וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

שימוש לא מבוקר ב-GenAI הוא פצצה מתקתקת לארגונים

אלעד שולמן

עודכן לאחרונה: 22.8.2024 / 13:33

כניסת כלי GenAI לשוק העבודה מייעלת ומקצרת משמעותית תהליכים שפעם לקחו זמן רב, אבל יש לה מחיר כבד שרוב הארגונים לא מייחסים לו מספיק חשיבות: סיכוני אבטחה ופרטיות

אבטחת מידע ברשת. ShutterStock
אבטחת מידע ברשת/ShutterStock

בינה מלאכותית יוצרת (GenAI) פתחה בשנים האחרונות אפשרויות רבות לחברות לשפר את הפרודוקטיביות ולהשיג יעילות בכל ממדי הפעילות שלהם. עם זאת, היא מציגה גם סיכונים חדשים - בעיקר בתחום האבטחה והפרטיות של הנתונים. כיוון שהטכנולוגיה עדיין בתחילת דרכה, וחברות רבות משתמשות בה בהיקפים מצומצמים, מקבלי ההחלטות בחברות נוטים להתעלם או להמעיט בחשיבות האבטחה של GenAI.

גישה זו עלולה להתברר כטעות. בסקר שערכה חברת המחקר מקנזי ב-2024, 65% מהארגונים דיווחו כי הם כבר משתמשים ב-GenAI לכל הפחות בפונקציה עסקית אחת. זה אומר שרוב העסקים כבר עברו משלב הדיבורים לשלב היישום. עם זאת, ארגונים עדיין נוטים להמעיט בחשיבות הסיכונים לאבטחת GenAI, משתי סיבות עיקריות:

שימוש ממוקד או מצומצם - במקרים רבים, חברות שאימצו את GenAI בתחומים מסוימים עדיין לא משתמשות בטכנולוגיה בהיקף נרחב, אך לפי גרטנר, 75% מהמפתחים עתידים להשתמש ב-GenAI עד 2028. ייתכן שאותם ארגונים משתמשים בכלי GenAI כמו GitHub או Copilot כדי לסייע ביצירת קוד, או הטמיעו צ'אטבוטים מבוססי AI כדי לתמוך בלקוחות, אך הם לא הטמיעו את GenAI באופן עמוק בתחומים ופונקציות עסקיות מרובות. כתוצאה מכך, הם מאמינים שהחשיפה שלהם לסיכוני ה-GenAI מוגבלת בהיקפה.

ארגונים לא יודעים על השימוש בטכנולוגיה - GenAI נמצא בשימוש בתוך הארגון בדרכים שהמנהלים לא מודעים להן. הכוונה כאן היא לשימוש בכלים כמו ChatGPT ו-Gemini על ידי עובדים ללא ידיעת או אישור החברה. כיוון שלרוב ההנהלה הרשמית בארגון אינה מודעת לכך, הם לא שקלו את מלוא היקף הסיכון הנשקף לארגונם. בחברות רבות קיים סיכוי גבוה לחוסר התאמה בין המידה שבה מקבלי ההחלטות מאמינים שארגונם חשוף לאתגרים וסיכונים באבטחת GenAI לבין המציאות בשטח. כתוצאה מכך, מהם מסתכנים בהשקעה בלתי מספקת באבטחת השימוש בטכנולוגיה. במקרה כזה, אחד הפתרונות המומלצים לאותם ארגונים הוא להפעיל יכולות גילוי, המכונות בתעשייה "Shadow LLM".

הדור הבא של ההאקרים

הטכנולוגיה החדשה הביאה עימה ארסנל חדש של סיכוני סייבר ואבטחת מידע לארגונים, חלקם אינם ידועים לציבור הרחב ורק כעת החלו להיחשף ולהיות מושא למחקר סייבר, לדוגמא:

Prompt Injection - בהתקפות אלו התוקפים משתמשים בתוכן שמזינים ב - Prompt על מנת לחשוף נתונים רגישים ממודלי שפה גדולים (LLMs), ובמקרים מסוימים אף לפגוע במערכות אחרות שאליהן מתממשקים ה-LLMs .

Overreliance - הסתמכות יתר על הפלט שמופק מכלי GenAI שעלול להוביל לשלל השלכות עבור ארגונים החל משימוש במידע שגוי (פייק ניוז), חשיפת מידע רגיש של ארגונים ומקורות מידע אחרים ללא ידיעת המשתמש. במחקרים שנעשו בנושא נמצא לא פעם שבסביבת פיתוח מהנדסים השתמשו בהמלצות כלי GenAI הופנו על ידם להשתמש בכלים מומצאים ואף מסוכנים, דבר שיכול להוביל לפריצת שרשרת האספקה של הארגון, במוצר והגעה למידע הרגיש ביותר של חברות.

