החזית החדשה של המנמ"ר: לאזן בין AI לאבטחת מידע

העשור האחרון הביא עימו פריצה חסרת תקדים ביכולות AI. ארגונים מכל הסוגים – ממוסדות פיננסיים ועד חברות תעשייה – מגלים מחדש איך אפשר להפוך תהליכים, להאיץ פיתוחים ולייצר ערך מיידי ללקוחות באמצעות אלגוריתמים מתקדמים. אולם ככל שהמערכות נעשות חכמות יותר, כך גם הסיכונים מתרחבים.

הדור החדש של מודלים ג'נרטיביים – המסוגל להפיק טקסט, קוד ותמונות על סמך נתוני אימון עצומים – מחייב תפישה מודרנית של אבטחת מידע: אין מדובר עוד רק בהגנה על שרתים, אלא בהגנה על הדאטה, על התהליכים ועל ההקשרים העסקיים. השילוב של AI עם נכסי ידע רגישים אינו שני עולמות נפרדים – אלא עולמות משותפים. קווים מקבילים שאינם נפגשים אך נעים יחד זה לצד זה.

הכיוון שאליו הולכת התעשייה הוא שילוב הדוק יותר בין מודלי GAI לבין מערכות אבטחת מידע עצמן. במקום לראות באבטחה גורם "מעכב" לחדשנות, היא הופכת לגורם מאיץ

מעבר ממערכות אנליטיות למודלים ג'נרטיביים

במשך שנים רבות התמקדו הארגונים במערכות אנליטיות מסורתיות: BI, OLAP, ניתוח מגמות ותחזיות. המודלים הג'נרטיביים (Generative AI – GAI או GenAI) משנים את כללי המשחק. במקום לנתח את העבר, הם מייצרים תכנים ותובנות חדשות בזמן אמת' ופותחים צוהר ליצירת מסמכים, תוכניות, הצעות מחיר ודו"חות באופן אוטומטי.

אך כוח כזה מביא איתו גם אחריות. חשוב להפריד בין שני מוקדים שונים של סיכון: מצד אחד ניהול הסיכונים הנוגע לחשיפת מידע עסקי פנימי: אסטרטגיות, מודלים עסקיים ותהליכים תפעוליים; ומצד שני החשש מחשיפת נתוני לקוחות ופרטים אישיים, שעלולה להוביל להפרות פרטיות חמורות. כל תחום דורש מדיניות אחרת, כלים שונים וסטנדרטים רגולטוריים נפרדים. ההבנה הזו מחייבת את ההנהלות לבנות שני מסלולי הגנה שונים אך מתואמים, מבלי לבלבל ביניהם.

אינטגרציה בטוחה עם מידע ארגוני

הטמעת GAI בארגון איננה עוד פרויקט טכנולוגי שגרתי, אלא תהליך רב-שלבי שכרוך באסטרטגיה, תיאום ותשתיות. ראשית יש לקבוע גבולות ברורים: אילו נתונים מותר למודל לצרוך ואילו חייבים להישאר מבודדים. שנית, יש להפעיל מנגנוני "אנונימיזציה" ו"טוקניזציה" של מידע רגיש, כדי שגם אם המודל יפיק תוכן נגזר, הוא לא יוכל להסיק פרטים מזהים. מעבר לכך, לעיתים אין די בסינון מידע, יש צורך לסדר מחדש את מאגרי המידע שהמודל לומד מהם, לנקות כפילויות, לאחד פורמטים ולוודא שהמידע עדכני ורלוונטי. מידע שאינו מסודר כראוי עלול להוביל לפלטים שגויים ולסיכונים חדשים.

נוסף על כך, ארגונים נדרשים לנהל את המתח שבין הרצון בהשגת ניצחונות מהירים – PoC (ר"ת Proof of Concept) שמדגים יכולות מרשימות לבין הדרישה הקפדנית לאבטחת מידע. לא ניתן להתייחס לשני השלבים באותה מידה: בזמן הפיילוט ניתן לעיתים לפעול בגמישות רבה יותר, אך ברגע שעוברים לעבוד עם נתוני אמת, נדרשת זהירות אחרת לגמרי. זהו שינוי תפישתי קריטי: להבין שמודל שעובד נהדר ב-PoC אינו בהכרח מוכן לפרודקשן.

