99% מהארגונים חושפים מידע רגיש ל-AI
ועושים את זה גם שאין ממש צורך בכך. דוח חדש חושף מספרים דומים גם עבור Shadow AI ו-Ghost Users
ה-AI רוצה את כל המידע שלכם. תמונה: נוצרה באמצעות ChatGPT
לפני עשור עלה לאקרנים הסרט "הנוקמים: עידן אולטרון", שהציג לראשונה את דמותו של אולטרון, תוכנת בינה מלאכותית שנחשפת לכל המידע שבעולם ומגיעה למסקנה שבני האדם הורסים את העולם והגיע הזמן להשמיד אותם. לא בדיוק התסריט הכי מקורי ש-Marvel יכלו לחשוב עליו, אבל סרט מהנה. ולמה נזכרתי דווקא עכשיו באולטרון? כי בדיוק בימים אלו פרסמה חברת Varonis את "דוח מצב אבטחת המידע: מדידת ההשפעה של AI על סיכוני מידע".
לפני שנצלול לדוח, חשוב להבין: ה-AI כבר נמצא בכל מקום. סוכני AI מתחילים להשתלב בארגונים ומספקים שירותים שבעבר ניתנו על ידי בני אדם, מודלי שפה מאפשרים להפיק תובנות עמוקות מתוך דאטה בזמן קצר, והרשימה עוד ארוכה. אבל מהרגע שה-AI משתלב בסביבת העבודה, הוא פועל בדיוק כפי שאולטרון פעל ב"הנוקמים": סורק ומנתח כל נתון שבו הוא נתקל. ואם הוא נחשף למידע רגיש שנמצא במקום הלא נכון, התוצאות עלולות להיות הרות אסון עבור הארגון.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
החוקרים של Varonis בדקו את הסיכונים בממשק שבין אדם למכונה, עד כמה מידע רגיש (משכורות עובדים, מידע מו"פ, קוד מקור ועוד) יכולים עוזרים חכמים וסוכנים לחשוף או לגשת אליו בפעולה אחת פשוטה. בנוסף הם בחנו גם את סיכוני מכונה-למכונה, עד כמה שלם ומדויק המידע שמשמש לאימון מודלים כמו LLM.
Varonis ניתחה נתונים מתוך 1,000 ארגונים שהציגו הערכות סיכון למידע, במטרה לספק תמונה אמפירית של רמת הסיכון, לא רק מסקנות שמבוססות על סקרי מוכנות ל-AI. הדוח מתעמק בסיכונים שנובעים מה-AI, מסביבות ענן, ומשירותי SaaS פופולריים כמו Microsoft 365, AWS, Snowflake, Box, Salesforce ועוד.
ה-AI מכיר את כל המידע שלכם
על פי הדוח, 99% מהארגונים לא מנעו מכלים מבוססי AI להיחשף למידע רגיש, גם כאשר לא היה בכך צורך. 90% מהמידע הרגיש של הארגונים בענן, כולל דאטה ששימש לאימון AI, היה פתוח ונגיש לכלים אלו.
אם זה לא מספיק, ב-98% מהארגונים קיימת בעיה של Shadow AI, עובדים שמשתמשים בתוכנות AI שלא אושרו על ידי צוות ה-IT. בנוסף, ב-88% מהארגונים נמצאו "Ghost Users", משתמשים שממשיכים להיות פעילים ללא סיבה.
המספרים מובילים למסקנה אחת ברורה: מתוך 1,000 הארגונים שנבדקו, לא נמצא אף ארגון שלא נמצא בסיכון לפריצה. בשורה התחתונה הארגונים עדיין לא מוכנים לתעשייה בה בינה מלאכותית נמצאת בכל מקום.
ב-Varonis סיכמו את הדברים כך: הרוב המוחלט של הארגונים, ללא קשר לגודל או תחום, מתקשים ליישם מדיניות אבטחת מידע חזקה ומעודכנת. ככל שה-AI ממשיך להתפתח, חיוני עבור הארגונים להציב את הגנת המידע בעדיפות עליונה וליישם אמצעי אבטחה אפקטיביים.
