آینده امنیت سایبری

مدرسه توسعه هاروارد، هیئتی از مدیران ارشد امنیت اطلاعات و رهبران امنیت سایبری را گرد هم آورد تا در مورد آینده هوش مصنوعی و امنیت سایبری بحث کنند.

هوش مصنوعی (AI) در حال متحول کردن امنیت سایبری است و اساساً حملات سایبری و دفاع سایبری را تغییر می‌دهد. از ایمیل‌های فیشینگ و دیپ‌فیک‌های تولید شده توسط هوش مصنوعی گرفته تا بدافزارهای پیچیده، ابزارهای هوش مصنوعی دسترسی به داده‌های حساس را بدون شناسایی، برای مجرمان سایبری سریع‌تر و آسان‌تر می‌کنند.

برای درک بهتر خطرات نوظهور هوش مصنوعی در فضای امنیت سایبری، دانشکده توسعه هاروارد هیئتی از مدیران ارشد امنیت اطلاعات (CISO) و رهبران امنیت سایبری را گرد هم آورد تا در مورد چشم‌انداز تهدیدهای در حال تحول بحث کنند.

در این عصر جدید، مدیران ارشد امنیت اطلاعات باید بدانند که چگونه از هوش مصنوعی به عنوان یک ابزار دفاعی استفاده کنند – و چگونه مجرمان سایبری از آن برای انجام حملات استفاده می‌کنند. با ایجاد آگاهی و توسعه مهارت‌های هوش مصنوعی، رهبران امنیت سایبری می‌توانند اطلاعات حیاتی سازمان خود را ایمن نگه دارند.

هوش مصنوعی، جرایم سایبری را دموکراتیزه کرده است. امروزه، موانع ورود به این عرصه، کمتر از همیشه است. هر کسی که به یک ابزار هوش مصنوعی دسترسی داشته باشد و تمایل به ارتکاب جرایم سایبری داشته باشد، می‌تواند این کار را انجام دهد. به عنوان مثال، فیشرها دیگر نیازی به یادگیری زبان انگلیسی و ایجاد یک پیام شسته رفته و باورپذیر برای ورود به یک سیستم داده ندارند؛ آنها می‌توانند به سادگی از هوش مصنوعی بخواهند که این کار را برای آنها انجام دهد.

نوین بالاکریشنان، مدیر عامل شرکت TD Securities، تحولات جدید در فیشینگ دیپ‌فیک را توضیح می‌دهد.

«مهاجمان اکنون به ابزارهای فوق‌العاده‌ای دسترسی دارند که به آنها اجازه می‌دهد داده‌های عمومی و اطلاعات شخصی شما را جستجو کنند و تاکتیک‌های فیشینگ عمیق و بسیار شخصی‌سازی‌شده‌ای را انجام دهند. و باورنکردنی است که با تلاش بسیار کم، چه حجم عظیمی از کار برای آنها انجام شده است.»

نه تنها انجام حملات سایبری هدفمند برای هکرها آسان‌تر شده است، بلکه هوش مصنوعی آنها را قادر می‌سازد تا تلاش‌های خود را با سرعت بی‌سابقه‌ای گسترش دهند. هکرها می‌توانند کد بدافزار را به صورت انبوه تولید کرده و حملات را خودکار کنند.

برای شرکت‌ها، سرعت حملات سایبری هوش مصنوعی یک مشکل منحصر به فرد است و خطرات زیادی دارد. دیوید کاس – مدرس امنیت سایبری در مدرسه توسعه هاروارد، مدیر ارشد امنیت اطلاعات در GSR و رئیس CISOs Connect – از تجربه مشاوره شخصی خود برای برجسته کردن این نکته استفاده کرد.

کاس گفت: «من به عنوان متخصص با شرکت‌های متعددی کار کرده‌ام که به معنای واقعی کلمه، در کمتر از ۳۰ دقیقه، بیش از ۲۵ میلیون دلار ضرر کرده‌اند. وقتی به ۳۰ دقیقه برای از دست دادن بیش از ۲۵ میلیون دلار نگاه می‌کنید، این زمان زیادی برای واکنش به مسائل نیست.»

