעלות את מודעות המשתמשים לסכנות הפוטנציאליות הנובעות משימוש בכלים אלו.

"הצורך לדעת"

אחד מהעקרונות הבסיסיים של אבטחת מידע הוא שמירה על סודיות המידע. סודיות המידע נוגעת הן לשמירת הנתונים בתוך הארגון ומניעת שיתופם עם גורמים חיצוניים שאינם מורשים למידע. אולם לא פחות מכך, חשובה לנו השמירה על מידור המידע גם בסביבה הארגונית, והקפדה על עיקרון "הצורך לדעת".

חשיפת מידע לגורמים לא מורשים מהווה סכנה משמעותית, בין היתר בשל אי הבנת משמעות המידע ע"י אותם גורמים שנחשפו אליו בשוגג.

בעולם המיזוגים והרכישות לדוגמה, נהוג להתייחס לחשיפה מוקדמת של הטרנזאקציה כ"נשיקת המוות" של הפרויקט. אי לכך ארגונים הנמצאים בתהליך מיזוג ורכישה מנהלים בקפדות את רשימת שותפי הסוד לפרויקט. אותם שותפי סוד מתודרכים אודות הפרויקט והמשמעויות שלו, וכמובן על הדיסקרטיות הנדרשת עבור הפרויקט.

נכון להיום מודלים של AI, כולל אלו המוטמעים פנים ארגונית, אינם כוללים כרגע הגבלות מידור. במצב זה כאשר מנכ"ל ועובד זוטר ישאלו שאלה את כלי ה-AI הארגוני, הם יקבלו נתונים דומים. כלומר העובד הזוטר עלול להחשף בשוגג לפרויקטים רגיש, ובהעדר ההקשר הארגוני וההנחיות הברורות לשמירה על סודיות, אותו עובד זוטר עלול לשתף נתונים עם גורמים שונים מבלי להבין את ההשלכות ההרסניות שהחשיפה עלולה להביא.

"אם זה כתוב בעיתון, אז זה בטח נכון"

לאחרונה הרשת געשה סביב אמירתה של ח"כ גלית דיסטל אטבריאן כי הסרט המטריקס נכתב ע"י בחורי ישיבה. ח"כ הגיבה לפרשה ולקחה אחריות על טעותה: "קצת אחרי שהסרט הפנומנלי הזה יצא, ישבתי עם חברים שהכרתי עוד מהימים העליזים של החוג לפילוסופיה. עפנו על הסרט הזה - לונה פארק מענג של מטאפיסיקה עטוף בסטיילינג מטורף וקיאנו ריבס. במהלך השיחה מישהו זרק ששני האחים (היום אחיות) שכתבו אותו היו שני תלמידי ישיבה שיצאו בשאלה וכתבו את המטריקס בהשראת הקבלה. כך יצא שכבר 20 שנה אני מסתובבת בעולם משוכנעת לחלוטין שהאחיות וצ'אוסקי ישבו פעם בכולל ולמדו תורה. היום כשציינתי את זה בוועידת החינוך בערוץ 14, "הבודקים", העמידו אותי על טעותי".

האירוע הקטן הזה הוא דוגמה לאמון העיוור שאנשים נותנים בנתונים שהם נחשפים אליהם. ההבדלה בין מידע אמין ומידע זמין מעולם לא הייתה מורכבת יותר. כלי AI מאפשרים יצירת תכנים בשניות, כולל תכני דיפ פייק, והאמון העיוור שהמשתמשים רוחשים לנתונים אותם הם רואים באינטרנט ובוודאי נתונים המיוצרים על ידי כלי AI מגבירה את הבעיה.

חשוב לזכור שכלי AI לא ממציאים רעיונות חדשים, הם לא יצירתיים, אלא פשוט מאורגנים. כלי AI לוקחים את כל הנתונים הקיימים ויודעים לסדר אותם יחד בתבניות.

האינטרנט מלא בנתונים, חלקם מדוייקים וחלקם לא. בעבר כלים כמו וויקיפדיה הואשמו רבות באי דיוקים עד כדי הטעיות ברורות. הסיבה לכך הייתה פשוטה – כל אדם יכל ליצור ערך בפלטפורמה. נכון להיום עם התבגרות הפלטפורמה יש תהליכי אימות נתונים. עם זאת התהליך רחוק מלהיות חף מטעויות.

ומה לגבי מידע אחר שנמצא באינטרנט – מי עושה לו בקרת איכות? התשובה הכנה היא שאין בקרת איכות. כל אדם יכול להרים אתר ולכתוב את הגיגיו היותר או הפחות מבוססים.

זו הבעיה באינטרנט בכלל ובכלי AI בפרט.

היות וכלי AI למעשה מעבדים מידע שניתן להם ומפיקים ממנו תכנים בצורה סדורה, אזי שאם המידע שהם מתבססים עליו הוא מידע שגוי, גם התוצאות יהיו שגויות. כלי AI לא מאמתים נתונים, וזוהי אחריות של המשתמש לבחון את התוצרים. יתרה מכך, גם כאשר כלי AI מתבססים על חומרים אמינים, אמונה עיוורת בתוצרים עשויה להוביל לבעיות שונות. לדוגמה, אם חברה A משתמשת ב-AI כדי ליצור תוכנית שיווק. צוות החברה A מאתגר את כלי ה-AI שוב ושוב, ומייעל את התוכנית לצרכיה. מאוחר יותר חברה B מבקשת מ-AI ליצור תוכנית שיווק. הם מקבלים תפוקה נהדרת, המבוססת על חזרות של חברה A. עם זאת, אם הם יעקובו באופן עיוור אחר המתכון, הם ככל הנראה עדיין יהיו כמה צעדים מאחור חברה A, וכאשר חברה A תפרסם את הקמפיין שלה, חברה B תבין שיש לה מעט מאוד להציג.

