Mnoge se tvrtke žele koristiti AI tehnologijom kako bi povećale produktivnost, kreativnost i vrijednost poslovanja, ali mnogi zaboravljaju kolike rizike nekontrolirani pristup AI-ju zapravo nosi
S obzirom na to da umjetna inteligencija postaje svakodnevica, postavlja se pitanje sigurnosnih izazova pri njezinu korištenju. Vedran Vujasinović, direktor Direkcije za informacijsku sigurnost u Setcoru, upozorava da i tvrtke kod korištenja AI-ja moraju biti vrlo oprezne.
Kako na umjetnu inteligenciju gledati sa sigurnosnog stajališta?
– Najveći sigurnosni izazov je osigurati da se AI modeli ne mogu zloupotrijebiti na štetu korisnika, a istodobno se i dalje teži razvijanju inteligentnih sustava koji su ranjivi na iste kategorije kao i ljudi, poput etike, altruizma i manipulacije. Na primjer, umjetna inteligencija ne bi smjela davati upute o provali u vozilo, ali što ako se postavi pitanje u kontekstu spašavanja ugroženog djeteta koje treba hitno odvesti u bolnicu? Potrebno je stoga osigurati da AI sustavi donose ispravne i etične odluke.
Kako u okružju AI-ja spriječiti rizike, poput curenja povjerljivih podataka?
– Sigurnosni rizici mogu se promatrati iz nekoliko perspektiva. Prvo, zaposlenici mogu nehotice ili namjerno izložiti povjerljive informacije tvrtke njihovim unosom u generativni AI poput ChatGPT-ja, primjerice, tražeći da se napravi prezentacija na temelju dokumenta s povjerljivim informacijama. Drugo, AI može generirati sadržaj poput kôda, slike ili dokumenta za koje ne znamo izvor, a zaposlenici mogu neoprezno integrirati taj neprovjereni sadržaj u svoje aplikacije, sustave za podršku ili produkcijske sustave.
Treće, hakeri i kriminalci mogu upotrijebiti AI za stvaranje savršeno napravljenih lažnih phishing mailova koji mogu proći kroz zaštitne mehanizme i doći do cilja, time i do povjerljivih podataka. Tako se i napadači bez prethodnog iskustva mogu koristiti AI-jem za učinkovite napade, što predstavlja veliki sigurnosni izazov. Stoga je važno poduzeti mjere kako bi se osiguralo da su podaci korišteni za treniranje AI modela provjereni i sigurni, algoritmi transparentni, da se može pratiti donošenje odluka te da se AI modeli ne mogu zloupotrijebiti za napade ili neovlašteno prikupljanje podataka.
Kako se sigurno usvajaju generativne AI aplikacije?
– Danas se mnoge tvrtke žele koristiti AI tehnologijom kako bi povećale produktivnost, kreativnost i vrijednost poslovanja, ali mnogi zaboravljaju kolike rizike nekontrolirani pristup AI-ju zapravo nosi. Na primjer, može li tvrtka dopustiti da zaposlenici šalju tajni izvorni kôd putem AI-ja na internet? Zna li uopće tvrtka da se to događa?
Da bismo sigurno usvojili generativne AI aplikacije potrebno je imati pregled trenutačnog stanja korištenja AI aplikacija u tvrtki i donijeti odluke i politike o tome što je dopušteno, a što nije. Ako već prihvaćamo AI, moramo osigurati da su svi algoritmi transparentni i da se može pratiti kako se donose odluke u generativnoj AI aplikaciji. I na kraju, prilikom prihvaćanja generativnog AI-ja za interne aplikacije, potrebno je testirati i provjeriti aplikaciju prije upotrebe.
Zašto zero trust postaje temelj kibernetičke sigurnosti?
– Iz nekoliko razloga. Tradicionalni modeli sigurnosti temelje se na zaštiti perimetra, što znači da se unutar mreže smatra sigurnim sve što je iza vatrozida. Međutim, takav pristup nije učinkovit u današnjem okružju u kojem se sve više poslovnih aplikacija i podataka nalazi u oblaku. Zero trust pristup, s druge strane, temelji se na ideji da se svaka aktivnost, unutar ili izvan mreže, smatra nesigurnom sve dok se ne dokaže suprotno.
To znači da je svaka aktivnost podvrgnuta strogoj verifikaciji autentičnosti i autorizaciji. Kada se uz to primijeni i provjera na zlonamjerni kôd ili izolacija sadržaja u potpunosti, zero trust pristup omogućuje ne samo povećanje sigurnosti sustava, već i povećanje fleksibilnosti i učinkovitosti, zadržavajući istodobno potpunu kontrolu pristupa i pružajući zaposlenicima dojam olakšanja rada.
Koja su sigurnosna rješenja najbolja za poduzetnike?
– U kontekstu generativnog AI-ja neizbježno uključuju rješenja za vidljivost i kontrolu osjetljivih podataka, poput Data Loss Prevention (DLP) i Cloud Access Security Broker (CASB) rješenja (primjerice Broadcom/Symantec). Ta rješenja omogućuju poduzetnicima da vide tko se koristi AI uslugama, kontroliraju tko ima pristup tim uslugama i provjere sve upite prema ChatGPT-ju ili drugim AI alatima za osjetljiv sadržaj. Mogu provjeravati i slike koje se šalju AI-ju korištenjem OCR-a kako bi se spriječilo curenje podataka u fotografijama. Međutim, sigurnosno osvještavanje zaposlenika postaje važnije nego ikad jer će biti sve teže razlikovati računalno generirani sadržaj od autorskog.
*Sadržaj nastao u suradnji sa Setcorom