Sztuczna inteligencja rewolucjonizuje wiele aspektów działalności biznesowej, oferując organizacjom nowe możliwości automatyzacji, analizy danych i optymalizacji procesów. Jednak dla dyrektorów ds. bezpieczeństwa informacji (CISO) oznacza to również konieczność stawienia czoła nowym zagrożeniom. W miarę jak AI staje się coraz bardziej zaawansowane i powszechne, cyberprzestępcy również zaczynają wykorzystywać jej potencjał do prowadzenia ataków, co wymusza na firmach wdrażanie skutecznych strategii obronnych.
W wywiadzie opublikowanym w Risk & Compliance Magazine ekspertki z zakresu cyberbezpieczeństwa Gali Gottehrer – VP z Del Monte Fresh Produce Company i Sarah Armstrong-Smith – Chief Security Advisor w Microsoft EMEA, podzieliły się swoimi spostrzeżeniami na temat zagrożeń związanych z sztuczną inteligencją oraz najlepszych praktyk w zakresie zarządzania nimi.
Shadow AI – ukryte zagrożenie wewnętrzne
Jednym z największych wyzwań, przed którymi stoją organizacje, jest zjawisko określane jako „shadow AI”. Coraz więcej pracowników korzysta z nieautoryzowanych narzędzi sztucznej inteligencji w codziennej pracy, często poza wiedzą działów IT. Z raportu Work Trend Index wynika, że aż 75% pracowników umysłowych używa AI w swojej pracy, a 80% z nich robi to przy pomocy narzędzi osobistych, które nie zostały zatwierdzone przez organizację. Taka praktyka stwarza realne zagrożenia dla bezpieczeństwa danych, ponieważ informacje wprowadzane do publicznych modeli AI mogą zostać wykorzystane przez ich dostawców do dalszego treningu algorytmów. Przykładem może być sytuacja, w której pracownik korzysta z zewnętrznego narzędzia AI do generowania raportów, wprowadzając do niego dane objęte tajemnicą przedsiębiorstwa. W efekcie firma może nie tylko utracić kontrolę nad swoimi zasobami informacyjnymi, ale także narazić się na konsekwencje związane z naruszeniem przepisów o ochronie danych osobowych, takich jak RODO.
Zarządzanie ryzykiem związanym z shadow AI wymaga zdecydowanych działań. Organizacje powinny wdrażać polityki ograniczające możliwość korzystania z nieautoryzowanych narzędzi oraz blokować ich instalację na firmowych urządzeniach i sieciach. Kluczowe znaczenie ma także edukacja pracowników – nie wszyscy zdają sobie sprawę z zagrożeń wynikających z niekontrolowanego stosowania sztucznej inteligencji. Firmy mogą również wdrażać własne, bezpieczne modele AI, które będą służyły pracownikom do codziennej pracy, minimalizując ryzyko wycieku danych.
AI jako broń cyberprzestępców
Oprócz zagrożeń wewnętrznych istotnym problemem dla CISO jest także wykorzystanie sztucznej inteligencji przez cyberprzestępców. Atakujący coraz częściej używają AI do generowania bardziej wyrafinowanych kampanii phishingowych, tworzenia realistycznych deepfake’ów oraz automatyzowania ataków ransomware. Generatywna sztuczna inteligencja pozwala na tworzenie fałszywych wiadomości e-mail, których ton i styl są niemal identyczne z autentycznymi komunikatami wysyłanymi przez firmę. W efekcie tradycyjne metody wykrywania phishingu, oparte na analizie gramatycznej i stylistycznej, tracą na skuteczności. Dodatkowo sztuczna inteligencja może być wykorzystywana do omijania zabezpieczeń wieloskładnikowych, analizując wzorce zachowań użytkowników i przewidując ich reakcje.
Sztuczna inteligencja znajduje również zastosowanie w zaawansowanych atakach ransomware. Dzięki zdolności do analizy struktury plików w organizacji AI może automatycznie identyfikować najbardziej wartościowe zasoby i wybierać je jako cele ataku. To zwiększa skuteczność działań cyberprzestępców i utrudnia organizacjom odzyskanie kontroli nad swoimi danymi.
Aby skutecznie przeciwdziałać tym zagrożeniom, organizacje muszą wdrażać rozwiązania oparte na sztucznej inteligencji, które pozwolą na wykrywanie i neutralizowanie podejrzanych działań. Kluczowe znaczenie ma wykorzystanie systemów monitorujących anomalie w sieci, które mogą wykrywać nietypowe zachowania użytkowników i potencjalne próby naruszenia zabezpieczeń. Coraz więcej firm decyduje się także na wdrażanie zaawansowanych algorytmów uczenia maszynowego, które potrafią identyfikować podejrzane wzorce i zapobiegać atakom jeszcze przed ich wystąpieniem.
Nowe regulacje i wymagania dotyczące zgodności
Nowe zagrożenia wymagają także dostosowania strategii zgodności z regulacjami prawnymi. Coraz więcej państw wprowadza przepisy regulujące wykorzystanie sztucznej inteligencji w organizacjach. Przykładem jest EU AI Act, który nakłada surowe wymagania na systemy AI stosowane w krytycznych obszarach, takich jak bezpieczeństwo czy zarządzanie danymi osobowymi. W Stanach Zjednoczonych oraz Europie coraz częściej pojawiają się również regulacje wymagające przeprowadzania audytów AI. Przedsiębiorstwa muszą śledzić te zmiany i dostosowywać swoje procesy do nowych wymagań jak np. wytyczne NIST (AI Risk Management Framework) i ISO 42001 w zakresie zarządzania ryzykiem AI.
Jak CISO mogą skutecznie zarządzać ryzykiem AI?
Dla CISO kluczowe jest nie tylko monitorowanie najnowszych zagrożeń, ale także wdrażanie strategii zarządzania ryzykiem sztucznej inteligencji. Podejście holistyczne, obejmujące zarówno technologię, jak i kulturę organizacyjną, pozwala skutecznie przeciwdziałać zagrożeniom. Eksperci zalecają stosowanie strategii „AI vs. AI”, w której sztuczna inteligencja wykorzystywana jest do ochrony przed cyberatakami opartymi na AI. Niezbędne jest również zwiększenie świadomości pracowników poprzez szkolenia dotyczące deepfake’ów, phishingu AI oraz zagrożeń związanych z manipulacją danymi. CISO powinni również regularnie monitorować nowe trendy i uczestniczyć w branżowych inicjatywach, takich jak AI Governance Alliance, aby być na bieżąco z najlepszymi praktykami.
Skuteczna ochrona przed zagrożeniami AI wymaga także testowania i audytowania modeli sztucznej inteligencji stosowanych w organizacji. Regularne przeprowadzanie analiz pozwala wykrywać potencjalne błędy i minimalizować ryzyko niezamierzonych konsekwencji działania algorytmów.
Podsumowanie
Sztuczna inteligencja to zarówno ogromna szansa, jak i jedno z największych wyzwań dla bezpieczeństwa organizacji. Aby skutecznie chronić swoje dane i systemy, firmy muszą działać proaktywnie, wdrażając strategie obronne oparte na AI, monitorując nowe zagrożenia oraz dostosowując się do zmieniających się regulacji. Przyszłość bezpieczeństwa informacji będzie w dużej mierze zależała od zdolności organizacji do odpowiedniego zarządzania ryzykiem związanym z sztuczną inteligencją i wykorzystania jej potencjału do budowania silniejszych mechanizmów ochrony.
Link do wywiadu: https://riskandcompliancemagazine.com/