لقد قيل إن البيانات هي زيت عصر المعلومات. وإذا كان الأمر كذلك، فإن أسبوع خصوصية البيانات هو تذكير جيد بأن معلوماتك ذات قيمة. ينصح هذا الحدث الدولي الأفراد بكيفية حماية بياناتهم، وإدارة إعدادات الخصوصية، واتخاذ قرارات أكثر استنارة بشأن من (وماذا) يتلقى تلك البيانات.
أسبوع خصوصية البيانات هو أيضًا لحظة جيدة للمؤسسات للنظر في ممارسات حماية البيانات الخاصة بها أيضًا. مع زيادة عدد الحلول التي تنشر الذكاء الاصطناعي واستيعاب بيانات المستخدمين والعمل الهجين والمزيد من المستخدمين والأجهزة والاستحقاقات والبيئات أكثر من أي وقت مضى، هناك مخاطر جديدة ومعقدة على بيانات المؤسسات.
في أسبوع خصوصية البيانات، سأستعرض بعض هذه المخاطر الجديدة. سأشرح كيف يمكن للمساعدين الرقميين الجدد ونماذج الذكاء الاصطناعي الجديدة أن تقدم مخاطر أمنية جديدة، ولماذا تشكل حلول حوكمة وإدارة الهوية (IGA) أساس حماية البيانات، وسأقترح بعض أفضل الممارسات التي يمكن للمؤسسات اتباعها للحفاظ على أمان بياناتها.
موضوع أسبوع خصوصية البيانات هذا العام هو "تحكم في بياناتك". وهذا هدف جيد، ولكن مثل معظم الأشياء، فإن القول أسهل من الفعل. فكل جهاز ومستخدم وحساب آلي ومورد يقوم بإنشاء البيانات ونقلها ومعالجتها. لهذا السبب تحتاج المؤسسات إلى برنامج IGA، الذي يوفر للمؤسسات الإمكانيات التي تحتاج إليها:
- الحفاظ على وضوح الرؤية والتحكم في جميع بيانات المؤسسة: لا يمكنك التحكم في ما لا تراه أو تفهمه. تساعد IGA على ضمان وصول الحسابات الصحيحة إلى البيانات الصحيحة من خلال فرض مراجعات منتظمة للوصول وتمكين مالكي البيانات من الموافقة على الأذونات أو إبطالها حسب الحاجة. كما أنه يوفر للمسؤولين لديك إمكانية رؤية ما يمكن للمستخدمين الوصول إليه حاليًا
- ضمان الامتثال المستمر: إحدى فوائد IGA وإمكانية الاطلاع على بيانات مؤسستك إظهار هذا التحكم للمنظمين. يمكن لشركة IGA أتمتة تدفقات العمل وإعداد تقارير التدقيق وشهادات الوصول لإثبات الامتثال للائحة العامة لحماية البيانات العامة GDPR، و GLB، و SOX، و PCI-DSS، و HIPAA، و ARPA، وغيرها من اللوائح التنظيمية الرئيسية.
- حماية البيانات الحساسة: يمكن أن توفر حلول IGA لفريق الأمن لديك رؤى قابلة للتنفيذ حول الوصول إلى البيانات لتحديد الوصول غير المصرح به والتخفيف من حدته، مما يساعد على حماية بيانات العملاء والملكية الفكرية.
تُدخل نماذج الذكاء الاصطناعي التوليدي ونماذج اللغات الكبيرة (LLMs) مخاطر جديدة تحتاج المؤسسات إلى أخذها في الحسبان. تعتمد نماذج Microsoft Copilot و DeepSeek و ChatGPT على مدخلات المستخدم لتدريب نماذجها. بشكل عام، هذا يعني أن كل ما يلصقه المستخدم في المطالبة يصبح جزءًا من النموذج. علاوة على ذلك، إذا كانت مؤسستك تستخدم مساعد ذكاء اصطناعي، فقد يكون للأداة وصول أوسع إلى البيانات المؤسسية، وقد لا يكون لديها ضمانات تحد من وقت استخدام تلك البيانات أو إذا كان ينبغي لها استخدام تلك البيانات أو كيفية استخدامها.
