Искусственный интеллект быстро стал краеугольным камнем современного бизнеса, стимулируя инновации и эффективность во всех отраслях. Но поскольку компании все больше полагаются на ИИ для решения деликатных задач, они также подвергают себя новым уязвимостям безопасности.
Компании, которые интегрируют ИИ в свою деятельность, становятся более автономными и получают доступ к более конфиденциальным данным и системам. В результате директора по информационной безопасности сталкиваются с новыми проблемами кибербезопасности. Традиционные методы обеспечения безопасности, разработанные для пользователей-людей и обычных машин, не соответствуют требованиям применительно к ИИ. Поэтому для организаций крайне важно устранять возникающие уязвимости, если они хотят предотвратить проблемы безопасности, вызванные неконтролируемой интеграцией ИИ, и защитить свои наиболее ценные информационные активы.
Проповедник наступательных исследований в CyberArk Labs.
Содержание
ИИ: Больше, чем просто машины
Каждый отдельный тип удостоверения имеет свою роль и возможности. Люди обычно знают, как лучше всего защитить свои пароли. Например, для каждого естественно не использовать один и тот же пароль несколько раз или выбирать пароль, который очень легко угадать. Машины, включая серверы и компьютеры, часто хранят пароли или управляют ими, но уязвимы для взлома и не могут предотвратить несанкционированный доступ.
Сущности ИИ, включая чат-ботов, сложно классифицировать с точки зрения кибербезопасности. Эти нечеловеческие идентификаторы управляют важными корпоративными паролями, но существенно отличаются от традиционных идентификаторов компьютеров, таких как программное обеспечение, устройства, виртуальные машины, API и боты. Таким образом, ИИ не является ни человеком, ни машиной; он занимает уникальное положение. Он сочетает в себе обучение, управляемое человеком, с автономией машин и для функционирования требует доступа к другим системам. Однако ей не хватает рассудительности, чтобы установить границы и предотвратить разглашение конфиденциальной информации.
Увеличение инвестиций, отсутствие безопасности
Компании вкладывают огромные средства в искусственный интеллект. 432 000 британских компаний (что эквивалентно 16%) заявляют, что они внедрили хотя бы одну технологию искусственного интеллекта. Внедрение ИИ – это уже не тенденция, а необходимость. Таким образом, ожидается, что расходы на новые технологии будут продолжать расти в ближайшие годы. Рынок искусственного интеллекта Великобритании в настоящее время оценивается более чем в 16,8 млрд фунтов стерлингов и, как ожидается, к 2035 году вырастет до 801,6 млрд фунтов стерлингов.
Однако быстрые инвестиции в ИИ часто опережают меры по обеспечению безопасности личных данных. Компании не всегда понимают риски, которые несет ИИ. В результате следование передовым практикам безопасности или инвестирование достаточного времени в обеспечение безопасности систем искусственного интеллекта не всегда находятся на первом месте в списке приоритетов, что делает эти системы уязвимыми для потенциальных кибератак. Кроме того, традиционные методы обеспечения безопасности, такие как контроль доступа и правила наименьших привилегий, трудно применимы к системам ИИ. Другая проблема заключается в том, что специалисты по безопасности с трудом находят достаточно времени для защиты рабочих нагрузок ИИ, учитывая все то, что они уже делают.
Отчет CyberArk об угрозах безопасности личных данных за 2024 год показывает, что 68% британских организаций сообщают, что до половины их машинных идентификаторов получают доступ к конфиденциальным данным, но только 35% включают эти идентификаторы в свои определения привилегированных пользователей и принимают необходимые меры по обеспечению безопасности личных данных. Это упущение рискованно, поскольку системы искусственного интеллекта, загруженные текущими обучающими данными, становятся ценными целями для злоумышленников. Компромиссы в сфере ИИ могут привести к раскрытию интеллектуальной собственности, финансовой информации и других конфиденциальных данных.
