GenAI: Πρακτικός οδηγός για επικεφαλής κυβερνοασφάλειας από την Deloitte

Η Deloitte παρουσιάζει ένα πρακτικό οδηγό γύρω από το Generative ΑΙ και την προστιθέμενη αξία που αυτό προσφέρει στον ιδιαίτερα ευαίσθητο τομέα της Ασφάλειας Πληροφοριών. Όπως αναφέρει σχετική ανακοίνωση, ο οδηγός περιέχει, μεταξύ άλλων, πληροφορίες για τις ευκαιρίες που κρύβει το Gen AI για τον κλάδο, τα βασικά συμπεράσματα που έχουν προκύψει από τη χρήση του, καθώς και οι ενέργειες που σήμερα αποτελούν προτεραιότητα, προκειμένου να ενσωματωθεί αποτελεσματικότερα στη λειτουργία των επιχειρήσεων ανά τον κόσμο.

Το Gen AI, η ασφάλεια στον κυβερνοχώρο και το γενικό πλαίσιο σήμερα

Όπως είναι πια κατανοητό, το Generative AI αποτελεί μια υποκατηγορία του AI όπου οι μηχανές δημιουργούν νέο περιεχόμενο με τη μορφή κειμένου, κώδικα, φωνής, εικόνων, βίντεο και διαδικασιών. Όσον αφορά την ασφάλεια στον κυβερνοχώρο, το Gen AI υπόσχεται πολλά τόσο για τους οργανισμούς, όσο και για τις κυβερνήσεις που πρέπει να προστατευτούν, να δημιουργήσουν εργαλεία για την αυτοματοποίηση των αναφορών και της νοημοσύνης, να μειώσουν το κόστος, να αναπτυχθούν πιο αποτελεσματικά, να ταξινομήσουν το συνεχώς μεταβαλλόμενο ρυθμιστικό – νομοθετικό περιβάλλον και αρκετά ακόμα.

Οι επικεφαλής κυβερνοασφάλειας (CISOs) είναι λογικό να ανησυχούν για το πώς κακόβουλοι χρήστες μπορεί να χρησιμοποιήσουν το Gen AI - αλλά θα πρέπει να είναι αισιόδοξοι ότι, με τη σωστή προσέγγιση και διακυβέρνηση, το Gen AI μπορεί να βοηθήσει έναν οργανισμό να θωρακιστεί στον κυβερνοχώρο, να ξεπεράσει τις προκλήσεις εύρεσης και διακράτησης του κατάλληλου ανθρώπινου δυναμικού και να δημιουργήσει νέους «οδικούς χάρτες» για την ανίχνευση και την αντιμετώπιση απειλών. Για να ξεκλειδώσουν τις δυνατότητες της Gen AI, οι CISOs θα πρέπει πρώτα να κατανοήσουν πού μπορεί να βοηθήσει, τους τύπους δεδομένων που χρειάζεται και πώς να αναπτύξουν ένα σχέδιο δράσης που περιλαμβάνει εκτιμήσεις για την ασφάλεια, την ανθεκτικότητα και την αξιοπιστία.

Η τεράστια αξία του Gen AI για την κυβερνοασφάλεια

Το AI μπορεί να λειτουργήσει αποτελεσματικά σε συγκεκριμένες μόνο περιπτώσεις. Όμως με το Gen AI και τα μεγάλα γλωσσικά μοντέλα (LLM) τα δεδομένα αλλάζουν. Το Gen AI χρησιμοποιεί θεμελιώδη μοντέλα νευρωνικών δικτύων που τροφοδοτούνται, αλλά και εκπαιδεύονται από τεράστιες ποσότητες δεδομένων, δουλεύοντας σε διάφορες δομές και λειτουργώντας ως γέφυρα μεταξύ συνόλων δεδομένων. Η διαδικασία αυτή προσφέρει μια πιο φυσική μέθοδο για τον εντοπισμό, τη σύνθεση και τη σύνοψη των γνώσεων.

Το Gen AI υποστηρίζει την πρόβλεψη, κατηγοριοποίηση κινδύνων και πρόταση προληπτικών μέτρων μέσα από την ανάλυση δεδομένων, αρχείων ασφαλείας, πληροφοριών σχετικών με απειλές. Παράλληλα συνεισφέρει στην ερμηνεία, παρέχει συνεκτικές περιλήψεις των κινδύνων, καθώς και ειδοποιήσεις. Μέσα από το Gen AI οι επιχειρήσεις έχουν την ευκαιρία να προχωρήσουν σε προσομοίωση και ασκήσεις διαχείρισης κινδύνων, στην αυτοματοποίηση της λειτουργίας τους μέσα από αναλυτικά εγχειρίδια αντιμετώπισης περιστατικών, στην αλληλεπίδραση μέσα από εξατομικευμένες και στοχευμένες εκπαιδεύσεις με βάση τους ρόλους, τις αρμοδιότητες και τις απαιτήσεις της εργασίας και στην ανίχνευση συγκεκριμένων απαντήσεων που μπορούν να καθοδηγήσουν τους αναλυτές ασφαλείας στα μέτρα αποκατάστασης.

