6 يونيو، 2023
بقلم توني فروم - أخصائي منتجات ، Skyhigh Security
بعد أن نشأت وأنا أعرف كيفية استخدام الهاتف الدوار ، رأيت قدرا لا بأس به من التقدم التكنولوجي في سنواتي. ومع ذلك ، أعتقد أنه قد يتضاءل مقارنة بما سيراه أطفالي في حياتهم بسبب ظهور الذكاء الاصطناعي (الذكاء الاصطناعي). يستخدم الخبراء في هذا المجال مقارنات مبالغ فيها مثل القنبلة الذرية واكتشاف النار لوصف أهميتها ، وهناك فرصة جيدة ألا تكون هذه مبالغات.
هناك قدر كبير من الذعر يحيط بهذا التطور مع دعوة البعض إلى اتخاذ تدابير أمنية ولوائح حكومية وحتى وقف الذكاء الاصطناعي البحث. في مجال الأمن السيبراني ، هناك قدر كبير من القلق بشأن استخدام أدوات الذكاء الاصطناعي مثل ChatGPT وآثارها على أمن البيانات. باعتبارها تركز على البيانات بشكل مهووس Security Service Edge (SSE) البائع ، ونحن في Skyhigh Security يتم سؤالهم على الأقل يوميا حول كيفية منع فقدان البيانات عبر ChatGPT. يقرأ عملاؤنا عن مواقف مثل حادث فقدان البيانات من سامسونج عبر ChatGPT ويريدون التأكد من أن لديهم عناصر التحكم الصحيحة في مكانها الصحيح.
على الرغم من حداثة أدوات مثل ChatGPT ، يجب أن أقاوم الرغبة في اقتباس قول سفر الجامعة ، "لا يوجد شيء جديد تحت الشمس". في حين أن الخطر المحدد لتدريب نموذج الذكاء الاصطناعي على بياناتك قد يكون تطورا جديدا ، فإن الخدمات اللوجستية لحماية بياناتك من ChatGPT ليست في الواقع شيئا جديدا. هذا ما نفعله كل يوم! وبصراحة ، إذا كان لديك ضوابط أمان البيانات الصحيحة ، فيجب أن تكون قد غطيت قواعدك بالفعل. دعنا نراجع بإيجاز عناصر التحكم القابلة للتطبيق ، والتي ربما تكون قد نشرت العديد منها بالفعل ، وكيف يمكن أن تساعدك في معالجة هذا الخطر الجديد ، ولكن ليس الجديد.
الحظر حسب الفئة / التطبيق
العديد من المؤسسات ليس لديها شهية للمخاطر التي تشكلها روبوتات المحادثة الذكاء الاصطناعي وغيرها من خدمات الذكاء الاصطناعي التوليدية. بالنسبة لهذه الكيانات ، فإن الحظر التام لاستخدام هذه التطبيقات هو استراتيجيتهم المفضلة. انضمت Apple مؤخرا إلى قائمة متزايدة من هذه الشركات. ولكن ، كما أخبرت لدينا Secure Web Gateway عملاء (SWG) لسنوات ، "حظر شيء ما أمر سهل. يمكن لأي شخص القيام بذلك. معرفة ما يجب حظره هو الجزء الصعب ". ومع ذلك ، يجب أن يكون أي SWG يستحق الملح اليوم على دراية بهذه الأدوات الذكاء الاصطناعي ويجب أن يكون قادرا على بناء سياسة بسهولة لمنعها. في وقت كتابة هذا التقرير، Skyhigh Securityيحتوي السجل السحابي على تحليل كامل للمخاطر لأكثر من 400 تطبيق الذكاء الاصطناعي ، والقائمة تنمو يوميا! يتضمن كل منها أكثر من 65 سمة خطر وقائمة بجميع المجالات المتعلقة بالتطبيقات. ببضع نقرات فقط ، يمكن الاستفادة من هذه البيانات الغنية في سياسات أمان الويب لعملائنا للتحكم في هذه التطبيقات. بالنسبة للعملاء الذين يتطلعون إلى حظر استخدام روبوتات المحادثة الذكاء الاصطناعي ، فهذا هو "الزر السهل" بالنسبة لهم.