סיכונים בשיקול דעת - גם משתמשים המודעים לסיכון, עלולים לשתף נתונים או לבצע פעולות שאמורות להיות אסורות או נוגדות את מדיניות הארגון, פשוט כי אין אמצעי הגנה נאותים. כלומר, ללא אמצעי אבטחה מותקנים, החברה תהיה נתונה לשיקול הדעת של העובד או הכלי בו הם משתמשים (ChatGPT, Co Pilot וכדומה).

אי עמידה ברגולציה - עבור חברות גלובליות ישנו סיכון אף יותר גדול והוא קשור למגוון ההולך וגדל של תקנות ואכיפה בתחום השימוש ב-AI, כמו חוק ה-AI של האיחוד האירופי והצו הנשיאותי על AI של הבית הלבן. חברות שמטמיעות מודלים וטכנולוגית AI נדרשות להשתמש רק במודלים מאובטחים על מנת לוודא שהתוכן שהם פולטים יהיה בטוח ואמין אבל גם כדי שהמידע של העובדים והלקוחות לא יזלוג החוצה. חברות שיתברר שהמערכת שלהם פרוצה כי ה-ai שהטמיעו לא מאובטח מספיק, יאלצו להתמודד עם השלכות משפטיות ומוניטין, ממש כמו שקרה לסמסונג, שחלק מהקוד שלה זלג החוצה לאחר שעובד הכניס אותו ל-ChatGPT.

אתגרים אלו ואחרים של אבטחת GenAI ופרטיות נתונים קיימים ללא קשר להיקף שבו ארגון אימץ את GenAI או לסוגי השימושים אליהם הוא מכוון. זו הסיבה שכל ארגון שמשתמש ב-AI כיום או עשוי להשתמש בו בעתיד, עם או בלי הנחיה רשמית של המעסיק, צריך לנקוט בצעדים כבר עכשיו כדי להפחית את סיכוני האבטחה של AI.

עוד בוואלה

הצטרפו לוואלה fiber ושדרגו את חווית הגלישה והטלוויזיה בזול!

לכתבה המלאה

אז איך נאבטח את השימוש ב-GenAI?

הפרקטיקה המומלצת ביותר היא ליצור סביבת עבודה ייעודית המאפשרת לעקוב אחר הנתונים שמשתמשים מכניסים למודלי ה-AI, ולחסום אינטראקציות לא רצויות בזמן אמת, רגע לפני שהן נשלחות למודל ה-AI. כמובן שפתרון כזה חייב להיות מגובה במדיניות ברורה שתקבע מתי וכיצד עובדים יכולים להשתמש בטכנולוגיית GenAI, ואילו פעולות נחשבות להפרת מדיניות שמסכנת את הארגון.

הטמעת אמצעי אבטחה ומדיניות הקשורים לשימוש ראוי בטכנולוגיה היא תהליך פשוט למדי שלאחריו כל ארגון יכול להתחיל להגן על העובדים, הלקוחות והנתונים שלו. מוצרי אבטחה ייעודים ל-GenAI, כמו שפיתחנו ב-Lasso Security, מספקים למנהלי אבטחת מידע מבט-על על כל השימושים הקיימים בטכנולוגיה בארגון, יכולת לנהל מדיניות פרטיות ייעודית, הגדרות לגישה לנתונים ולמידע וכן ניטור וחסימה בזמן אמת של סכנות סייבר ופריצות. בסרטון הבא למשל, הראינו כיצד ליצור סעיפי מדיניות חדשים בנוגע לשימוש בכלי AI.

פתרון נוסף שקיים בשוק הוא לבנות מנוע צ'אט ייעודי לחברה המבוסס על כל המידע של הארגון, שרק לעובדים יש גישה אליו והוא המקום לשאילתות המכילות מידע עסקי חסוי מבלי שידלוף החוצה.

לסיכום, אסור לתת לאבטחת GenAI לחמוק מתחת לרדאר. התוקפים כבר כאן - וחברות וארגונים צריכים לעשות הכל כדי להיות מוגנים ולעמוד בתקנות הרגולציה החדשות.


אלעד שולמן הוא מייסד Lasso Security, המפתחת פתרון ייחודי לאבטחת Generative AI ומודלי שפה גדולים (LLMs).

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    3
    walla_ssr_page_has_been_loaded_successfully