מסמך ההמלצות האחרון של מערך הסייבר הלאומי, מבהיר משהו שצריך להדאיג כל מנהל: גם ארגונים שהשקיעו בהגנות קלאסיות חשופים לסיכוני AI באופן משמעותי.
למה? כי AI הוא לא עוד תוכנה שאפשר "לאבטח". זו שכבת סיכון מהותית חדשה שמתנהגת אחרת מכל מה שהכרנו.
חשבו על זה ככה: יש לכם חומות, יש לכם שערים, יש לכם מצלמות, אבל פתאום נפתחת מנהרה מתחת לאדמה שאתם לא יודעים שהיא קיימת. זה AI בארגון מודרני. הוא מהווה פרצה שקיימת גם כשעשיתם את כל מה שנדרש מכם.
הפער המסוכן בין "עשינו הכל נכון" למציאות
גם ארגונים שהטמיעו מדיניות אבטחת מידע מקיפה, הדרכות עובדים שוטפות, כלי DLP ומניעת דליפות, וניטור SOC מסביב לשעון ועשו הכל לפי הספר, פגיעים.
אם חלק מהעובדים משתמשים ב-ChatGPT, Claude, Gemini או Copilot כדי לנסח חוזים עם פרטי לקוחות, לנתח מסמכים פיננסיים פנימיים, לכתוב קוד עם מפתחות API בתוכו, או לסכם פגישות רגישות – אתם חשופים ואף אחד לא ניטר את זה. אף אחד לא סיווג את המידע שהוזן. אף אחד לא בדק איפה המידע יושב ומי עוד יכול לעבד אותו.
הארגון עשה הכל נכון בעולם הישן, אבל בעולם החדש הוא חשוף לגמרי.
למה ה-AI הוא לא סתם עוד באג שאפשר לתקן?
הנקודה שארגונים לא תופסים היא שהסיכון הוא לא באג שאפשר לתקן, הוא מובנה בארכיטקטורה של מערכות.
מערכות AI של היום מאמנות על המידע שלכם, גם אם הספק מבטיח שלא, כי התשתית עצמה מעבדת ושומרת נתונים כחלק מתהליך העבודה. הן מייצרות תשובות משכנעות גם כשהן שגויות, והארגון מקבל החלטות עסקיות על בסיס מידע שעשוי להיות לא מדויק.
הן חושפות דפוסים לא צפויים במידע, מה שאומר ש-AI יכול לחשוף קשרים בין נתונים שלא התכוונתם שיתגלו. בנוסף, הן משמשות וקטור תקיפה חדש לחלוטין תוקפים משתמשים ב-AI כדי ליצור מסעי פישינג מושלמים, לחקות מנהלים בצורה משכנעת ולעקוף הגנות שנבנו כנגד איומים מסורתיים.
המשמעות המשפטית היא ברורה: דליפה דרך AI היא עדיין דליפה.
היא יכולה להיחשב כרשלנות, הפרת חובת סודיות, הפרת החובה לאבטחת מידע והפרת חובת הגנת פרטיות. הסבר כמו "אבל לא ידענו שהעובד השתמש ב-AI". לא יתקבל, מבחינת החוק, הארגון אחראי לשלוט במידע שלו בין אם זה דולף דרך אימייל, דרך הדפסה, או דרך מערכת AI.
בחינה מחדש של אימוץ AI בארגונים
מנהלים היום לא יכולים פשוט לומר לעובדים שלהם "אל תשתמשו ב-AI", זה כמו להגיד החל משנות ה-90 "אל תשתמשו באינטרנט". הטכנולוגיה כבר כאן, והיא תישאר. ארגונים שלא יפתחו Governance ל־AI לא יעצרו את השימוש בו, הם רק ידחפו אותו למחתרת הארגונית.
אז מה מנהלים צריכים לעשות. לגבש מסמך מדיניות. לעצור ולבחון את הכנסת AI לתהליכים בארגון. השאלה הראשונה והכי חשובה היא איפה ה-AI בארגון שלכם? באמת, לא מה שאושר רשמית, אלא מה שקורה בפועל. אילו כלים העובדים משתמשים בהם מאחורי הקלעים, בלי ידיעת ההנהלה?
השאלה השנייה היא איזה מידע זורם דרך המערכות האלה. האם מדובר במידע ציבורי שלא נורא אם הוא דולף, או שמא מדובר במידע פנימי, נתונים רגישים, או מידע אישי של לקוחות, שהדליפה שלו יכולה להיות הרסנית? ומעבר לכך, יש לכם בכלל בקרה על הפלט? מי בודק שהמידע שיוצא ממערכות ה-AI נכון? מה קורה כשהוא משמש בהחלטות עסקיות קריטיות, חוזים משפטיים או ניתוח סיכונים פיננסיים?