Στην ουσία το Gen AI μπορεί να βοηθήσει στον μετασχηματισμό δραστηριοτήτων κυβερνοασφάλειας, όπως η διαχείριση κινδύνων, η ανίχνευση και αντιμετώπιση απειλών, η διαχείριση ευπαθειών και δοκιμών ασφαλείας καθώς και σε σειρά άλλων ζητημάτων.

Οι προβληματισμοί σχετικά με τις απειλές στον κυβερνοχώρο για το Gen AI

Τα παλαιότερα συστήματα ΑΙ ήταν ανιχνεύσιμα και ήταν δυνατή η κατανόηση ορισμένων μόνο αποτελεσμάτων μέσω των δεδομένων τους. Αλλά το Gen AI είναι ένα διαφορετικό εργαλείο με πολλαπλές παραμέτρους που μπορεί να καταστήσει πιο απαιτητική την παρακολούθηση των αποτελεσμάτων. Το Gen AI εκπαιδεύεται επίσης σε πολύ μεγαλύτερα σύνολα δεδομένων από το παραδοσιακό AI, γεγονός που μπορεί να καταστήσει πιο δύσκολο να γνωρίζουμε πού και πώς μπορεί να έχουν τροποποιηθεί τα δεδομένα ή πού μπορεί να υπάρχουν αμφιβολίες για την ποιότητά τους. Τα συνεχώς εξελισσόμενα προφίλ κινδύνου απαιτούν μια διαφορετική οπτική.

Ορισμένοι κίνδυνοι στον κυβερνοχώρο για το Gen AI μπορεί να είναι:

Παραβίαση δεδομένων: Η κοινή χρήση ευαίσθητων δεδομένων με εξωτερικούς προμηθευτές Gen AI για την εκπαίδευση μοντέλων μπορεί να οδηγήσει σε διαρροή εμπιστευτικών ή/και προσωπικών πληροφοριών. Μπορούν επίσης να χρησιμοποιηθούν επιθέσεις αντιπάλων για την εξαπάτηση του μοντέλου ML με την αλλαγή των δεδομένων εισόδου.
Μη ασφαλής ενσωμάτωση: Η ακατάλληλη ενσωμάτωση των εργαλείων Gen AI με άλλα οργανωτικά συστήματα μπορεί να οδηγήσει σε πιθανές ευπάθειες (π.χ. μη ασφαλείς δίαυλοι δεδομένων) και αδυναμίες άμυνας.
Κίνδυνος φήμης: Οι κακόβουλοι παράγοντες μπορούν να αξιοποιήσουν τα εργαλεία Gen AI για την ευρεία και ταχεία διάδοση παραπληροφόρησης, γεγονός που μπορεί να πλήξει την ασφάλεια των πληροφοριών και την αξιοπιστία ενός οργανισμού.
Ρυθμιστικός κίνδυνος: Οι οργανισμοί που χρησιμοποιούν Gen AI ενδέχεται να χρειαστεί να ανταποκριθούν σε νέες απαιτήσεις συμμόρφωσης, καθώς οι αυξανόμενες ανησυχίες επηρεάζουν νέους νόμους, κανονισμούς και κατευθυντήριες γραμμές, όπως το προτεινόμενο Πλαίσιο Διαχείρισης Κινδύνου Τεχνητής Νοημοσύνης του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST)1 και οι νέοι κανονισμοί της ΕΕ για τα συστήματα Τεχνητής Νοημοσύνης γενικού σκοπού.

Πώς μπορούν να προετοιμαστούν τα στελέχη Ασφάλειας των Πληροφοριών

Κατά την επιλογή στρατηγικών υιοθέτησης του Gen AI, ένας οργανισμός θα πρέπει να αναγνωρίσει τη δύναμη και την αναγκαιότητα πλήρους μετασχηματισμού και όχι απλά να αυτοματοποιήσει μια ή δύο δραστηριότητες.
Η προετοιμασία περιλαμβάνει τις ακόλουθες ενέργειες:

