בא לבקר במאורת הנמר: נמרוד וקס, BigID

באחרונה ביקר אצלי במאורה נמרוד וקס, סמנכ"ל המוצר (CPO) ומייסד שותף בחברת BigID, ענקית אבטחת המידע המתמחה בחיבור בין דאטה לבינה מלאכותית. וקס הגיע במיוחד כדי לספר על החזון לניהול והגנה על מידע ופרטיות.

שוחחנו על כך שעם ההתפשטות המהירה של מערכות בינה מלאכותית בארגונים, הולך וגדל גם הסיכון: מה קורה כשהעובדים מזינים מידע רגיש למערכות חיצוניות כמו ChatGPT? איך ניתן לדעת אילו מודלים פועלים בתוך הארגון, גם כאלה שהגיעו "מהדלת האחורית"? ואיך מבטיחים שה-AI לא משתמשת במידע שאסור לה לגעת בו?

וקס הרחיב וסיפר לי כי בדיוק על השאלות האלה עונה BigID, שהפלטפורמה שלה מאפשרת לארגונים להבין לעומק את המידע שברשותם, לזהות נתונים רגישים, לעקוב אחרי מי ניגש אליהם ואיך משתמשים בהם, וליישם אוטומטית כללים של פרטיות, אבטחה וציות רגולטורי.

למעשה פגשתי במאורה את וקס ממש עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות בישראל. התיקון הזה נועד להדק את הפיקוח על הדרך שבה ארגונים בישראל מנהלים ושומרים מידע אישי, ולהטיל סנקציות כבדות על מי שיחרוג מהסטנדרטים. לדברי וקס, "ישנה הנחה שגויה שמנהלים בארגונים יודעים בדיוק אילו נתונים מצויים ברשותם, היכן הם נשמרים וכיצד הם משמשים. במציאות של 2025, שבה בינה מלאכותית חודרת לכל שכבות הארגון ולעיתים 'בדלת האחורית', זו הנחה מנותקת מהשטח. ללא כלים טכנולוגיים לניטור בזמן אמת, לארגון אין שליטה אמיתית על המידע. לכן, מי שלקוחותיו חשובים לו, לא רק שיצטרך להישמע לחוק, אלא אף להשית על עצמו נהלים מחמירים יותר ממה שהחוק דורש".

מהחזון ועד Shadow AI

בשיחתנו עדכן אותי וקס על כך ש-BigID מעסיקה כיום 600 עובדים ברחבי העולם, מתוכם כ-150 במרכז הפיתוח בישראל. החברה מספקת פתרונות לניהול, סיווג והגנה על כל סוגי המידע, בין אם מובנה או בלתי מובנה, כולל זיהוי כפילויות, קלסיפיקציה לפי רגישות וזיהוי בעלי המידע. הפתרון שמציעה החברה בנוי כפלטפורמה שמסייעת לממש זכויות פרטיות של משתמשים, כמו הזכות להישכח או עדכון העדפות, ולפי וקס – הוא מבטיח עמידה ברגולציה בינלאומית כמו GDPR ו-CCPA.

בשנתיים האחרונות השקיעה החברה בהרחבת הפלטפורמה והתאמתה לעידן הבינה המלאכותית: "כחברה טכנולוגית שעומדת בחזית החדשנות, אנו שואפים שהפתרון שלנו אפילו יקדים את השוק", אמר וקס, "וכך באופן טבעי התפתחנו לתחום אבטחת הבינה המלאכותית (AI Security). אנו מגלים, מקטלגים ומגינים על מידע בלתי מובנה (Unstructured), שהוא חיוני לבנייה של מערכות AI", סיפר.

באירוע הסייבר Black Hat שנערך באחרונה בלאס וגאס, השיקה החברה סדרה של פתרונות שנועדו לעזור לארגונים לנצל את היתרונות של בינה מלאכותית יוצרת (GenAI) מבלי לאבד שליטה על הדאטה הרגיש של הארגון והמשתמשים. "כך למשל", סיפר, "הפלטפורמה שלנו מאפשרת כעת סיווג מידע חכם בשפה טבעית (Prompt-Based Classification), תשתית ניהול וניטור רציפה שנותנת תמונה כוללת של כלל הפעילות בארגון הקשורה ל-AI ולמידע, מערכת ניהול סיכונים ייעודית לסיכוני בינה מלאכותית (AI TRiSM) ואולי הכי חשוב – גילוי Shadow AI".  

המשפט האחרון של וקס מתייחס לאחת התופעות המטרידות ביותר כיום והיא כניסה לא מנוהלת של בינה מלאכותית לארגונים, מבלי שהארגון מודע לכך או מאשר זאת. זה יכול להיות, למשל, כשהעובד מעלה מסמך רגיש לכלי כמו ג'מיני, או משתמש במודל פתוח מהאינטרנט לצורך עבודה שגרתית, בלי ליידע את צוותי ה-IT או האבטחה. BigID מספקת יכולת לזיהוי אוטומטי של אותם שימושים חבויים: היא מגלה מודלים שלא מנוהלים על ידי הארגון, מאתרת מידע אישי או רגיש שמשמש את אותם כלים, וממפה את כל השימושים – מי משתמש, באילו כלים, ובאילו הקשרים. 

וקס סיכם וציין כי "החזון המעודכן שלנו הוא לחבר את הנקודות בין מידע ובינה מלאכותית, ולעזור ללקוחות שלנו לצמצם סיכונים, ליישם אוטומציה של בקרות אבטחה ופרטיות, לעמוד בדרישות רגולציה ולהבין לעומק את כלל המידע הארגוני שלהם מקצה לקצה".