تقييد أنشطة محددة
ترى بعض المؤسسات قيمة في السماح باستخدام روبوتات المحادثة الذكاء الاصطناعي ولكنها تريد ضمان بقاء بياناتها الأكثر أهمية آمنة. هناك عدة طرق لجلد هذه القطة التي يضرب بها المثل اليوم. أحد الخيارات هو استخدام التحكم في النشاط للسماح بتطبيق يستند إلى الذكاء الاصطناعي ولكن لمنع أنشطة معينة مثل تحميل الملفات أو إرسال المطالبات. يدعم SWG من Skyhigh عناصر التحكم في النشاط لجميع تطبيقات 35k + في سجلنا بما في ذلك أكثر من 400 تطبيق مصنفة على أنها الذكاء الاصطناعي. مرة أخرى ، في بضع نقرات فقط يمكنك منع تحميل أي محتوى إلى هذه التطبيقات في دقائق.
بالطبع ، قد تصبح بعض التطبيقات ، مثل ChatGPT عديمة الفائدة عن طريق منع أنشطة مثل إرسال الأسئلة. ما فائدة السماح للتطبيق إذا لم تتمكن من طرح الأسئلة عليه؟ في هذه الحالات ، قد يرغب العملاء في اتباع نهج أكثر دقة. على سبيل المثال ، استجابت Samsung في البداية لتسرب البيانات الخاصة بها عن طريق الحد من مطالبات ChatGPT إلى 1,024 بايت. قد تتضمن الخيارات الأخرى منع تحميل أنواع معينة من الملفات ، والحد من الوصول بناء على الموقع الجغرافي ، والمزيد. بالنسبة للعديد من هذه الخيارات ، يلزم وجود محرك نهج ويب دقيق للغاية. يحتوي حل Skyhigh SWG ، بلا شك ، على أقوى محرك سياسة ويب في السوق اليوم مما يجعل العمل السريع لحالات الاستخدام مثل هذه. على سبيل المثال، باستخدام قاعدة واحدة مخصصة، يمكن لعملائنا تنفيذ سياسة إذا تجاوز الطلب إلى أي نظام أساسي قائم على الذكاء الاصطناعي 1024 بايت، فقم بحظره. لذلك ، مهما كان النهج المفضل لديك ، فمن المحتمل أن نمكنك من ممارسة هذه السيطرة بسهولة.
حماية البيانات الهامة لشركتك
أنا شخصيا أشعر أن أفضل نهج ينطوي على الوعي بالبيانات. في عالم اليوم القائم على السحابة ، يجب أن يكون لدى المؤسسات بالفعل تعامل جيد مع البيانات التي تحتاج إلى حمايتها ، ويجب عليها تطبيق سياسة لمنع إرسال تلك البيانات إلى أي تطبيق خارجي غير معتمد ومؤمن بشكل صحيح من قبل المؤسسة. في هذا الصدد ، لا يختلف ChatGPT حقا عن حساب Dropbox الشخصي. قد تسمح مؤسستك باستخدام Dropbox الشخصي وتتسامح معه ، ولكن يجب عليها أيضا التأكد من عدم تحميل بياناتها الأكثر أهمية إلى هذا التطبيق غير المصرح به وغير الآمن. بنفس الطريقة ، من المحتمل أن يكون لدى المؤسسات التي لديها برامج أمان بيانات ناضجة بالفعل سياسة لمنع تسريب البيانات الحساسة إلى أي تطبيق غير مصرح به والذي يجب أن يمتد بشكل طبيعي إلى تطبيقات مثل ChatGPT. Skyhigh Security العملاء بالفعل في الطليعة في هذا المجال لأنهم يستفيدون بالفعل من نضج ودرجة عالية متقدم Data Loss Prevention محرك (DLP) بإمكانيات قوية مثل مطابقة البيانات التامة (EDM) ومطابقة البيانات المفهرسة (IDM) والتعرف الضوئي على الأحرف (OCR) والمزيد.
أحد التطورات الأخيرة من OpenAI الذي يجلب أملا إضافيا هو عنصر تحكم جديد لتعطيل تاريخ محادثات ChatGPT والتدريب على تلك المحادثات. من خلال الوجه البسيط للمفتاح في واجهة المستخدم ، يمكن للمستخدمين الإشارة إلى أنهم لا يريدون تخزين بياناتهم ، ويجب عدم استخدامها لتدريب ChatGPT. سيتعين على المستخدمين تمكين هذا الخيار يدويا ، والذي يتم تعطيله افتراضيا ، ولكنه يوفر طبقة إضافية من الأمان لمنع تدريب نموذج ChatGPT على البيانات التي يحتمل أن تكون حساسة. Skyhigh Security اختبر بالفعل سياسة في حل SWG الخاص بنا تفرض تمكين هذا الخيار الجديد لأي جهاز مدار يمر عبر وكيلنا بغض النظر عن الحساب الذي قام المستخدم بتسجيل الدخول إليه.
