کمیته رکن چهارم – کارشناسان امنیت سایبری عقیده دارند که دنیای دیجیتال هر لحظه در حال پیشرفت است و امنیت سایبری باید همزمان با آن رشد کند.
این سوال ممکن است اساسی به نظر برسد، اما یکی از مهمترین مسائلی را که شرکتها در سراسر جهان با آن مواجه هستند، لمس میکند. در واقع، این سؤال بسیار حیاتی است زیرا – علیرغم تلاشهای مکرر برای تقویت سیستمهای دیجیتال در چند دهه گذشته – تهدیدات سایبری شایع شدهاند.
تنها در سال ۲۰۲۲، در مجموع ۴۱۰۰ مورد نقض دادههای حساس رخ داده است. همه اینها در حالی است که سازمانهای سراسر جهان در سال ۲۰۲۱ با هزینه ۱۵۰ میلیارد دلار برای امنیت سایبری یک رکورد ثبت کردند.
نرمافزارها نیز در حال تغییر و پیشرفت هستند. ظهور هوش مصنوعی به طور کلی و هوش مصنوعی مولد به طور خاص، اساساً نحوه استفاده شرکتها از نرمافزار را تغییر میدهد. افزایش استفاده از هوش مصنوعی به نوبه خود سطوح حمله نرمافزار را پیچیدهتر و خود نرمافزار را آسیبپذیرتر میکند.
پس شرکتها چگونه باید نرمافزار و دادههای خود را ایمن کنند؟
تأمین امنیت سایبری یک تلاش بیهوده نیست و در عوض، آنچه شرکتها قصد دارند از برنامههای امنیتی خود به دست آورند، باید تکامل یابد، درست مانند روشی که شرکتها از دادهها و نرمافزارها تکامل یافتهاند. زمان آن است که تلاشهای امنیت سایبری آنها نیز تغییر کند.
به طور خاص، شرکتها میتوانند با ایجاد سه تغییر در روشهای تقویت نرمافزار خود، با ناامنیهای روزافزون دنیای دیجیتال سازگار شوند:
۳ راهی که شرکتها میتوانند امنیت سایبری خود را افزایش دهند
اول، شرکتها نباید در برنامههای امنیت سایبری خود شکست خوردن را نادیده بگیرند. سیستمهای نرمافزاری، هوش مصنوعی و دادههایی که همه بر آنها تکیه میکنند آنقدر پیچیده و شکننده هستند که خرابی در واقع یکی از ویژگیهای این سیستمهاست، نه یک اشکال.
از آنجا که سیستمهای هوش مصنوعی بر پایه احتمال ساخته شدهاند یعنی ممکن است گاهی اوقات اشتباه کنند، از نرمافزارها هم نمیتوان انتظاری فراتر از آنها را داشت زیرا با افزایش پیچیدگی، آسیبپذیریهای آنها نیز افزایش مییابد. به همین دلیل، برنامههای امنیت سایبری باید تمرکز خود را از تلاش برای جلوگیری از حوادث به شناسایی و پاسخ به شکستها در زمانی که ناگزیر رخ میدهند، تغییر دهند.
اتخاذ معماریهای بهاصطلاح اعتماد صفر که بر این فرض استوار است که همه سیستمها میتوانند توسط دشمنان به خطر بیفتند، یکی از راههای اساسی برای شناسایی و پاسخ به این خطرات است. دولت ایالات متحده حتی یک استراتژی اعتماد صفر دارد که آن را در سازمانها اجرا می کند.
با این وجود، پذیرش معماریهای اعتماد صفر تنها یکی از تغییرات زیادی است که باید در مسیر پذیرش شکست در سیستمهای نرمافزاری رخ دهد. شرکتها همچنین باید روی برنامههای واکنش به حادثهشان سرمایهگذاری بیشتری کنند، نرمافزار قرمز و هوش مصنوعی خود را برای انواع خرابیها با شبیهسازی حملات احتمالی، تقویت برنامهریزی داخلی واکنش به حادثه برای نرمافزارهای سنتی و سیستمهای هوش مصنوعی و موارد دیگر، سرمایهگذاری کنند.
دوم، شرکتها باید تعریف خود را از «شکست» برای سیستمها و دادههای نرمافزاری گسترش دهند تا چیزهایی فراتر از خطرات امنیتی را دربرگیرد. خرابیهای دیجیتال دیگر صرفاً به امنیت مربوط نمیشوند، بلکه در عوض اکنون شامل مجموعهای از آسیبهای بالقوه دیگر از خطاهای عملکردی گرفته تا مسائل مربوط به حریم خصوصی، تبعیض و موارد دیگر میشوند. در واقع، با پذیرش سریع هوش مصنوعی، تعریف یک حادثه امنیتی به خودی خود دیگر مشخص نیست.
برای مثال، اطلاعات لاما (LLaMA)، مدل هوش مصنوعی مولد متا در ماه مارس نشت کرد و به هر کاربری این امکان را میداد که مدل چند میلیارد پارامتری را روی لپتاپ خود اجرا کند. این نشت ممکن است به عنوان یک حادثه امنیتی آغاز شده باشد، اما همچنین نگرانیهای مالکیت معنوی جدیدی را در مورد اینکه چه کسی حق استفاده از مدل هوش مصنوعی را دارد ایجاد کرد و حریم خصوصی دادههایی را که مدل بر روی آنها آموزش دیده بود، تضعیف کرد.