עליית ה – Shadow AI

IT Shadow היא בעיה מוכרת בה עובדים משתמשים ביישומים ומכשירים שלא אושרו על ידי הארגון. כעת, אנו ניצבים בפני גבול חדש: AI Shadow.

רבים מכלי ה-AI מציעים רישיונות חינמים, בין אם להתנסות ובין אם כרישיון חלקי. מצב זה, בו ניתן להשתמש בשירות בקלות, מפתה אנשים רבים לבדוק שלל כלים ולהשתמש בהם הן בבית והן בעבודה.

יתרה מכך, העובדה שמדובר ביישומי רשת, הופכת את תהליך אימוץ האפליקציות הללו לקל מתמיד.

לא כל כלי עובר אישור ארגוני. למעשה כלים רבים בכלל לא מוצגים לארגון והמשתמשים עושים בהם שימוש דרך החשבונות האישיים שלהם.

דוגמה טובה לכך היא השימוש בסייעני AI במהלך שיחות וירטואליות. כלים אלו מאפשרים לסכם פגישות, להגדיר משימות להמשך, לבצע מעקב אחר ביצוע ועוד.

כשמדובר בעובדים פנימיים ובשימוש בכלי מאושר, זה יכול להיות כלי יעיל מאין כמוהו. עם זאת במקרים רבים, הן פנים ארגונית והן בעבודה מול גורמים חיצוניים, עובדים מתנסים בכלים כאלו ללא פיקוח, מה שהלכה למעשה מאפשר לגורם צד שלישי (סייען ה-AI) להחשף למידע ארגוני, ולעיתים אף למידע רגיש.

העדר התיעוד אודות הכלים בהם משתמשים בארגון, והעדר יכולת השליטה בכלים כאלו בהן עושים צדדים שלישיים, מוריד את יכולת הזיהוי השליטה של צוותי אבטחת מידע בתהליכי זרימה המידע ומהווים סיכון משמעותי.

תרבות AI

לאחרונה נתקלתי בארגון שהודיע לכלל העובדים שחל איסור חמור על שימוש בכלי AI בארגון. הודעה כזו דומה בראייתי לקריאה לחזור להשתמש בסוס ועגלה על מנת להגיע לעבודה. עצירת חדשנות לא רק שלא עובדת, היא גם טומנת בחובה סיכון לארגון. מניעת שימוש AI אמנם תצמצם את הסיכון, אולם היא גם תפגע ביכולת הארגון להשתפר ולצמוח, ותשים אותו בעמדת נחיתות לעומת ארגונים אחרים שישכילו ליישם את הכלים הללו בצורה מאובטחת.

יתרה מכך, גם איסור גורף שכזה לא ימנע את הסיכון לחלוטין, שהרי בשיחות חיצוניות אנשים משתמשים בסייעני AI, מערכות שונות משלבות כיום יכולות AI מובנות וכד'.

בשונה מטכנולוגיות אחרות, האימוץ המהיר של טכנולוגיות AI, לא מאפשר לארגונים "לשבת על הגדר". אין אפשרות לשבת ולחכות חודשים או שנים עד שפתרונות הגנה על AI יבשילו, או שיצאו תקנים חדשים לאכוונת ההתמודדות. עם זאת ברור שלא נרצה להטמיע כלים כאלו בלי בקרה ושליטה, ולכן בראש ובראשונה עלינו לטפח תרבות של מודעות וערנות שתאפשר לארגונינו לאמץ חדשנות תוך הגנה על הארגון.

ארגונים חייבים להכיר את ההזדמנויות והסיכונים בשימוש בכלי AI, ויתרה מכך, על הארגונים לוודא כי עובדיהם מודעים לאותן הזדמנויות וסכנות.

גופי IT ואבטחת מידע חייבים לאפשר לעובדים לבחון ולבקר כלי AI לטובת שיפור תהליכי העבודה, וזוהי אחריותנו לבחון את הכלים הללו ובמידה והם מציגים איום גדול מכפי שאנו מוכנים לאשר, עלינו להציע חלופות כדי לאפשר את התקדמות הארגון.

הבסיס לאימוץ שימוש בטוח ב-AI הוא מודעות. תכניות מודעות אבטחת מידע חייבות כיום לכלול פרק על שימוש בכלי AI והסכנות הטמונות בו. צרו עם העובדים שיח פתוח על האתגרים וההזדמנויות. צרו פורומים בהם עובדים יכולים לשתף את חוויותיהם, צרכיהם ו חששותיהם בשימוש בכלי AI.

ובעיקר – שמרו על שיח פתוח – עם העובדים, עם ההנהלה, עם הקולגות החיצוניים וכד'. כלי AI מציעים הזדמנות אדירה לצד סיכונים משמעותיים. ביחד נצלח אותם בבטחה.