Επικαιροποίηση των πολιτικών και των ελέγχων για τα δεδομένα βάσει των οποίων εκπαιδεύεται το ΑΙ για κινδύνους που αφορούν ζητήματα νομικά, ρυθμιστικά, ιδιωτικού απορρήτου, πνευματικής ιδιοκτησίας και τους για κινδύνους δεδομένων της Gen AI.
Προσδιορισμός των νέων απαιτήσεων συμμόρφωσης και των επιπτώσεων στις δραστηριότητες συμμόρφωσης με τους υφιστάμενους νόμους και κανονισμούς.
Αξιολόγηση των περιπτώσεων χρήσης του Gen AI για τον οργανισμό, ώστε να εξασφαλιστεί καλύτερη απόδοση και να ξεπεραστούν αντιστάσεις στην υιοθέτηση του.
Εφαρμογή κατάλληλων συμβατικών υποχρεώσεων για τους προμηθευτές του Gen AI σχετικά με την ασφάλεια και τη χρήση των πληροφοριών που μοιράζονται και παρακολούθηση των καναλιών ανταλλαγής δεδομένων που χρησιμοποιούν.
Εφαρμογή προτύπων και ελέγχων προστασίας της ιδιωτικής ζωής και των δεδομένων κατά την ανάπτυξη εκπαιδευτικών μοντέλων για τα εργαλεία Gen AI.
Βελτίωση των υφιστάμενων διαδικασιών αναθεώρησης κώδικα ώστε να βοηθηθεί ο έλεγχος του κώδικα που δημιουργείται από το Gen AI για τυχόν αδυναμίες και ευπάθειες.
Εφαρμογή ελέγχων πρόσβασης και παρακολούθηση της χρήσης των εργαλείων Gen AI για τον περιορισμό των κινδύνων από ακούσια ή ακατάλληλη χρήση.
Καθιέρωση ασφαλών καναλιών και μηχανισμών για τη μεταφορά δεδομένων μεταξύ των εργαλείων Gen AI που φιλοξενούνται στην επιχείρηση και στο cloud.
Επανεξέταση των ελέγχων από τρίτους και θέσπιση συμβατικών υποχρεώσεων για την προστασία των ευαίσθητων δεδομένων που μοιράζονται με τους προμηθευτές Gen AI.
Παρακολούθηση για νέες επιθέσεις (π.χ. prompt injection) και συμβολή στη διασφάλιση της κατάλληλης χρήσης των εργαλείων Gen AI για την αποφυγή ευπαθειών.
Καθορισμός των ορίων για το πού και πότε μπορούν να χρησιμοποιηθούν οι τεχνολογίες Gen AI εντός του οργανισμού.
Ενσωμάτωση των αρχών ασφαλούς σχεδιασμού κατά την ενσωμάτωση των εφαρμογών ΑΙ στην επιχειρησιακή αρχιτεκτονική.
Υποστήριξη της προστασίας του brand του οργανισμού με την παρακολούθηση της παραπληροφόρησης και τον καθορισμό στρατηγικών επικοινωνίας για την αντιμετώπιση και τη μείωση του αντίκτυπου των εκστρατειών παραπληροφόρησης.
Ανάληψη άμεσης δράσης σχετικά με τους κινδύνους από την εχθρική και κακόβουλη χρήση του Gen AI.

Επιγραμματικά μπορεί κάποιος να εκτιμήσει σήμερα με ασφάλεια πως η υιοθέτηση του Gen AI από τους οργανισμούς θα εξαρτηθεί από έξι βασικούς παράγοντες:

Κόστος και αποδοτικότητα
Γνώση και εργασία βασισμένη σε διαδικασίες
Υψηλή υιοθέτηση του cloud
Χαμηλή κανονιστική επιβάρυνση και προστασία της ιδιωτικής ζωής
Εξειδικευμένο ανθρώπινο δυναμικό
Πνευματική ιδιοκτησία και συμφωνίες αδειοδότησης και χρήσης

Σύμφωνα με τον Χρήστο Βιδάκη, Partner, Cyber Leader της Deloitte Ελλάδος:

«Οι επιθέσεις στον κυβερνοχώρο δεν θα σταματήσουν. Τα καλά νέα όμως είναι ότι το ίδιο θα συμβεί και με την πρόοδο του Gen AI. Είναι σημαντικό να γίνει κατανοητό ότι το Gen AI αποτελεί ένα νόμισμα με δύο διαφορετικές όψεις. Μπορεί να επιταχύνει τόσο τις κυβερνοεπιθέσεις όσο και τις δυνατότητες αντιμετώπισης των απειλών. Το ζητούμενο είναι πώς οι ηγέτες του κυβερνοχώρου θα κατευθύνουν τις ομάδες και τους οργανισμούς τους μέσα από τη γενικότερη «αναστάτωση» που επικρατεί, αξιοποιώντας παράλληλα τις δυνατότητες της πιο ισχυρής, μέχρι σήμερα, εκδοχής τεχνητής νοημοσύνης που έχει δημιουργηθεί ποτέ. Η Deloitte, με την μεγάλη εμπειρία της στον κυβερνοχώρο, τις σχέσεις συμμαχίας, και τη ρεαλιστική προοπτική για το μέλλον είναι σε θέση να βοηθήσει τους οργανισμούς και τις επιχειρήσεις να αντιμετωπίσουν τις πιο πιεστικές προκλήσεις στον τομέα της ασφάλειας στον κυβερνοχώρο» καταλήγει ο κ. Βιδάκης.

Μιχαήλ Γελαντάλις

Γιώργος Παπανικολάου