پارامترها میتوانند به بازآفرینی دادههای آموزشی آن کمک کنند و بنابراین حریم خصوصی را نقض میکنند و اکنون که به صورت رایگان در دسترس است، این مدل میتواند به طور گستردهتری برای ایجاد و انتشار اطلاعات نادرست استفاده شود. به زبان ساده، دیگر نیازی به در معرض خطر قرار دادن یکپارچگی یا در دسترس بودن سیستمهای نرمافزاری توسط دشمن نیست. تغییر دادهها، وابستگیهای متقابل پیچیده و استفادههای ناخواسته از سیستمهای هوش مصنوعی میتواند به تنهایی منجر به شکست شود.
بنابراین برنامههای امنیت سایبری را نمیتوان صرفاً بر روی نقصهای امنیتی متمرکز کرد. این کار در عمل باعث میشود تیمهای امنیت اطلاعات در طول زمان با افزایش دامنه خرابیهای نرمافزاری، کارایی کمتری داشته باشند. در عوض، برنامههای امنیت سایبری باید بخشی از تلاشهای گستردهتر متمرکز بر مدیریت کلی ریسک را تشکیل دهند.
این به نوبه خود به این معنی است که تیمهای امنیت اطلاعات و مدیریت ریسک باید شامل پرسنلی با طیف گستردهای از تخصص فراتر از امنیت به تنهایی باشند. کارشناسان حریم خصوصی، وکلا، مهندسان داده و دیگران، همگی نقشهای کلیدی در حفاظت از نرمافزار و دادهها در برابر تهدیدات جدید و در حال تکامل دارند.
سوم، نظارت بر عدم موفقیت باید یکی از اصلیترین تلاشها برای همه تیمهای امنیت سایبری باشد. متاسفانه در حال حاضر اینطور نیست. برای مثال، در سال گذشته، شرکتها به طور متوسط ۲۷۷ روز یا تقریباً ۹ ماه طول کشید تا یک نقض را شناسایی و مهار کنند و برای سازمانها بسیار رایج است که در مورد نقضها و آسیبپذیریها در سیستمهای خود نه از برنامههای امنیتی خودشان، بلکه از طریق اشخاص ثالث موضوع را پیگیری کنند. اتکای کنونی به افراد خارجی برای شناسایی، خود یک اعتراف ضمنی است که شرکتها تمام تلاش خود را برای درک زمان و چگونگی خرابی نرمافزارشان انجام نمیدهند.
این در عمل به این معنی است که هر سیستم نرمافزاری و هر پایگاه داده نیاز به یک برنامه نظارتی و معیارهای مربوط به خرابیهای احتمالی دارد. در واقع، این رویکرد در حال حاضر در دنیای مدیریت ریسک برای سیستمهای هوش مصنوعی مورد توجه قرار گرفته است. به عنوان مثال، موسسه ملی استاندارد و فناوری (NIST)، چارچوب مدیریت ریسک هوش مصنوعی (AI RMF) خود را در اوایل سال جاری منتشر کرد که به صراحت توصیه میکند که سازمانها آسیبهای احتمالی را ترسیم کنند که یک سیستم هوش مصنوعی میتواند برنامهای را برای اندازهگیری و مدیریت ایجاد و توسعه دهد.
با این حال، این بدان معنا نیست که اشخاص ثالث نمیتوانند نقش مهمی در تشخیص حوادث ایفا کنند. برعکس، اشخاص ثالث نقش مهمی در تشخیص مشکلات دارند. فعالیتهایی مانند باگبانتی که در آن پاداشها در ازای شناسایی ریسکها ارائه میشود، روشی اثباتشده برای ایجاد انگیزه در تشخیص ریسک است، همانطور که راههای روشنی برای مشتریان یا کاربران برای برقراری ارتباط با خرابیها در صورت وقوع هستند.
آیا توصیههای فوق کافی است؟ مطمئنا نه.
برای همگام شدن برنامههای امنیت سایبری با دامنه رو به رشد خطرات ایجاد شده توسط سیستمهای نرمافزاری، کار بسیار بیشتری باید انجام شود. به عنوان مثال، منابع بیشتری در تمام مراحل چرخه عمر دادهها و نرمافزار مورد نیاز است؛ از نظارت بر یکپارچگی دادهها در طول زمان گرفته تا اطمینان از اینکه امنیت از طریق فرآیندهایی مانند DevSecOps، روشی که امنیت را در طول چرخه عمر توسعه یکپارچه میکند. با افزایش استفاده از هوش مصنوعی، برنامههای علم داده باید منابع بیشتری را در مدیریت ریسک نیز سرمایهگذاری کنند.
با این حال، در حال حاضر، شکستها به طور فزایندهای یکی از ویژگیهای اصلی همه سیستمهای دیجیتال هستند، زیرا شرکتها به یادگیری راه سخت ادامه میدهند. برنامههای امنیت سایبری باید این واقعیت را در عمل تصدیق کنند، اگر نه صرفاً به این دلیل که در حال حاضر در واقع یک واقعیت است.
منبع: افتانا