כיצד על מנהלי אבטחת המידע והסייבר להתמודד עם אתגרי ה-AI?

מנהלי אבטחת המידע והסייבר הם בין הפונקציות החשובות בארגונים, בפרט בעידן של ריבוי מתקפות וטכנולוגיות חדשות שמציבות איומים חדשים, כמו ה-AI. בלעדיהם, כל המידע הארגוני יכול "ללכת פייפן", כמו שאמרו פעם. כלומר – להיפרץ, להיעלם ולהילקח על ידי האקרים, שידרשו תמורת שחרורו דמי כופר, וגם אם הארגונים ישלמו להם – הם לא תמיד ישחררו אותו. הארגונים יכולים להיות מותקפים גם בהעדר מנהלי אבטחת מידע וסייבר, כי ההאקרים מתוחכמים מאוד, אבל כל הנהלה "רצינית" מכירה בכך שאיתם ועם מוצרי ההגנה שהם מנהלים, הסיכון הזה פוחת.

מהם האתגרים שהבינה המלאכותית מעמידה בפני מנהלי אבטחת המידע והסייבר, וכיצד עליהם להתמודד איתם? שאלה זו (או, בעצם שתי שאלות אלה) עמדה במוקד פאנל של אנשי מקצוע בתחום, שנערך אתמול (א'), במסגרת מפגש של הפורום המקצועי CSC מבית אנשים ומחשבים, שעוסק בנושא זה. מנחת הפאנל הייתה מנהלת טכנולוגיות הסייבר צופית שחר, והשתתפו בו ירון לבנה מבנק הפועלים; אלעד שולמן מלאסו אבטחה וחוקרת הסייבר מאיה סטריקובסקי לזר.

שחר נתנה את ה-"כותרת" של הפאנל: "המטרה היא להכיר את הסיכונים החדשים והמתעצמים, ולחנך את הארגון איך לטפל בהם". משתתפי הפאנל הרחיבו על פתרון האתגר – או, יותר במדויק, איך לעשות זאת, למשל בהקשר של הבינה המלאכותית. לדברי סטריקובסקי לזר, "האתגר הראשון של ארגונים בנושא זה הוא להחליט האם הם מאפשרים שימוש ב-AI. יש הרבה מאוד סיכונים ואתגרים בשימוש בבינה מלאכותית – עסקיים, טכנולוגיים ואתגרי סייבר, והפתרונות להם עדיין לא מספיק בשלים".

"אחד האתגרים הגדולים של ארגונים בנושא הבינה המלאכותית", לדברי שולמן, "הוא שעובדים משתמשים בבינה מלאכותית יוצרת (GenAI), גם אם ארגונים לא עושים זאת ואף חוסמים את השימוש, ומנהלי האבטחה והסייבר לא יודעים באילו כלים העובדים משתמשים. במקרים שבהם יש איסור על שימוש ב-AI בארגון, העובדים מוצאים דרך לעקוף אותו. אחד האתגרים הראשונים של הארגונים בהקשר זה הוא להבחין באילו כלים הם משתמשים, היכן הם משתמשים בהם ואיזה מידע ארגוני מועבר באמצעותם. בהמשך, עליהם לבנות תשתיות שמגלות האם יש בעיות ואיך עוצרים את זה".

שולמן אמר כי על מנהלי האבטחה והסייבר לפעול לאימוץ אחיד של טכנולוגיות בכלל ו-AI בפרט, כלומר: שכלל העובדים והמנהלים בארגון יאמצו אותן על פי כללים ודרכי פעולה אחידים. "כמו כן", ציין, "על מנהלי האבטחה והסייבר להיות בצמתי קבלת ההחלטות מה ייושם, ולהקפיד שלא תתקבלנה החלטות שיהפכו את הטכנולוגיות האלה ל-'מחשוב צללים'".

איך ניתן להבטיח שפתרונות ה-AI לא יהפכו לנקודות חולשה?
לבנה: "הכול תלוי ביישום. יש את הרגולציה החיצונית ואת התקנים שמנחים איך להתייחס עם טכנולוגיות ויישומים כאלה. צריך לאמן נכון את המודלים ולא ללמד מודלים מתחרים את המידע הארגוני".