معاقبة الخدمة
أعلنت OpenAI أيضا عن خطط لاشتراك ChatGPT Business في المستقبل. باستخدام خيار الاشتراك الجديد هذا ، ستتمكن المؤسسات من إنشاء حسابات تجارية لمستخدميها وإدارة كيفية التعامل مع بياناتهم مركزيا. هذا يمكن ، من المحتمل ، أن يجلب العديد من القدرات الأخرى ل Skyhigh Security منصة SSE في اللعب. الأول هو ما نسميه "قيود المستأجر" التي تمكنك من السماح بتسجيل الدخول فقط إلى المستأجر الخاضع للعقوبات ، أو مثيل ، للتطبيق أثناء حظر الحسابات الشخصية وحسابات الجهات الخارجية. سيكون هذا أمرا بالغ الأهمية إذا أرادت المؤسسات السير في مسار ChatGPT Business لتطبيق سياسات معالجة البيانات عبر الشركة. سيكون القيام بذلك غير مجدي إذا لم تتمكن أيضا من منع المستخدمين من تسجيل الدخول إلى حسابات ChatGPT الشخصية غير الخاضعة للرقابة.
Skyhigh Securityلقد نجح الفريق الهندسي بالفعل في إجراء إثبات للمفهوم يتفاعل مع واجهات برمجة تطبيقات OpenAI لفحص الملفات التي تم تحميلها على منصة OpenAI باستخدام cloud access security broker (كاسب) جزء من محفظتنا. على الرغم من أن واجهات برمجة تطبيقات OpenAI لا تدعم حتى الآن جميع حالات الاستخدام، إلا أننا سنستمر في البحث عن فرص للبحث عن البيانات الحساسة ومعالجتها في مستأجري المؤسسات في عملية خارج النطاق باستخدام إمكانات واجهة برمجة تطبيقات CASB الخاصة بنا.
وبالمثل ، إذا كان ChatGPT يوفر القدرة على استخدام تسجيل الدخول الأحادي (SSO) من موفر هوية تابع لجهة خارجية ، فإن Skyhigh Securityستكون تقنية CASB قادرة على تحقيق قيمة. من خلال التوصيل بعملية تسليم SAML بين ChatGPT وموفر هوية تابع لجهة خارجية، يمكن ل CASB الحصول على مصادقة مضمنة لأي جهاز في العالم لمستأجر ChatGPT الخاص بك وإجراء التحكم في الوصول إلى الجهاز. بهذه الطريقة ، سنكون قادرين على تقييد الوصول إلى مؤسستك ChatGPT بحيث لا يمكن الوصول إلا للأجهزة الموثوقة. لم يتم التأكيد ، حتى كتابة هذه السطور ، على أن OpenAI تخطط لتقديم تسجيل الدخول الأحادي ، ولكن من المحتمل جدا أن يكون هذا نهجا شائعا للمصادقة وإدارة الحساب.
إلى زملائي في Skyhigh Security، ما ناقشناه للتو سيبدو وكأنه ملخص موجز لمحادثاتنا اليومية مع العملاء. هذا ما نفعله. قد تجلب روبوتات المحادثة الذكاء الاصطناعي ، وتحديدا ChatGPT ، تطورا جديدا لخطر فقدان البيانات ، ولكن بالنسبة لمحترفي أمن البيانات ، لا تزال نفس الوظيفة تتطلب نفس الأدوات وبنفس المخاطر. من المحتمل أنك مستعد للعديد من هذه الأدوات بالفعل ، ولكن إذا وجدت عناصر التحكم في الأمان الخاصة بك غير موجودة ، فامنحنا فرصة لنوضح لك كيف يمكننا المساعدة. هذا صحيح في غرفة القيادة لدينا لأن حماية بيانات عملائنا هو ما نقوم به كل يوم.
لمعرفة المزيد حول كيفية القيام بذلك Skyhigh Security يمكن أن تساعدك في الاتصال بنا اليوم.
العودة إلى المدونات