В неотдавнашна рубрика писах за почти повсеместното разпространение на изкуствения интелект (ИИ) в разработването на софтуер, като проучване на GitHub показва, че 92% от базираните в САЩ разработчици използват инструменти за кодиране с ИИ както в работата, така и извън нея. Виждайки последващия скок в производителността си, много от тях участват в т.нар. „AI в сянка“, като използват технологията без знанието или одобрението на ИТ отдела на своята организация и/или на главния служител по сигурността на информацията (CISO).

Това не бива да ни изненадва, тъй като мотивираните служители неизбежно ще търсят технологии, които увеличават потенциала им за създаване на стойност, като същевременно намаляват повтарящите се задачи, които пречат на по-предизвикателните, творчески занимания. В края на краищата, точно това прави изкуственият интелект не само за разработчиците, но и за всички професионалисти. Неодобреното използване на тези инструменти също не е нещо съвсем ново, тъй като сме виждали подобни сценарии при ИТ в сянка и при софтуера като услуга в сянка (SaaS).

Въпреки това, дори и да заобикалят фирмените политики и процедури с добри намерения по начина „не питай/не казвай“, разработчиците (често несъзнателно) въвеждат потенциални рискове и неблагоприятни резултати чрез ИИ. Тези рискове включват:

„Слепи петна“ в планирането и надзора на сигурността, тъй като CISO и техните екипи не са наясно с инструментите за изкуствен интелект в сянка и следователно не могат да ги оценят или да помогнат за управлението им.

1. Въвеждане на уязвим код от ИИ, който води до разкриване/изтичане на данни
2. Недостатъци по отношение на съответствието, причинени от несъобразяването на използването на ИИ с регулаторните изисквания
3. Намалена производителност в дългосрочен план. Макар че ИИ осигурява първоначално повишаване на производителността, той често създава проблеми с уязвимостта и екипите в крайна сметка работят назад по поправките, защото те не са били разгледани от самото начало.

Ясно е, че ИИ сам по себе си не е опасен по своята същност. Липсата на надзор върху начина, по който той се прилага, засилва лошите навици за кодиране и слабите мерки за сигурност. Под натиска да произвеждат по-добър софтуер по-бързо от всякога, членовете на екипа от разработчици могат да се опитат да направят кратък път – или да се откажат напълно – от прегледа на кода за уязвимости от самото начало. И отново, CISO и техните екипи са държани в неведение, без да могат да защитят инструментите, защото дори не знаят за тяхното съществуване.

И така, как CISO да извадят от сянката кодирането с помощта на ИИ, за да извлекат максимална полза от ползите за производителността, като същевременно избягват уязвимостите? Като го приемат – в противовес на цялостното му потискане – и изпълняват следния план от три точки за създаване на разумни предпазни огради и повишаване на способностите за осъзнаване на сигурността сред членовете на екипа за разработка:

1. Идентифицирайте реализациите на изкуствен интелект. CISO и техните екипи трябва да набележат къде – и как – се внедрява ИИ през целия жизнен цикъл на разработката на софтуер (SDLC)… Кой въвежда тези инструменти? Какъв е техният набор от умения в областта на сигурността? Какви стъпки предприемат, за да избегнат ненужни рискове? Как прилагаме въздействащо обучение, за да повишим нивото на уменията/съзнанието на разработчиците, в чийто код, подпомаган от ИИ, често се откриват уязвимости? Чрез картографиране на SDLC екипите по сигурността могат да определят кои фази – като проектиране, тестване или внедряване – са най-податливи на неразрешено използване на ИИ.
2. Култивиране на култура, ориентирана към сигурността. От съществено значение е да се затвърди посланието, че нагласата за „проактивна защита“ от самото начало всъщност ще спести време на разработчиците в дългосрочен план, вместо да увеличи работното им натоварване, с елиминиране на поправките „работа назад“ по пътя. За да достигнат до това състояние на оптимално – и безопасно – кодиране, членовете на екипа трябва да се ангажират с култура, ориентирана към сигурността, която не се доверява сляпо на резултатите от ИИ. Когато тази култура се наложи напълно – подсилена от редовно обучение – тези специалисти ще признаят, че наистина е най-добре да се иска разрешение, а не прошка. Те ще разберат, че трябва да информират CISO за това какво искат да използват и защо, при изграждането на аргументация за придобиването на даден инструмент. След това CISO трябва ясно да илюстрират потенциалните рискови последици от инструмента и да обяснят как тези съображения допринасят за одобрението или неодобрението на неговото внедряване. Ако мислещите за сигурността разработчици стигнат до заключението, че приемането на недостатъчно проверен продукт с изкуствен интелект ще доведе до повече проблеми, отколкото си заслужава, те е по-вероятно да уважат решението на своя CISO.
3. Стимулиране на успеха. Когато разработчиците се съгласят да „извадят ИИ от сянката“, те добавят стойност за своята организация. Тази стойност трябва да бъде възнаградена под формата на повишения и по-креативни/предизвикателни проекти. Като установят критерии за измерване на уменията и практиките в областта на сигурността на членовете на екипа, CISO ще могат да идентифицират тези, които са се доказали като кандидати за по-големи отговорности и кариерно израстване, и да отправят такива препоръки към колегите си мениджъри и изпълнителни директори.

Всъщност, когато културата на първо място е насочена към сигурността, разработчиците ще възприемат защитеното внедряване на ИИ като пазарно умение и ще реагират по съответния начин. От своя страна CISO и техните екипи ще могат да изпреварват рисковете, вместо буквално да бъдат заслепени от ИИ в сянка. В резултат на това организациите ще видят, че техните екипи по кодиране и сигурност работят заедно, за да гарантират, че производството на софтуер е по-добро, по-бързо – и по-безопасно.

Автор: Матиас Мадо, Ph.D.