В днешния динамичен цифров пейзаж широкото разпространение на инструментите на изкуствения интелект (AI) променя начина, по който работят организациите. От чатботове до генеративни модели на ИИ, тези приложения, базирани на SaaS, предлагат многобройни ползи – от повишена производителност до подобрено вземане на решения. Служителите, използващи инструменти на ИИ, изпитват предимствата на бързите отговори и точните резултати, което им позволява да изпълняват работата си по-ефективно и ефикасно. Тази популярност е отразена в зашеметяващите цифри, свързани с инструментите на ИИ.

Вайръл  чатботът на OpenAI, ChatGPT, е събрал приблизително 100 милиона потребители по целия свят, докато други генеративни инструменти на ИИ като DALL-E и Bard също са спечелили значителна популярност заради способността си да генерират впечатляващо съдържание без усилие. Очаква се пазарът на генеративен ИИ да надхвърли 22 млрд. долара до 2025 г., което показва нарастващата зависимост от технологиите на ИИ.

Въпреки това, на фона на ентусиазма, свързан с приемането на ИИ, е наложително да се обърне внимание на опасенията на специалистите по сигурността в организациите. Те повдигат основателни въпроси относно използването и разрешенията на приложенията на ИИ в рамките на тяхната инфраструктура: Кой използва тези приложения и за какви цели? Кои приложения за ИИ имат достъп до данните на компанията и какво ниво на достъп им е предоставено? Каква е информацията, която служителите споделят с тези приложения? Какви са последиците от спазването на законодателството?

Важността на разбирането на това кои приложения за изкуствен интелект се използват и какъв е достъпът до тях не може да бъде подценена. Това е основната, но задължителна първа стъпка както към разбирането, така и към контролирането на използването на ИИ. Специалистите по сигурността трябва да имат пълна видимост към инструментите на ИИ, използвани от служителите.

Това знание е от решаващо значение по три причини:

1) Оценка на потенциалните рискове и защита от заплахи

То позволява на организациите да оценяват потенциалните рискове, свързани с приложенията на ИИ. Без да знаят кои приложения се използват, екипите по сигурността не могат ефективно да оценяват и защитават от потенциални заплахи. Всеки инструмент за ИИ представлява потенциална повърхност за атака, която трябва да бъде отчетена: Повечето приложения за изкуствен интелект са базирани на SaaS и изискват токени OAuth за свързване с основни бизнес приложения като Google или O365. Чрез тези токени злонамерените играчи могат да използват приложенията за изкуствен интелект за странично придвижване в организацията. Основното откриване на приложенията е достъпно с безплатните инструменти за SSPM и е основата за осигуряване на използването на AI.

Освен това знанието за това кои приложения за ИИ се използват в организацията помага да се предотврати неволното използване на фалшиви или злонамерени приложения. Нарастващата популярност на инструментите за ИИ привлича заплахи, които създават фалшиви версии, за да заблудят служителите и да получат неоторизиран достъп до чувствителни данни. Като са наясно с легитимните приложения за ИИ и обучават служителите за тях, организациите могат да сведат до минимум рисковете, свързани с тези злонамерени имитации.

2) Прилагане на надеждни мерки за сигурност

Идентифицирането на разрешенията, които приложенията на ИИ са получили от служителите, помага на организациите да прилагат надеждни мерки за сигурност. Различните инструменти за ИИ могат да имат различни изисквания за сигурност и потенциални рискове. Като разбират разрешенията, които са били предоставени на приложенията за ИИ, и дали тези разрешения представляват риск, специалистите по сигурността могат да адаптират съответно своите протоколи за сигурност. Осигуряването на подходящи мерки за защита на чувствителните данни и предотвратяването на прекомерни разрешения е естествената втора стъпка за последваща видимост.

3) Ефективно управление на екосистемата SaaS

Разбирането на употребата на приложения с изкуствен интелект позволява на организациите да предприемат действия и да управляват ефективно своята SaaS екосистема. То дава представа за поведението на служителите, идентифицира потенциални пропуски в сигурността и дава възможност за предприемане на проактивни мерки за намаляване на рисковете (например отнемане на разрешения или достъп на служителите). То също така помага на организациите да спазват разпоредбите за защита на личните данни, като гарантира, че данните, споделяни с приложенията за изкуствен интелект, са адекватно защитени. Мониторингът за необичайно включване на ИИ, непоследователност в използването или просто отнемане на достъпа до приложения за ИИ, които не трябва да се използват, са лесно достъпни стъпки за сигурност, които CISO и техните екипи могат да предприемат днес.

В заключение, приложенията за ИИ носят огромни възможности и ползи за организациите. Те обаче въвеждат и предизвикателства за сигурността, които трябва да бъдат преодолени. Въпреки че специфичните за ИИ инструменти за сигурност са все още в ранен етап, специалистите по сигурността трябва да използват съществуващите възможности за откриване на ИИ и решенията за управление на сигурността на ИИ (SaaS Security Posture Management – SSPM), за да отговорят на основния въпрос, който служи за основа на безопасното използване на ИИ: Кой в моята организация използва кое приложение за ИИ и с какви разрешения? Отговорът на тези фундаментални въпроси може лесно да се постигне с помощта на наличните инструменти за SSPM, като се спестят ценни часове ръчен труд.