روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مقالهی اخیر MIT با عنوان «شکاف هوش مصنوعی مولد: وضعیت هوش مصنوعی در کسبوکار ۲۰۲۵» باعث افت چشمگیر سهام شرکتهای فناوری شد. این گزارش در حالی که مشاهدات جالبی درباره اقتصاد و سازماندهی پیادهسازی هوش مصنوعی در کسبوکارها ارائه میدهد، نکات ارزشمندی نیز برای تیمهای امنیت سایبری در بر دارد. با این حال نویسندگان به مسائل امنیتی نپرداختهاند: واژههایی مانند «امنیت»، «امنیت سایبری» یا «ایمنی» حتی یکبار هم در گزارش ذکر نشده است. با این حال، یافتههای آن میتواند و باید در تدوین سیاستهای جدید امنیتی سازمانها پیرامون هوش مصنوعی مورد توجه قرار گیرد.
نکته کلیدی مقاله این است که تنها چهل درصد از سازمانهای مورد بررسی اشتراک LLM خریدهاند، اما ۹۰٪ کارکنان به طور منظم از ابزارهای شخصی مبتنی بر هوش مصنوعی برای وظایف کاری استفاده میکنند. این «اقتصاد پنهان هوش مصنوعی» ــ اصطلاحی که در گزارش به کار رفته ــ به مراتب کارآمدتر از راهکارهای رسمی توصیف شده است. تنها پنج درصد از شرکتها از پیادهسازیهای رسمی خود سود اقتصادی میبینند، این درحالیست که کارکنان عملاً بهرهوری فردیشان را با ابزارهای شخصی افزایش دادهاند. رویکرد بالا به پایین در اجرای هوش مصنوعی اغلب ناموفق است. از همین رو، نویسندگان توصیه میکنند: «از کاربرد هوش مصنوعی سایه درس بگیرید و بررسی کنید کدام ابزارهای شخصی ارزشآفرینی دارند، سپس نسخههای سازمانی آنها را تهیه کنید.» اما پرسش مهم اینجاست: این توصیه تا چه اندازه با اصول امنیت سایبری همخوانی دارد؟
ممنوعیت کامل هوش مصنوعی سایه یا پنهان
رویکردی که بسیاری از مدیران ارشد امنیت اطلاعات (CISOها) ترجیح میدهند این است که ابزارهای هوش مصنوعی ابتدا بررسی و پیادهسازی شوند ــ یا حتی بهتر، درونسازمانی ساخته شوند ــ و سپس استفاده از سایر ابزارها بهطور کامل ممنوع شود. این سیاست میتواند از نظر اقتصادی ناکارآمد باشد و باعث عقبماندگی شرکت از رقبا شود. همچنین اجرای آن دشوار است، زیرا تضمین پایبندی کارکنان هم سخت و هم پرهزینه خواهد بود. با این حال، در برخی صنایع بسیار قانونگذاریشده یا در واحدهایی که با دادههای فوقحساس سروکار دارند، ممکن است چنین سیاست سختگیرانهای تنها گزینه ممکن باشد. روشهای زیر برای اجرای آن بهکار میروند:
- مسدود کردن دسترسی به تمام ابزارهای پرکاربرد هوش مصنوعی در سطح شبکه با استفاده از ابزار فیلترینگ شبکه.
- پیکربندی سیستم DLP برای نظارت و جلوگیری از انتقال داده به برنامهها و سرویسهای هوش مصنوعی؛ شامل جلوگیری از کپی و پیست حجمهای بزرگ متن از طریق کلیپبورد.
- اعمال سیاست allowlist یا فهرست مجاز برای اپلیکیشنها روی دستگاههای سازمانی تا کارمندان نتوانند برنامههای طرف سومی را که ممکن است برای دسترسی مستقیم به هوش مصنوعی یا دور زدن تدابیر امنیتی استفاده شوند، اجرا کنند.
- ممنوعیت استفاده از دستگاههای شخصی برای انجام وظایف کاری.
- استفاده از ابزارهای تکمیلی مانند تحلیل ویدئویی برای شناسایی و محدودکردن امکان عکسبرداری از صفحهنمایش رایانههای کاری با تلفنهای همراه شخصی.