Угроза облачных атак на системы искусственного интеллекта
Угрозы безопасности системам ИИ не уникальны, но их масштабы и масштабы могут быть уникальными. LLM постоянно обновляются новыми данными обучения от компании и после развертывания быстро становятся основной целью для злоумышленников. Поскольку обучение требует от них использования реальных данных, а не тестовых данных, эта актуальная информация может раскрыть ценные конфиденциальные секреты компании, финансовые данные и другие конфиденциальные активы. Системы искусственного интеллекта по своей сути доверяют получаемым данным и поэтому особенно уязвимы для обмана при раскрытии конфиденциальной информации.
В частности, облачные атаки на системы искусственного интеллекта обеспечивают горизонтальное перемещение и взлом, позволяя злоумышленникам использовать уязвимости системы и заставлять ее распространять ложную информацию среди общественности. Компрометация личных данных и учетных записей в облаке широко распространена, при этом многие громкие нарушения происходят в результате кражи учетных данных и наносят значительный ущерб крупным брендам в технологическом, банковском и потребительском секторах.
ИИ также может использоваться для более сложных кибератак. Например, злоумышленники могут проанализировать каждое отдельное разрешение, связанное с определенной ролью в организации, и оценить, могут ли они использовать это разрешение для легкого доступа и перемещения внутри организации.
Так каков же разумный следующий шаг? Компании все еще находятся на ранних стадиях интеграции искусственного интеллекта и LLM, поэтому внедрение надежных методов обеспечения безопасности личности займет время. Однако директора по информационной безопасности не могут позволить себе сидеть сложа руки и ждать; Они должны активно разрабатывать стратегии по защите личности ИИ до того, как произойдет кибератака или новое регулирование вступит в силу и заставит их сделать это.
Ключевые шаги по усилению безопасности ИИ
Хотя не существует универсального решения для обеспечения безопасности ИИ, компании могут предпринять определенные шаги для снижения рисков. Более конкретно, есть некоторые ключевые действия, которые директора по информационной безопасности могут предпринять для повышения безопасности своих ИИ-идентичностей по мере развития отрасли.
• Обнаружение совпадений: Директора по информационной безопасности должны уделить первоочередное внимание выявлению областей, в которых существующие меры безопасности идентификации могут быть применены к ИИ. Использование существующих средств контроля, таких как управление доступом и принципы наименьших привилегий, где это возможно, может помочь повысить безопасность.
• Защита окружающей среды: Крайне важно, чтобы директора по информационной безопасности понимали среду, в которой работает ИИ, чтобы защитить его максимально эффективно. Хотя покупка платформы безопасности ИИ не является необходимостью, обеспечение безопасности среды, в которой происходит деятельность ИИ, имеет важное значение.
• Создание культуры безопасности ИИ: Без четкого понимания безопасности ИИ трудно побудить всех сотрудников внедрить лучшие методы обеспечения безопасности личных данных. Привлечение экспертов по безопасности к проектам ИИ означает, что они могут передать свои знания и опыт всем сотрудникам и обеспечить осведомленность всех о рисках использования ИИ. Также важно учитывать, как обрабатываются данные и как обучаются LLM, чтобы побудить сотрудников задуматься о том, что влечет за собой использование новых технологий, и быть еще более осторожными.
Использование ИИ в бизнесе открывает как большие возможности, так и беспрецедентные проблемы безопасности. По мере того, как мы ориентируемся в этом новом ландшафте, становится ясно, что традиционные меры безопасности не могут справиться с уникальными рисками, создаваемыми системами искусственного интеллекта. Роль директоров по информационной безопасности больше не ограничивается управлением традиционными угрозами кибербезопасности; теперь это также включает в себя признание особой природы личности ИИ и соответствующую ее защиту. Поэтому компаниям необходимо инвестировать время и ресурсы в поиск правильного баланса между инновациями и безопасностью, чтобы идти в ногу с последними тенденциями и одновременно защищать свои наиболее ценные активы.
Мы представили лучший телефон с искусственным интеллектом.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