השאלה המשפטית היא האם יש לכם בסיס חוקי לשימוש הזה. עיבוד מידע דרך AI הוא עיבוד מידע לכל דבר ועניין. יש לכם בסיס חוקי? יש תיעוד? יש הסכמה מהלקוחות? והשאלה התפעולית היא מה קורה כשיש אירוע. אם יש חשד לדליפה איך אתם חוקרים את המקרה? איך אתם משחזרים מה הוזן למערכת ולאן המידע הלך?
גישת Zero Trust לעולם ה-AI
המסמך של מערך הסייבר ממליץ על אימוץ גישת Zero Trust גם לעולם ה-AI, המשמעות היא שאין אמון מובנה, לא במשתמשים ולא במערכות. בפועל זה אומר מיפוי מלא של כל שימושי ה-AI בארגון, סיווג מידע לפני הזנה, בקרת גישה מותאמת לרגישות המידע, ניטור שוטף של מה שנכנס ומה שיוצא, אימות אנושי לכל פלט קריטי, ותיעוד מלא לצורכי ביקורת ורגולציה. כאן לא מדובר סתם בניהול IT, מדובר בניהול סיכונים ארגוני אסטרטגי שמזכיר יותר פעולה של הגנת ביטחון מידע במערכת הביטחון.
בדיוק כפי שבשנים האחרונות נוצר שוק ענק של שירותי GDPR ו-DPO, כך עכשיו נוצר שוק חדש: שירותי התאמה ורגולציה ל-AI. ארגונים כבר מתחילים להבין שהם צריכים מיפוי וסיווג שימושים, בניית מדיניות ייעודית, הטמעת בקרות ייעודיות, וליווי משפטי ורגולטורי. זה כבר לא Nice to have זה תנאי בסיס לניהול סיכונים עסקיים במציאות החדשה.
פעולה עכשיו או מחיר אחר כך
אמצעי הבינה המלאכותית הם מנוע צמיחה מדהים, אך גם וקטור סיכון חדש לגמרי. הארגונים שיפעלו עכשיו, שיעצרו רגע, יבחנו מחדש את התשתית שלהם, ויבנו מערך בקרה נכון , הם אלה שייצרו לעצמם יתרון תחרותי. הם יוכלו להשתמש ב-AI בביטחון יחסי, בשקיפות ובהגנה מלאה, ולקצור את היתרונות העסקיים בלי לשלם את המחיר.
מי שימשיך להאמין ש"עשינו הכל נכון" בעולם הישן מספיק גם לעולם החדש, ישלם את המחיר. בדליפות מידע שיכולות להרוס מוניטין, בקנסות רגולטוריים שיכולים להגיע למיליונים, ובנזק עסקי ותדמיתי שלוקח שנים לתקן. השאלה היא לא אם לאמץ את הבינה המלאכותית, אלא איך לעשות את זה נכון , בטוח, מבוקר, ומוגן מפני הסיכונים החדשים שהטכנולוגיה הזו מביאה איתה.
עו"ד רפאל בייפוס עוסק בהגנת פרטיות, אבטחת מידע וניהול סיכוני AI בארגונים
תוכן האתר אינו מהווה ייעוץ השקעות
המידע המופיע באתר זה, לרבות כתבות, סקירות, ניתוחים, נתונים וכל תוכן אחר, מיועד למטרות כלליות, אינפורמטיביות ולימודיות בלבד, ואין לראות בו המלצה, חוות דעת, ייעוץ או תחליף לייעוץ השקעות אישי ו/או שיווק השקעות המותאם לצרכים הספציפיים של אדם מסוים.
המידע אינו מהווה הצעה או הזמנה לרכישה או למכירה של ניירות ערך או כל נכס פיננסי אחר. כל אדם המעוניין לבצע פעולות השקעה, חייב לבחון את המידע באופן עצמאי, תוך התחשבות במצבו הכלכלי, צרכיו האישיים ורמת הסיכון המתאימה לו.
השימוש במידע שפורסם באתר הוא על אחריות המשתמש בלבד.
המערכת והחברה המפעילה אינם אחראים לכל הפסד או נזק שייגרמו, במישרין או בעקיפין, כתוצאה משימוש במידע, הסתמכות עליו או ביצוע פעולה כלשהי בהסתמך עליו.
לפני קבלת כל החלטת השקעה, יש להתייעץ עם יועץ השקעות מוסמך ובעל רישיון מתאים.
