קפיצה של 890% בשימוש בבינה מלאכותית יוצרת בארגונים
אבל גם זינוק באירועי אבטחה, אפליקציות לא מאושרות ו-Shadow AI שצומח מתחת לרדאר
כל הארגונים אוהבים את ה-AI שלהם. תמונה: נוצרה באמצעות ChatGPT
שנת 2024 הייתה השנה שבה הבינה המלאכותית היוצרת נכנסה סופית לארגונים. לא רק דרך דוחות הנהלה, אלא דרך עובדים, מיילים, שיחות, קוד והתיעוד של כל העוסקים במלאכה. לפי דוח חדש של פאלו אלטו נטוורקס, תנועת המשתמשים ליישומי GenAI בארגונים זינקה ב־890% תוך שנה אחת בלבד. אבל לצד ההתלהבות והאימוץ המהיר, הדוח הזה חושף גם את מה שצוותי ה־IT כבר מרגישים היטב: אנחנו רצים מהר מדי, בלי חגורת בטיחות.
יותר משתמשים ב־GenAI פירושו גם יותר מידע רגיש שנשפך החוצה בלי בקרה. לפי הנתונים, חלה עלייה של פי 2.5 באירועים הקשורים למניעת אובדן מידע (DLP), כשכבר היום אחד מכל שבעה אירועי אבטחה בארגון נובע משימוש ביישומי GenAI. המשמעות: גם אם ChatGPT כותב לכם אחלה סיכום לפגישה, הוא עלול לקחת איתו בטעות את תכנית הפיתוח הסודית עליה אתם תולים את כל תקוות הארגון.
ובואו נודה באמת: רוב הארגונים לא באמת יודעים אילו כלים בשימוש. הדוח מצא שבכל ארגון שבו נערך המחקר, ישנו שימוש בממוצע ב־66 אפליקציות GenAI שונות. 10% מהן סווגו על ידי פאלו אלטו כ״בעלות סיכון גבוה״. אם להגיד את זה בפשטות: תוספים, בוטים וסוכני AI לא מאושרים שנכנסים דרך הדפדפן או Slack, פועלים מול מערכות פנימיות, ומדליפים מידע בלי שאף אחד מבחין.
התופעה הזו קיבלה בדוח את השם Shadow AI: כמו Shadow IT, רק מתוחכם יותר. מדובר בעובדים שמשתמשים בכלי AI אישיים בלי שמישהו ב־IT בכלל מודע לכך. לפעמים זו אפליקציה שקיבלה גישה למסמכי Google Drive, לפעמים זה תוסף שמקליט שיחות תמיכה ו"שולח תקציר", ולפעמים זו ספריית קוד שמתחברת ברקע לאיזה API חיצוני. התוצאה: דלתות אחוריות שהארגון אפילו לא יודע שהוא פתח.
אז מה עושים עם כל זה?
פאלו אלטו נטוורקס מציעה שלושה כיוונים מרכזיים. הראשון הוא הבנת השימוש בפועל, כלומר לא רק לכתוב תקנון על AI אלא ממש לנטר מה קורה. שימוש ב־CASB או כל פתרון שיכול למפות אפליקציות בענן הוא נקודת פתיחה טובה. השני הוא הגנה על המידע הרגיש בזמן אמת, עם מערכות DLP שמחוברות לשכבת התוכן. כן, כולל מה שהמשתמש מדביק בצ׳אט. והשלישי (באופן מאוד לא מפתיע) הוא אימוץ גישת Zero Trust גם בהקשר של בינה מלאכותית. כלים חדשים צריכים להתחבר דרך ממשקים מבוקרים, עם בקרת הרשאות ומעקב אחר שימוש בפועל, גם אם הם לא מופיעים ברשימת האפליקציות המורשות של מחלקת הרכש.
מצד אחד, הארגון לא יכול להרשות לעצמו ליפול בפח של Shadow AI, אפליקציות לא מאושרות ודליפות של קניין רוחני. מצד שני, קשה להתעלם מהעובדה ש-GenAI הפכה לכלי עבודה ממשי. כ־84% מהשימושים שנבדקו בדוח היו לצרכים לגיטימיים כמו כתיבה, תיעוד, תכנות, ניהול שיחות פנימיות וחיפוש מידע.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
זו לא שאלה של "האם לאמץ" אלא איך לאפשר את האימוץ בצורה שקופה, בטוחה ומבוקרת. ופה בדיוק נכנס התפקיד של צוותי ה-IT: לא לחסום את הקדמה, אלא לנתב אותה למסלול שמתאים לארגון.
כמו שיוני אלון, סמנכ״ל מחקר ופיתוח בפאלו אלטו, סיכם: ״ארגונים רבים אימצו במהירות את הבינה המלאכותית היוצרת מבלי להבין עד הסוף את הסיכונים הטמונים בה. המטרה שלנו היא לאזן בין חדשנות לאבטחה״. האיזון הזה לא יקרה לבד.