هکرها همیشه به دنبال نقاط ورودی جدید برای دسترسی به داده‌های امن یک شرکت هستند. برای مدیران ارشد امنیت اطلاعات، مدیریت امنیت نقاط پایانی، زنجیره‌های تأمین و فروشندگان شخص ثالث همچنان یک چالش مداوم است، زیرا بازیگران بد از فرآیندهایی که از افراد، هوش مصنوعی و سایر فناوری‌ها برای نقض اطلاعات حساس استفاده می‌کنند، سوءاستفاده می‌کنند.

بالاکریشنان گفت: «من فکر می‌کنم ۷۰ درصد از این حملات از طریق فروشندگان ما وارد محیط ما می‌شوند. ما نرم‌افزارهای مختلف زیادی می‌خریم، چیزهای زیادی را به آن وصل می‌کنیم. و عاملان تهدید دقیقاً می‌دانند که چگونه از فروشندگانی که ما از آنها چیزهای شبیه هوش مصنوعی می‌خریم، برای باز کردن سطح ما استفاده کنند.»

قابل درک است که بسیاری از سازمان‌ها نگران این هستند که هوش مصنوعی چگونه می‌تواند بر وضعیت امنیت سایبری آنها تأثیر بگذارد. برای ایمن نگه داشتن داده‌های خصوصی، سازمان‌ها باید بدانند که فروشندگان آنها چگونه از هوش مصنوعی استفاده می‌کنند.

مدیران ارشد امنیت اطلاعات باید رویکرد هر فروشنده را در مورد مدیریت و حفاظت از هوش مصنوعی ارزیابی کنند. بالاکریشنان توضیح داد که او، به عنوان یک متخصص امنیت سایبری، چه سوالاتی خواهد پرسید.

او گفت: «می‌خواهم بدانم چه نوع سیاست‌های مدیریتی دارند. می‌خواهم بدانم: چگونه نظارت می‌کنید؟ چگونه انحرافات را بررسی می‌کنید؟ در این موارد چه می‌کنید؟ اگر قرار باشد مدل را بخریم و آن را تنظیم کنیم، می‌خواهم چند SLA و KPI ارائه دهیم.»

علاوه بر این، مدیران ارشد امنیت اطلاعات باید توافق‌نامه‌های خدمات اصلی را به طور کامل بررسی کنند. بالاکریشنان گفت: «بسیاری از این محصولات فروشندگان هوش مصنوعی هنوز از نظر حاکمیت، سیاست‌ها و چارچوب خود بسیار جوان هستند.»

در نهایت، مدیران ارشد امنیت اطلاعات باید اطمینان حاصل کنند که فروشندگان، به ویژه هنگام معرفی ویژگی‌های جدید یا به‌روزرسانی‌های سیستم، به طور فعال با یکدیگر ارتباط برقرار می‌کنند. ارتباط مداوم با فروشندگان و نظارت بر پیاده‌سازی می‌تواند به ایمن نگه داشتن داده‌های شرکت‌ها کمک کند.

فقط فروشندگان شخص ثالث نیستند که می‌توانند یک شرکت را در معرض حملات سایبری هوش مصنوعی قرار دهند. کسب‌وکارهایی که مدل‌های خود را می‌سازند نیز در برابر حملات آسیب‌پذیر هستند. ایمن‌سازی سیستم‌های هوش مصنوعی داخلی نیازمند حاکمیت قوی، شفافیت واضح، دفاع پیشگیرانه و استعداد مناسب در زمینه امنیت سایبری برای مدیریت همه این موارد است.

ساختارهای مدیریتی برای محافظت از مدل‌ها در برابر دستکاری و اطمینان از عملکرد آنها طبق برنامه ضروری هستند.

کاس توضیح داد که چگونه یک مدل هوش مصنوعی داخلی می‌تواند توسط یک هکر آلوده شود. او گفت: «مدل‌ها از داده‌ها یاد می‌گیرند. بنابراین اگر بتوانند توسط یک مهاجم مسموم شوند، تقریباً بی‌فایده خواهند بود یا وسیله حمله جدیدی ایجاد می‌کنند، زیرا شما آنقدر روی اطلاعات نادرستی که مدل به شما ارائه می‌دهد متمرکز خواهید شد که ممکن است نقاط بحرانی را از دست بدهید.»