من الواضح أن هذا يمكن أن يعرض مخاطر كبيرة. انظر إلى خدمة Azure Health Bot من مايكروسوفت، والتي "أتاحت الحركة الجانبية عبر الشبكة، وبالتالي الوصول إلى بيانات المرضى الحساسة"، وفقًا تيك رادار. أشار تقرير صدر في أبريل 2024 إلى أن 20% من الشركات البريطانية "تعرضت بيانات الشركة الحساسة المحتملة للكشف عن طريق استخدام الموظفين للذكاء الاصطناعي التوليدي (GenAI)"، وفقًا مجلة إنفوسيكيوريتي. سيسكو تشير التقديرات إلى أن ربع الشركات حظرت الذكاء الاصطناعي التوليدي بسبب هذه المخاوف.
هذه المخاوف لها ما يبررها. تحتاج شركات البحث عن البيانات إلى مجموعة واسعة من بيانات العملاء لتدريب نماذجها، وقد تم تدريب المستخدمين على الثقة في "المربع السحري" من عمليات البحث في جوجل وكتابة ما يبحثون عنه دون خوف. وهذا يمكن أن يعرض المعلومات المالية أو الملكية الفكرية أو معلومات التعريف الشخصية أو غيرها من البيانات الحساسة للخطر.
ليست مدخلات المستخدم وحدها هي التي تنطوي على مخاطر. إذا كان يتم تدريب المساعد على بياناتك، فقد تتمكن الأطراف الثالثة من الاستعلام عنها للعثور على معلومات لا ترغب في نشرها للعامة. وبالمثل، هناك خطر أن يقوم المساعد نفسه ببث المعلومات على أي قناة خارجية يمكنه الاتصال بها.
إذا كانت مؤسستك ستقوم بتثبيت مساعد رقمي، فهناك بعض أفضل الممارسات التي يجب عليك اتباعها للحفاظ على أمنه وأمن فريقك.
أولاً، اطلب من فريق القيادة لديك شرح ما هي المخاطر. وضح أنواع المعلومات التي يمكن للمستخدمين إدخالها وما لا يمكنهم إدخاله. في RSA، أوضحنا لفريقنا أنه يمكنهم إدخال المعلومات المخصصة للاستهلاك العام. أي شيء آخر لا ينبغي أن يكون جزءًا من استعلام المستخدم.
ثانياً، تأكد من تشغيل عناصر التحكم الصحيحة. قد لا تكون هذه دائماً الإعدادات الافتراضية للمساعد: إذا تم تكوينها بشكل غير صحيح، فقد يتمكن مساعدو الذكاء الاصطناعي من الوصول إلى كل شيء على مستوى المؤسسة. تأكد من أن روبوت المحادثة الخاص بك يعرف المعلومات التي يمكنه الاستعلام عنها والمعلومات التي يمكنه إرجاعها. تحتاج المؤسسات إلى عزل البيانات بشكل مناسب، بحيث لا يتلقى المستخدم "س" ردودًا استنادًا إلى ملفات المستخدم "ص"؛ وإلا فإنك تخاطر بأن يقرأ موظفوك رسائل البريد الإلكتروني لبعضهم البعض والوصول إلى معلومات غير مقصودة.
تحتاج أيضًا إلى معرفة ما يمكن لنظامك الوصول إليه، ومتى يكون لديه هذا الوصول، ومتى يقدم توصيات للمستخدمين. تأكد من تطبيق مجموعات القواعد هذه في إطار جميع أدوات الذكاء الاصطناعي التي قمت بنشرها (هناك إصدارات متعددة من برنامج Copilot من Microsoft). ويجب أن تتوافق تلك الأدوات مع وضع أمني متناسق.
