לא רק הגברת פרודוקטיביות: ה-AI מחייב ארגונים לנהל הרשאות ולסווג מידע קריטי
לא רק הגברת פרודוקטיביות: ה-AI מחייב ארגונים לנהל הרשאות ולסווג מידע קריטי
טכנולוגיית הבינה המלאכותית ממשיכה לשנות את העולם העסקי בקצב מהיר ועל פי דו"ח של גרטנר, עד שנת 2025, כ-75% מהארגונים בעולם ישלבו לפחות כלי AI אחד בתהליכי העבודה שלהם. כלים אלו מספקים יתרונות משמעותיים: הם משפרים את היעילות הארגונית, מסייעים בניתוח נתונים בקנה מידה גדול ומאפשרים קבלת החלטות מדויקת יותר, מעלים את ההספק ואיכות העבודה ומייצרים סקייל-אפ כמעט בכל תהליך בעבודה. עם זאת, לצד היתרונות, השימוש בטכנולוגיות אלו מעלה אתגרי אבטחת מידע מורכבים המצריכים פתרונות מתקדמים.
השימוש הגובר בכלי AI מציף עבור ארגונים אתגר חדש ומשמעותי בכל הנוגע לגישה של עובדים למידע רגיש. טכנולוגיות מסוג זה המאפשרות אוטומציה של תהליכים, מייצרות מכשולים גדולים בניהול המידע ודורשות ניהול מדוקדק של הרשאות. הגישה הנרחבת שהכלים הללו מספקים למידע פנים ארגוני, עשויה להוביל למצב בו עובדים שאינם מוסמכים נחשפים למידע רגיש כמו פרטים אישיים של עובדים אחרים, נתונים פיננסיים או תוכניות אסטרטגיות של החברה.
דוגמה לכך היא היכולת של עובד או עובדת לבקש מכלי AI בשפה פשוטה, גישה ושליפת מסמכים מסיימים והמערכת יכולה מספקת את המידע הזה עבור העובד באופן מיידי, כלים אלו מאפשרים לעובדים לגשת, גם בלי כוונה שלילית, לנתונים ולמידע שהם אינם מורשים להיחשף להם וכך עלול להיווצר סיכון שבו מידע מסווג ידלוף. דוגמה נוספת, בה יש כוונת זדון, היא ביצוע מתקפת פישינג על עובדיו של ארגון מסוים ובמידה וההרשאות בארגון אינן מנוהלות נכון ניתן בקלות לגשת לכל המידע הארגוני, גם אם המתקפה הצליחה לגשת לעובד זוטר.
בשנים האחרונות, ארגונים חוו עלייה דרמטית בכמות דליפות המידע, בעקבות חוסר מעקב אחר הגישה לנתונים שניתנת לכל עובד. לפי דוח של Varonis, ב-2022 היו מעל ל-1,800 דליפות מידע מתועדות בארה"ב בלבד, שהביאו לדליפת מידע של יותר מ-422 מיליון אנשים. על פי הדוח, הגורם העיקרי של דליפת המידע היה היכולת של עובדים לגשת לתיקיות בעלות מידע רגיש. למעשה, ב-51% מהחברות שנבדקו בדוח, נמצא שהן אפשרו גישה ליותר מ-100,000 תיקיות לכל העובדים, מה שהפך את המידע החשוב לנגיש גם למי שאין לו הרשאה לכך.
ההשלכות של דליפות מידע כאלה חמורות במיוחד כאשר מדובר במידע אישי רגיש או במידע עסקי אסטרטגי. לדוגמה, בדליפת מידע גדולה ב-2022, דלף מידע של 69 מיליון לקוחות של Neopets לאחר שהאקרים הצליחו לפרוץ למערכות החברה במשך יותר משנה, ורק אז הדליפה נחשפה. במקרים אחרים, עובדים זוטרים ניגשו בטעות למידע כמו נתוני שכר או תוכניות אסטרטגיות של החברה, והמידע הגיע לגורמים שאינם מורשים, מה שיכול להוביל לנזק כספי ותדמיתי עצום.
חשוב לציין שדליפות מידע אינן רק פגיעה ישירה בארגון, אלא יש להן גם השלכות רחבות יותר על השוק כולו. דוח של IBM מציין כי העלות הממוצעת של דליפת מידע עומדת על כ-3.9 מיליון דולר, כאשר אובדן עסקי מהווה חלק משמעותי מהעלות הכוללת.
הפתרון הראשון והחשוב ביותר להתמודדות עם אתגרי האבטחה הוא ניהול קפדני של גישה למידע וסיווג של המידע הארגוני הקריטי. על הארגון לוודא שכל עובד מקבל את הגישה למידע הרלוונטי לו ולתפקידו. טכנולוגיות מתקדמות לניהול זהויות וגישה (IAM) מאפשרות לארגונים ליצור בקרות גישה מורכבות, המבוססות על תפקידים וסמכויות, וכך יש להן את היכולת לצמצם את הסיכון שבו עובד יקבל גישה למידע מסווג.
בנוסף, יש להשקיע במערכות לזיהוי גישה אנומלית, שיכולות לסמן גישות בלתי שגרתיות למידע רגיש, ולנטר את הפעילות המתרחשת במערכות הארגון. מערכות אלו מאפשרות תגובה מהירה ויעילה כאשר מתגלים סימנים לניסיונות גישה חריגים.
מעבר לכלים הטכנולוגיים, ארגונים חייבים להשקיע בהדרכות מתמשכות לעובדים בנושא אבטחת מידע והגנה על פרטיות. הדרכות אלו צריכות להבטיח שכלל העובדים מודעים לסיכונים הנלווים לשימוש ב-AI, ולחשיבות השמירה על מדיניות הגישה למידע. גם הנהלת הארגון צריכה להיות מעורבת בקביעת מדיניות ברורה ואכיפה עקבית של נהלי אבטחת מידע.
האתגר הגדול ביותר העומד בפני ארגונים בעידן ה-AI הוא שילוב היתרונות הטכנולוגיים עם שמירה על רמת אבטחה גבוהה. ככל שיותר ארגונים ימשיכו להטמיע פתרונות AI, כך יעלה הצורך בפתרונות מתקדמים יותר לניהול ואבטחת מידע. ארגונים שיפעלו בצורה אחראית ויוכלו לשלב את הטכנולוגיות החדשות עם נהלי אבטחה קפדניים, יוכלו ליהנות מהיתרונות של AI תוך צמצום הסיכונים הנלווים.
שירן בראלי היא Head of Research בסייארה