جنیفر گلد می‌گوید چون هوش مصنوعی خیلی سریع رشد می‌کند و قوانین و مقررات رسمی کمی برایش وجود دارد، شرکت‌ها باید خودشان قوانین، کنترل‌ها و چارچوب‌های داخلی بسازند (همان گاردریل‌های حاکمیتی).

این گاردریل‌ها دو کار مهم انجام می‌دهند:

1. محافظت از سیستم‌ها
   یعنی جلوگیری از ریسک‌ها، سوءاستفاده‌ها و آسیب‌های احتمالی هوش مصنوعی.

2. ارائه اطلاعات شفاف به مدیران ارشد و ذینفعان
   یعنی کمک می‌کند هیئت‌مدیره، مدیران و افراد مهم سازمان بفهمند:

   • هوش مصنوعی دقیقاً چطور استفاده می‌شود

   • چه ریسک‌هایی دارد

   • چه تصمیم‌هایی باید گرفته شود

او می‌گوید:
مردم چه ما بخواهیم چه نخواهیم از این فناوری‌های جدید استفاده می‌کنند.
پس ما باید کاری کنیم که:

1. آنها بتوانند به شکل درست و خلاقانه از این فناوری‌ها استفاده کنند،

2. در عین حال از آنها به‌عنوان متخصص امنیت حمایت کنیم،

3. و مطمئن شویم قوانین و کنترل‌های لازم وجود دارد تا مشکلی پیش نیاید.

همچنین باید:

• به هیئت‌مدیره دید و گزارش واضح بدهیم،

• و ابزارهایی داشته باشیم که بتوانیم با آنها میزان ریسک را تشخیص دهیم و بفهمیم چه حفاظ‌هایی لازم است.

یکی از بهترین راه‌ها برای کم کردن خطرات هوش مصنوعی این است که همیشه انسان هم در کنار آن باشد و همه چیز را کنترل کند.

چرا؟

چون:

• هوش مصنوعی گاهی اشتباه می‌کند و چیزهایی را «توهم» می‌زند (یعنی اطلاعات غلط می‌سازد).

• مهاجمان می‌توانند سعی کنند هوش مصنوعی را فریب دهند یا آن را دستکاری کنند.

اگر یک انسان متخصص در این روند باشد:

• متوجه خطاهای هوش مصنوعی می‌شود،

• جلوی سوءاستفاده‌ها را می‌گیرد،

• و می‌تواند تصمیم درست را بگیرد.

اخیراً، اتحادیه اروپا راهنمایی‌هایی برای استفاده از هوش مصنوعی منتشر کرده است و کارشناسان پیش‌بینی می‌کنند که راهنمایی‌های بیشتری در ایالات متحده نیز منتشر خواهد شد.

در عین حال، مدیران ارشد امنیت اطلاعات می‌توانند چارچوب‌های قابل اعتمادی را اتخاذ کنند. چارچوب مدیریت ریسک هوش مصنوعی موسسه ملی استاندارد و فناوری به شرکت‌ها کمک می‌کند تا ریسک هوش مصنوعی خود را مدیریت، ترسیم، اندازه‌گیری و مدیریت کنند.

هوش مصنوعی نه تنها ابزاری قدرتمند برای مجرمان سایبری است، بلکه متخصصان امنیت سایبری نیز از آن در حوزه دفاعی خود استفاده می‌کنند.

تیم‌های امنیتی هر روز هشدارهای متعددی دریافت می‌کنند که تشخیص فوری بودن آنها را دشوار می‌کند. گاهی اوقات، ممکن است ساعت‌ها طول بکشد تا یک هشدار حیاتی به یک متخصص تحویل داده شود، که سپس می‌تواند نقاط ورودی یا سیستم‌های آسیب‌دیده را بررسی کند.

هوش مصنوعی این فرآیند را سریع‌تر می‌کند.

بالاکریشنان می‌گوید: «ابزارهای هوش مصنوعی در حال حاضر بسیار مؤثر هستند، به طوری که اکنون می‌توانید در عرض چند دقیقه یک امدادگر ماهر را برای بررسی پیدا کنید.»

