מחקר: AI – ערוץ חילוץ הנתונים מספר 1 בארגונים

בינה מלאכותית היא כבר כיום הערוץ הבלתי מבוקר הגדול ביותר לחילוץ נתונים ארגוניים. דרך ערוץ זה נאספים נתונים – שחלקם עלול להיות מודלף – שהוא גדול יותר מהנתונים הנאספים במערכות SaaS בלתי ידועות למנמ"רים (shadow SaaS), או שיתוף קבצים לא מנוהל; כך לפי מחקר חדש של חברת אבטחת AI ודפדפנים הישראלית LayerX.

ממצאי המחקר חושפים: הבעיה עם AI בארגונים אינה הלא נודע של המחר – אלא זרימות העבודה הנערכות על בסיס יומיומי – היום. נתונים רגישים כבר זורמים ל-ChatGPT, לקלוד, ולקופיילוט בשיעורים מדהימים, בעיקר דרך חשבונות לא מנוהלים וערוצי העתקה/הדבקה בלתי נראים. כלי מניעת דליפה, DLP, מסורתיים – שנבנו עבור סביבות מבוססות קבצים מורשות – לא יכולים לסייע במקרים אלה.

לפי המחקר, כבר בתוך שנתיים בלבד, כלי AI הגיעו לרמות אימוץ בהיקפים גבוהים ובמהירות – בהשוואה לאימוץ טכנולוגיות אחרות, דוגמת אינטרנט, דוא"ל ואחסון דיגיטלי, שהאימוץ שלהן ארך שנים. אלא, שלפי המחקר, האימוץ המהיר לא לווה בבקרות וממשל, מה שגורם לכך שכשני שלישים משימושי בינה מלאכותית מתרחש באמצעות חשבונות אישיים לא מנוהלים. מצב זה מותיר את מנהלי אבטחת המידע עיוורים לגבי שימוש זה ומה הנתונים שבהם נעשה שימוש. היקף הנתונים ורגישותם הם המדאיגים: 40% מהקבצים שהועלו לכלי בינה מלאכותית יוצרת, GenAI – הכילו נתוני PII או PCI (מידע אישי רגיש או מידע פיננסי מסווג בכרטיסי ובמערכות אשראי).

נתון מדאיג נוסף הוא ערוץ הדליפה האמיתי, העתק/הדבק. 77% מהעובדים מדביקים נתונים בכלי GenAI, ו-82% מפעילות זו מגיעה מחשבונות לא מנוהלים. בממוצע, עובדים מבצעים 14 הדבקות ביום באמצעות חשבונות אישיים, כשלפחות שלוש מהן מכילות נתונים רגישים.

"ה-העתקה/הדבקה אל תוך כלי GenAI היא וקטור חילוץ של נתונים ארגוניים מספר אחד. זהו לא רק עיוורון טכנית – מדובר בעניין תרבותי. יש לעדכן את תוכניות האבטחה: הן נועדו לסרוק קבצים מצורפים ולחסום העלאות לא מורשות. הן מפספסות באופן מוחלט את האיום הצומח ביותר".

חשבון ארגוני ≠ מאובטח

אתגר נוסף של מנהלי אבטחת מידע בארגונים טמון בתפיסה השגויה, לפיה, חשבונות ארגוניים מעניקים גישה מאובטחת. לפי המחקר, עובדים משתמשים באישורים ארגוניים עבור פלטפורמות ERP ו-CRM – שהן בסיכון גבוה, גם לטובת פעולות אישיות. כך, למערך ה-IT ולאנשי האבטחה אין מידע אחוד על הכניסות הללו, אין נראות ואין בקרה ושליטה.

גם מערכות המסרים המיידיים הן סיכון אבטחה שגדל במהירות, ומכונה על ידי החוקרים "הערוץ הצומח ביותר של דליפת נתונים: הודעות מיידיות הן הסיכון השקט". כך, 87% מכלל היקף השימוש בצ'אט ארגוני מתרחש בחשבונות לא מנוהלים, ו-62% מהמשתמשים מדביקים בהם נתונים רגישים.

"כך, 'צל ה-AI' ו-'צל הצ'אט' יוצרים במשולב נקודת עיוורון כפולה, בה נתונים רגישים דולפים כל הזמן לסביבות לא מבוקרות".

"הממצאים מציירים תמונה קשה: צוותי אבטחה מתמקדים בשדות הקרב הלא נכונים. המלחמה על אבטחת המידע איננה בשרתי קבצים או בשירותי SaaS מאושרים. שדה הקרב החדש הוא בדפדפן, שבו העובדים משלבים חשבונות אישיים וארגוניים, עוברים בין כלים מורשים לכלים שאינם כאלה, ומעבירים נתונים רגישים בצורה חלקה בין שניהם", סיכמו החוקרים, "יש להתייחס לאבטחת AI כקטגוריית ליבה ארגונית, ולא כקטגוריה מתפתחת. יש לערוך בקרה על הבינה המלאכותית בדיוק כמו על מערכות שיתוף דוא"ל וקבצים – עם ניטור הדוק ועקבי. יש לעבור מ-DLP ממוקד קבצים ל-DLP ממוקד פעולה. הנתונים עוזבים את הארגון לא רק באמצעות העלאת קבצים אלא גם בדרכים אחרות. המחקר חושף אמת מפתיעה על הנתונים: בינה מלאכותית היא לא רק מהפכת פרודוקטיביות, היא גם קריסה של מערכות הבקרה והממשל על ה-IT והנתונים. הכלים שהעובדים הכי אוהבים הם גם אלה שהכי פחות מבוקרים. הפער בין האימוץ לפיקוח גדל מדי יום ויש לכך השלכות דחופות. בינה מלאכותית כבר מוטמעת בתהליכי עבודה, מטפלת בנתונים רגישים ומהווה וקטור מוביל לאובדן נתונים ארגוניים. AI לא רק תעצב את עתיד העבודה, היא תכתיב את עתיד פרצות הנתונים".