איך ארגונים מבטיחים שהם לא מאחסנים נתונים לא רלוונטיים?
שולמן: "קודם כל, צריך להבדיל בין הגרסאות של מוצרי ה-GenAI למשתמשים הפרטיים לגרסאות לארגונים. אלא שלא לכל הכלים יש גרסאות עסקיות. בנוסף, צריך לזכור שהמודעות לאבטחה קיימת ועובדת במקרה הטוב אצל חמישית מהעובדים בלבד. לכן, צריך לשים חסמים: איזה מידע ארגוני יכול לעבור, איזה יכול לעבור בתנאים ואיזה בכלל לא. על מנהלי האבטחה והסייבר לשים כמה שיותר פילטרים שאפשר.

אחת הבעיות היא שימוש בטכנולוגיות של צד שלישי. במקרה שכזה, לעיתים, מנהלי האבטחה והסייבר בארגון לא יכולים לדעת באיזה LLM (ר"ת Large Language Model – מודל שפה גדול) משתמשים ברקע. יכול להיות שכלי אחד של GenAI עונה תשובה אחת, ולמחרת מחליפים אותו בכלי אחר, שעונה תשובה אחרת. הפתרונות הקיימים לא יכולים למנוע את זה לגמרי".

כיצד ניתן להכשיר ארגונים כך שינסחו מדיניות אבטחה לבינה מלאכותית ויישמו אותה?
סטריקובסקי לזר: "יש כאן שלוש אבני דרך עיקריות, שהראשונה שבהן היא ניסוח מסמכי מדיניות ונהלים, שמתווים איך להטמיע בינה מלאכותית בצורה בטוחה, כיצד להשתמש נכון בכלים האלה ומה לעשות כשדולף מידע רגיש. קיימות שתי אסכולות: כאלה שאומרים שצריך להוסיף פסקה על AI למסמכים הקיימים בארגון, וכאלה שאומרים שצריך ליצור מסמך ייעודי.

אבן הדרך השנייה קשורה לבקרות הטכנולוגיות. למשל, הפעלת כלי ה-DLP (ר"ת Data Loss Prevention – מניעת איבוד מידע), זיהוי אנומליות ושימוש חריג, והקפצת ההתראות המתאימות. כל זאת עם אדפטיביות ל-AI.

אבן הדרך השלישית היא ההדרכה של המשתמשים, כולל שכבת ההנהלה הבכירה. צריך לחלק אותם לקבוצות של בעלי עניין ולהתאים את ההדרכה לכל אחת מהן, לתת לכל אחת מהן את הדגשים הייעודיים לה".

לסיום, מהן התחזיות והמגמות בכל הנוגע להשפעת הבינה המלאכותית על מצב הסייבר בארגונים?
סטריקובסקי לזר: "אנחנו נמצאים בתחילת הדרך ובקצה הקרחון של האפשרויות שכלי ה-AI יכולים לתת לנו. זה ייגע בכל המגזרים ויגיע גם לאבטחת המידע. יש בהקשר זה שלושה אתגרים מרכזיים: הראשון – שיפור של תהליכי עבודה ותהליכים יומיומיים בכלל בארגון. השני – כל מה שקשור לעולמות ה-SOC, ה-SIEM וה-SOAR. המחסור בכוח האדם עם המורכבות בהטמעת כלים והווריאציות הרבות של מתקפות שנוצרות בכל יום מקשים על ארגונים להתמודד, וכלי AI יזהו לנו בכך. הם אולי אף יהוו הקו הראשון של ההגנה. אנחנו עוד לא שם, אבל נהיה שם ונסמוך על הכלים האלה כמה שיותר. האזור השלישי הוא מה שקשור לאיסוף מידע, כלי AI שיעזרו להפיק תובנות שיוכלו לשמש אותנו בהיבטי אבטחת המידע".

שולמן: "גם התוקפים ישתמשו לא מעט בכלי AI, והמתקפות יהיו הרבה יותר מתוחכמות. בעתיד הקרוב, נער בן 15 יוכל לבצע מתקפות שכיום רק מדינות יכולות לעשות. יהיו הרבה תמורות בשנים הקרובות וצריכים להיות מאוד ערניים, להגיב בהתאם – ומהר".

לבנה: "להגנה מבוססת בינה מלאכותית יש יתרונות מסחריים וכלי הגנת הסייבר ייתרמו מכך, למשל בקיצור זמני התגובה לאירועים".