همزمان با اینکه سیستم‌های هوش مصنوعی عمیقاً در عملیات امنیت سایبری جای می‌گیرند، سازمان‌ها باید اطمینان حاصل کنند که این ابزارها شفاف و قابل فهم هستند – نه تنها برای تیم‌های امنیتی، بلکه برای هیئت مدیره و ذینفعان نیز.

کاس می‌گوید: «به نظر من قابلیت توضیح و شفافیت باید در سطحی باشد که مصرف‌کننده عمومی بتواند آن را درک کند. این فناوری چه اقداماتی را در سیستم‌های شرکتی ما انجام می‌دهد و دقیقاً چگونه کار می‌کند؟ و ما به آن اجازه چه کاری را داده‌ایم؟ هوش مصنوعی نمی‌تواند فقط به عنوان یک جعبه سیاه عمل کند که در آن فقط تصمیم‌گیری کند و شما مجبور باشید تصمیم را به همان شکلی که ارزشش را دارد بپذیرید.»

کاس ادامه می‌دهد: «شما هرگز نمی‌توانید مسئولیت پاسخگویی خود را برون‌سپاری کنید. بنابراین اگر تصمیم بگیرید به این مدل‌های هوش مصنوعی تکیه کنید، چه چیزی باشد که خودتان ساخته‌اید و چه چیزی باشد که از آن استفاده می‌کنید و مشکلی پیش بیاید، مسئولیت همچنان بر عهده سازمانی است که استفاده از آن مدل‌ها را پذیرفته است.»

استعداد در امنیت سایبری بیش از هر زمان دیگری اهمیت دارد. کسب‌وکارها به متخصصان ماهری نیاز دارند که بتوانند با موفقیت با حملات مبتنی بر هوش مصنوعی مقابله کنند. آن‌ها باید روی ارتقای مهارت‌های تیم‌های امنیتی موجود خود سرمایه‌گذاری کنند تا با تهدیدات پیچیده روبرو شوند. در عصر هوش مصنوعی، بعید است که امنیت سایبری شاهد اختلال ناشی از هوش مصنوعی باشد.

کاس می‌گوید: «هوش مصنوعی برخی از مشکلات سطح پایین‌تر ما را برای کارکنان امنیتی‌مان حل می‌کند، اما آیا جایگزینی برای آنها است؟ نه واقعاً. چون باز هم، شما هنوز به مداخله انسانی نیاز دارید و هنوز به افرادی نیاز دارید که نحوه کار سازمان شما را درک کنند. همه ممکن است از یک پشته فناوری سازمانی استفاده کنند، اما همه ما آن را به طور متفاوتی پیکربندی می‌کنیم. بنابراین همه ما آسیب‌پذیری‌های مختلفی را در آنجا ایجاد می‌کنیم.»

اما اعضای فعلی تیم احتمالاً برای حفظ رقابت در چشم‌انداز تهدیدهای به سرعت در حال تغییر، به ارتقای مهارت نیاز خواهند داشت.

گلد می‌گوید: «من فکر می‌کنم ما واقعاً باید شروع به ارتقای مهارت‌ها و آموزش افراد کنیم، و آموزش بسیار مهم است. ما نمی‌توانیم فقط فرض کنیم که همه این فناوری‌های جدید را بدون آموزش افراد به بهترین روش برای استفاده از آنها، عرضه می‌کنیم.»

بالاکریشنان موافق است:

«از دیدگاه امنیتی، استعداد، استعداد، استعداد. ما باید استعداد مناسب را پیدا کنیم. ما باید استعداد مناسب را آموزش دهیم.»

هوش مصنوعی فرصت‌های جدیدی را برای افزایش بهره‌وری عملیاتی تیم‌های امنیت سایبری ایجاد می‌کند، اما در عین حال مجموعه‌ای از تهدیدات جدید را نیز به همراه دارد.