- تدوین یک سیاست سازمانی جامع که استفاده از هر ابزار هوش مصنوعی خارج از فهرست تأییدشده مدیریت و استقرار یافته توسط تیمهای امنیتی سازمان را ممنوع میکند. این سیاست باید مستند شود و آموزش لازم به کارکنان داده شود.
استفاده بدون محدودیت از هوش مصنوعی
اگر شرکت ریسک استفاده از ابزارهای هوش مصنوعی را ناچیز بداند، یا بخشهایی داشته باشد که با دادههای شخصی یا حساس سروکار ندارند، استفاده کارکنان از این ابزارها میتواند تقریباً بدون محدودیت باشد. در این رویکرد، با تعریف یک فهرست کوتاه از الزامات و محدودیتهای پایه، شرکت میتواند الگوهای استفاده از LLMها را مشاهده کند، خدمات محبوب را شناسایی کند و از این دادهها برای برنامهریزیهای بعدی و بهبود تدابیر امنیتی بهره ببرد. حتی در این رویکرد آزاد، رعایت موارد زیر ضروری است:
- آموزش کارکنان در زمینه اصول استفاده مسئولانه از هوش مصنوعی با کمک یک ماژول امنیت سایبری. نقطه شروع مناسب میتواند توصیههای داخلی یا افزودن یک دوره تخصصی به پلتفرم آگاهی امنیتی شرکت باشد.
- راهاندازی ثبت جزئیات ترافیک برنامهها برای تحلیل الگوی استفاده از هوش مصنوعی و نوع خدمات مورد استفاده.
- اطمینان از نصب عامل EPP/EDR روی دستگاههای کاری کارکنان و وجود یک راهکار امنیتی قوی روی دستگاههای شخصی آنها. (در سالهای ۲۰۲۴–۲۰۲۵ اپلیکیشنهای جعلی «ChatGPT» طعمه محبوب مهاجمان برای پخش بدافزارهای سرقت اطلاعات بودهاند.)
- اجرای نظرسنجیهای منظم برای ارزیابی میزان و نوع استفاده از هوش مصنوعی. بر اساس دادههای تلهمتری و نتایج نظرسنجی، میتوان میزان تأثیر و ریسک استفاده از آن را سنجید و سیاستها را متناسب با آن اصلاح کرد.
محدودیتهای متعادل در استفاده از هوش مصنوعی
وقتی صحبت از استفاده سازمانی از هوش مصنوعی میشود، هیچیک از دو سر طیف ــ ممنوعیت کامل یا آزادی کامل ــ معمولاً مناسب نیستند. سیاست کارآمدتر، رویکردی است که سطح دسترسی به هوش مصنوعی را بر اساس نوع داده مورد استفاده تنظیم کند. اجرای کامل چنین سیاستی نیازمند موارد زیر است: یک پراکسی تخصصی هوش مصنوعی که همزمان پرسشها را پاکسازی کرده و انواع خاصی از دادههای حساس (مانند نامها یا شناسه مشتریان) را حذف کند، و همچنین با کنترل دسترسی مبتنی بر نقش (RBAC) جلوی موارد استفاده نامناسب را بگیرد.
پورتال سلفسرویس IT برای کارکنان، تا استفاده خود را از ابزارهای هوش مصنوعی ــ از مدلها و سرویسهای پایه گرفته تا اپلیکیشنهای تخصصی و افزونههای مرورگر ــ ثبت کنند.
یک راهکار نظارتی و کنترلی (مانند NGFW، CASB یا DLP) برای پایش جزئی و کنترل استفاده از هوش مصنوعی در سطح درخواستهای مشخص برای هر سرویس.
(فقط برای شرکتهایی که نرمافزار تولید میکنند): خط لوله CI/CD و ابزارهای SAST/DAST اصلاحشده برای شناسایی خودکار کدهای تولیدشده توسط هوش مصنوعی و علامتگذاری آنها برای مراحل تأیید اضافی.
مشابه سناریوی استفاده آزاد، برگزاری آموزشهای منظم برای کارکنان، انجام نظرسنجیها و فراهم کردن امنیت قوی برای دستگاههای کاری و شخصی.