أخيرًا، اسأل البائع عما يحدث مع الباحثين والبيانات والردود الخاصة بك. هل يحتفظ بها البائع؟ إذا كان الأمر كذلك، فإلى متى؟ هل يتم تدريب حالات أخرى من الحل على النموذج الخاص بك، أم أنها تبقى كلها خاصة بك؟
لقد ناقشتُ إلى حد كبير المخاطر التي تشكلها نماذج الذكاء الاصطناعي التوليدي والذكاء الاصطناعي التوليدي على مواقف الأمن السيبراني للمؤسسات. تميل هذه النماذج من الذكاء الاصطناعي إلى الحصول على معظم العناوين الرئيسية وتمثل بعضاً من أكبر المخاطر، وذلك فقط لأن المزيد من المستخدمين يدخلون مطالبات في ChatGPT وCopilot، إلخ.
يمكن أن يستفيد الأمن السيبراني أيضًا من الذكاء الاصطناعي - ولكن يحتاج فريقك إلى استخدام النموذج الصحيح. إلى حد كبير، لا تعد نماذج الذكاء الاصطناعي التوليدي والذكاء الاصطناعي التوليدي مناسبة للعمليات الأمنية الآن. فهي بمثابة صندوق أسود ينتج نتائج لا يمكن للمشغل البشري التحقق من صحتها دائماً، ومخرجاتها ليست مفيدة دائماً.
تستند هذه النماذج على نماذج غير حتمية (أضع قيم X، ولا أعرف ما سيخرج). يمكن أن تكون النماذج الحتمية (أضع قيم X، وأعرف ما ستكون النتيجة وكيف سيصل الحل إلى هذا الناتج) مفيدة للغاية للأمن السيبراني.
لقد كنا نستخدم RSA® مخاطر الذكاء الاصطناعي لعقود من الزمن لتوفير رؤى في الوقت الفعلي لطلبات المصادقة. إن الذكاء الاصطناعي للمخاطر هو نموذج تعلّم آلي حتمي قائم على المخاطر يقوم بتقييم عنوان IP الخاص بالمستخدم وإشارات الشبكة، وتحليلات السلوك، والموقع الجغرافي، والإشارات المستندة إلى الوقت، وإشارات التطبيقات، والإشارات المتعلقة بالأجهزة، وغير ذلك لتقييم المخاطر. إذا كانت هذه الإشارات والسلوكيات تعكس السلوك النموذجي للمستخدم بالنسبة له ولبقية المؤسسة، فيتم اعتباره منخفض المخاطر ويمكنه المصادقة باستخدام الأساليب القياسية. إذا كانت تلك السلوكيات تنحرف بشكل كبير، عندئذٍ يقوم النظام بأتمتة تحدي المصادقة التدريجي ويمكنه الإبلاغ عنه لفريق الأمن.
والأهم من ذلك، لا تجمع RSA Risk AI معلومات المؤسسات، ولا نستخدم أي معلومات من عملية نشر معينة لتدريب التكرارات المستقبلية. نحن نقوم بتجزئة وترميز جميع بيانات الذكاء الاصطناعي للمخاطر. يتم نشر كل مثيل للذكاء الاصطناعي للمخاطر لكل مؤسسة من مؤسسات العملاء، ويتم ضبط عمليات النشر هذه على بياناتهم وبياناتهم فقط.
لا تدع أفضل الممارسات التقنية أو النقاط المتعلقة ببنية الأمان تحجب النقطة الرئيسية: بياناتك ذات قيمة. إن الأمر يستحق وقت المؤسسات ومواردها للاستثمار في الأدوات والعمليات والإجراءات التي يمكن أن تحافظ على أمانها.
إذا كان لديك أي أسئلة حول كيفية القيام بذلك، فنحن هنا من أجل المساعدة.
