בעוד ארגונים רבים ממשיכים להתלבט איך וכמה לשלב Generative AI, העובדים כבר מקדימים אותם. כלים כמו ChatGPT , ג'מיני וקלוד נכנסו לשגרת העבודה היומיומית, והם משמשים לכתיבת קוד, הכנת הצעות, הפקת תובנות ומחקר. ברוב המקרים, השימוש רחב בהרבה מכפי שהנהלות ציפו.
לצד ההזדמנות העסקית, נוצר פה גם מרחב סיכון חדש. ההנחיות – או הפרומפטים – שאנחנו מזינים למערכות הללו עלולות להפוך למקור פוטנציאלי לדליפת מידע רגיש והתנהגויות יומיומיות עלולות להפוך לאירועי אבטחה בעלי השפעה עסקית. האירועים האחרונים בסמסונג, ב־OpenAI וב־Microsoft Copilot המחישו עד כמה דליפה יכולה להתרחש כתוצאה מהתנהלות יומיומית רגילה, לרוב ללא כוונת זדון, ולא מפריצה מתוחכמת וכאן נדרשת אחריות ניהולית.
איסורים גורפים על שימוש ב AI יפגעו בתחרותיות ועלולים לדחוף את העובדים לשימוש נסתר ובלתי מפוקח. מנגד, מתן חופש מלא יחשוף את הארגון לסיכונים שלא ניתן לנהל. הפתרון טמון באמצע – מעבר לגישה של "כן, עם גבולות": גישה מנוהלת ומפוקחת הנעזרת בטכנולוגיות אבטחה מתקדמות המאפשרת לעובדים להפיק ערך מהטכנולוגיה, מבלי לוותר על שליטה ובקרה.
במקביל, גם השוק מתארגן לאפשר זאת. סטנדרטים ראשוניים – כמו רשימת הסיכונים של OWASP – הופכים במהירות לקו מנחה עבור ארגונים המחפשים פתרונות וחברות הזנק שמפתחות פתרונות טכנולוגים. ענקי אבטחה גדולים כנו פאולו אלטו, קאטו וסנטינלוואן זיהו את הפוטנציאל ובחודשיים האחרונים ראינו גל רכישות של חברות הזנק בתחום.
חשוב להבין, Generative AI משנה את כללי המשחק בארגון וסיכוני האבטחה שהוא יוצר דורשים טיפול מיידי. אז מה על מקבלי ההחלטות בארגון לעשות?
- התמקדו במקומות שבו ערך וסיכון נפגשים (למשל, הצעות מכר, סיוע בכתיבת קוד, מחקר).
- קבעו מעקות בטיחות, לא איסורים גורפים. ברירת המחדל: "כן, עם בקרה" כדי שהשימוש ב- AI יישאר גלוי וניתן למשילות.
- אמצו שער גישה ל-AI ונתבו את השימוש בו דרך שירות מנוהל שמונע דליפת מידע ומאפשר ניתוח ובקרה על השימוש.
בשורה התחתונה: ה-Generative AI כבר איתנו ולכן חשוב ורצוי להתייחס אליה כאל זירת האבטחה החדשה, הניתנת לתצפית, ניתנת למשילות ובטוחה כברירת מחדל, שתאפשר לארגון ליהנות מיתרונות ולהגן עליו מהחסרונות שלה.
הכותב הוא מנכ"ל חברת באטמ, המתמחה בפיתוח, ייצור ושיווק מערכות תקשורת וסייבר מתקדמות