با فراهم بودن این پیشنیازها، باید سیاستی تدوین شود که پوششدهنده بخشهای مختلف سازمان و انواع گوناگون اطلاعات باشد. چنین سیاستی ممکن است چیزی شبیه به این باشد:
|
نوع داده
|
استفاده عمومی از هوش مصنوعی با دستگاهها و حسابهای شخصی
|
سرویس هوش مصنوعی خارجی (از طریق پروکسی سازمانی)
|
ابزارهای هوش مصنوعی سازمانی یا کلود مطمئن
|
|
دادههای عمومی (مانند اد کپی)
|
مجاز (اعلامشده از طریق پرتال شرکت)
|
مجاز (ثبتشده)
|
مجاز (ثبتشده)
|
|
دادههای داخلی عمومی (مانند محتوای ایمیل)
|
ممنوعیت توصیهشده اما نه مسدود؛ نیازمند اعلام
|
مجاز (ثبتشده)
|
مجاز (ثبتشده)
|
|
دادههای محرمانه (مانند کد منبع برنامهها، مکاتبات حقوقی یا منابع انسانی)
|
مسدود شده توسط DLP/CASB/NGFW
|
مجاز برای سناریوهای خاص با تأیید مدیر (دادههای شخصی باید حذف شوند؛ کد نیازمند بررسی خودکار و دستی است)
|
مجاز (ثبتشده، با حذف دادههای شخصی در صورت نیاز)
|
|
دادههای حساس با تأثیر بالا و تحت مقررات (مالی، پزشکی و غیره)
|
ممنوع
|
ممنوع
|
مجاز با تأیید CISO، مشروط بر رعایت الزامات ذخیرهسازی قانونی
|
|
دادههای بسیار حساس و محرمانه
|
ممنوع
|
ممنوع
|
ممنوع (استثناها فقط با تأیید هیئت مدیره ممکن است)
|
برای اجرای سیاست، علاوه بر ابزارهای فنی، نیاز به یک رویکرد سازمانی چندلایه است. مهمترین نکته، آموزش کارکنان درباره ریسکهای مرتبط با هوش مصنوعی است ــ از نشت دادهها و خطاهای تولیدی گرفته تا حملات تزریق دستور. این آموزش باید برای همه افراد سازمان الزامی باشد. پس از آموزش اولیه، توسعه سیاستهای دقیقتر و ارائه آموزش پیشرفته برای مدیران بخشها ضروری است. این کار به آنها امکان میدهد تصمیمات آگاهانهای درباره تصویب یا رد درخواستهای استفاده از دادههای مشخص با ابزارهای هوش مصنوعی عمومی اتخاذ کنند. سیاستها، معیارها و اقدامات اولیه تنها نقطه شروع هستند؛ آنها باید بهطور منظم بهروز شوند. این شامل تحلیل دادهها، بهبود موارد کاربرد واقعی هوش مصنوعی و پایش ابزارهای محبوب است. همچنین یک پرتال سلفسرویس لازم است تا کارکنان در محیطی بدون استرس توضیح دهند که از چه ابزارهای هوش مصنوعی استفاده میکنند و برای چه اهدافی. این بازخورد ارزشمند، تحلیلها را غنی میکند، به ایجاد دلایل اقتصادی برای پذیرش هوش مصنوعی کمک میکند و مدل مبتنی بر نقش برای اعمال سیاستهای امنیتی مناسب را فراهم میآورد.
در نهایت، یک سیستم چندلایه برای پاسخ به تخلفات ضروری است. مراحل ممکن شامل موارد زیر میشود:
- هشدار خودکار و یک دوره آموزشی کوتاه الزامی درباره تخلف موردنظر
- جلسه خصوصی بین کارمند، مدیر بخش و مسئول امنیت اطلاعات
- ممنوعیت موقت استفاده از ابزارهای هوش مصنوعی
- اقدامات انضباطی سختگیرانه از طریق واحد منابع انسانی
رویکرد جامع به امنیت هوش مصنوعی
سیاستهایی که در اینجا بررسی شد، دامنه نسبتاً محدودی از ریسکهای مرتبط با استفاده از راهکارهای SaaS برای هوش مصنوعی مولد را پوشش میدهند. برای تدوین یک سیاست کامل که کل طیف ریسکهای مرتبط را در بر بگیرد، به راهنمای ما برای پیادهسازی امن سیستمهای هوش مصنوعی مراجعه کنید، که توسط شرکت کسپرسکی با همکاری سایر کارشناسان معتبر توسعه یافته است.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