רגולציה, אתיקה וייעוץ חיצוני

העולם הארגוני מגלה יותר ויותר שאין די בהכוונה פנימית בלבד. חלק מהארגונים אכן מקימים ועדות אתיקה פנימיות לאישור שימושים חדשים, אך בפועל קיימת גם מגמה הולכת וגוברת של פנייה לספקים חיצוניים וחברות ייעוץ שמספקות שירותי ליווי משפטיים, טכנולוגיים ואתיים בתחום ה-AI. גורמים כאלה מציעים לארגונים לא רק עצות משפטיות "יבשות", אלא גם ראייה מערכתית רחבה הכוללת פרספקטיבה טכנולוגית ועסקית. עצם המעורבות של מומחים חיצוניים מאפשרת להנהלות לבחון את עצמן מבחוץ, לזהות "עיוורונות" פנימיים ולתקף את האסטרטגיה שלהן מול הסטנדרטים המתפתחים בעולם.

השימוש בה בארגונים מחייבת שינוי תפישתי במונחי אבטחת מידע. GenAI. צילום: Shutterstock

האתגר האנושי והתרבותי

הטכנולוגיה לבדה אינה מספיקה. ארגונים רבים טועים לחשוב שהטמעת AI היא בעיקר עניין של רכש ופיתוח, אך בפועל מדובר גם בשינוי תרבותי עמוק. צוותי פיתוח צריכים ללמוד לעבוד עם "בן צוות" חדש, שהוא מודל בינה מלאכותית. מנהלים צריכים להגדיר מדיניות לשימוש אחראי: מה מותר להזין למודל ומה לא, מהו זמן התגובה הרצוי ואיך מתמודדים עם טעויות. לצד זאת יש צורך בהדרכות ייעודיות לכלל העובדים, החל ממפתחים ועד אנשי שירות לקוחות, כדי לבנות הרגלי עבודה נכונים ולהפנים עקרונות של שימוש אחראי. ללא הכשרות כאלה, הארגון עלול למצוא עצמו משלם מחיר יקר על חוסר מודעות או טעות אנוש.

הנחת העבודה צריכה להיות שלא כל עובד יודע להבחין מה מותר ומה אסור להזין למודל. לכן ההדרכות חייבות לשלב לא רק טכניקה אלא גם קונטקסט עסקי ומשפטי. דוגמאות חיות לשגיאות נפוצות, תרחישים של "דליפת מידע" כתוצאה משימוש לא נכון, והסבר ברור על גבולות השימוש – כל אלה יוצרים חוסן דיגיטלי אמיתי, שמגן על הארגון לא פחות מאשר חומת אש או אנטי וירוס.

עתיד משולב – חדשנות עם הגנות

הכיוון שאליו הולכת התעשייה הוא שילוב הדוק יותר בין מודלי GAI לבין מערכות אבטחת מידע עצמן. במקום לראות באבטחה גורם "מעכב" לחדשנות, היא הופכת לגורם מאיץ: מודלים חכמים יכולים לזהות פרצות בזמן אמת, לאתר דפוסי תקיפה ולהצליב מידע ממקורות שונים. במקביל, אותם מנגנוני אבטחה יכולים להגן על המודלים עצמם מפני שימוש זדוני או גניבת ידע. מדובר במעגל שלם: AI משרת את האבטחה, והאבטחה מגנה על ה-AI. כך נבנה אקוסיסטם אחד: עולמות משותפים ולא נפרדים, שמייצרים ערך עסקי חדש אך גם שומרים על אמון הלקוחות והרגולטורים.

היום, יותר מתמיד, ברור שלא ניתן להפריד בין בינה מלאכותית לבין אבטחת מידע. מי שמטמיע GenAI במידע ארגוני חייב לראות את המהלך כמסע הוליסטי. החל בתכנון תשתיתי וכלה בתרבות עבודה. ארגונים שישכילו לשלב את שני התחומים' ייהנו לא רק מביצועים טובים יותר אלא גם מיתרון תחרותי מבוסס אמון ושקיפות.

זהו הצעד הבא באבולוציה של טכנולוגיה עסקית: חדשנות שאינה מתפשרת על הגנה, ומודל עסקי שמניח את אבטחת המידע כיסוד בלתי נפרד מהצמיחה והיצירתיות.

הכותב אמיר עוז הוא יועץ טכנולוגי לארגונים, בעיקר בתחום האשראי החוץ בנקאי; הכותב טל מצרי משמש כמנמ"ר וסמנכ"ל טכנולוגיות בחברת לואן ווייז