گلد می‌گوید: «من روش‌های جدید حمله، بردارهای جدید و روش‌های جدیدی را می‌بینم که واقعاً باید یک قدم به عقب برداریم و نگاهی به نحوه استفاده از این فناوری‌ها بیندازیم و در رویکرد خود متفکرانه‌تر عمل کنیم.» «هوش مصنوعی سایه در حال حاضر بسیار مشکل‌ساز است و من می‌بینم که این امر همچنان به ایجاد چشم‌انداز تهدید بزرگتری ادامه می‌دهد.»

تهدیدات جدید از دو جا به وجود می‌آیند:

1. از دارایی‌ها و ابزارهایی که یک شرکت دارد (مثل نرم‌افزارها، سیستم‌ها، سرویس‌های ابری)

2. از قوانین جدیدی که شرکت هنوز با آن‌ها تطابق کامل ندارد

این موضوع نشان می‌دهد که وقتی شرکت‌ها فناوری‌های جدید—مثل هوش مصنوعی—را وارد کار می‌کنند، باید امنیت خیلی محکم و دقیق داشته باشند.

در گذشته، اگر تیم IT می‌توانست ۹۰٪ دارایی‌های شرکت را شناسایی و مدیریت کند، کارش عالی بود.
اما حالا با وجود هوش مصنوعی:

• حتی شرکت‌هایی که مدیریت دارایی خیلی خوبی دارند هم

• با مشکلات و خطرات جدیدی روبه‌رو می‌شوند.

کاس می‌گوید:
«اگر یک شرکت بزرگ باشید و ۳۰۰هزار دارایی مختلف داشته باشید، یعنی ۳۰هزار مورد دارید که هیچ اطلاعی از آن‌ها ندارید—و این واقعاً نگران‌کننده است.
به‌نظر من، مهم‌ترین چالش آینده این است که دقیقاً بدانیم چه دارایی‌هایی داریم:
از چه سرویس‌های ابری و نرم‌افزارهای SaaS استفاده می‌کنیم؟
و چندتا از این‌ها در داخلشان هوش مصنوعی به کار رفته؟»

بالاکریشنان چشم‌انداز تهدیدها و فرصت‌ها را خلاصه کرد: «بین امنیت، کسب‌وکار و هوش مصنوعی، تلاقی‌هایی وجود خواهد داشت. اگر ریسک از دیدگاه تجاری متعادل نشود، شرکت‌هایی که آن را درک می‌کنند، از مزیت رقابتی برخوردار خواهند بود.» بالاکریشنان گفت. «من فکر می‌کنم ۱۸ تا ۲۴ ماه آینده، تمرکز زیادی بر یادگیری اصول هوش مصنوعی به عنوان یک سازمان، ایجاد دستورالعمل‌های دقیق، داشتن اشتهای ریسک تعریف‌شده و احتمالاً مداخلات نظارتی بیشتر خواهد داشت. همه ما باید برای ایجاد قابلیت‌ها هزینه کنیم.»

با توجه به محیط در حال تغییر، این هیئت توصیه‌ای شگفت‌انگیز برای متخصصان امنیت سایبری داشت – در اصول اولیه درخشان باشید.

بالاکریشنان می‌گوید: «هوش مصنوعی همیشه در حال تکامل است. اما شما باید اصول اساسی آن را درک کنید و مطمئن شوید که ابزارهای محافظت از آن را، چه ایمیل‌هایتان باشد و چه فایروال‌ها، درک می‌کنید. و سپس به نظر من با سرمایه‌گذاری مداوم در آموزش دانش خود، آن را ارتقا دهید.»

امنیت سایبری حوزه‌ای است که همیشه در حال تکامل است. مدیران ارشد امنیت اطلاعات و سایر متخصصان اگر می‌خواهند با سرعت و پیچیدگی تهدیدهای مبتنی بر هوش مصنوعی رقابت کنند، باید یادگیری مادام‌العمر را بپذیرند.

یک جامعه قوی از متخصصان همفکر نیز ضروری است.

بالاکریشنان گفت: «یک شبکه عالی از متخصصان امنیتی ایجاد کنید. من متوجه شده‌ام که این خیلی کمک می‌کند. و بسیاری از چیزهایی که ما با آنها مبارزه می‌کنیم مشابه هستند. و بنابراین داشتن یک شبکه عالی مفید است.»