Preloader

حرکت در میان تهدید فزاینده‌ی استفاده غیرمدیریت‌شده از هوش مصنوعی

حرکت در میان تهدید فزاینده‌ی استفاده غیرمدیریت‌شده از هوش مصنوعی

حرکت در میان تهدید فزاینده‌ی استفاده غیرمدیریت‌شده از هوش مصنوعی

هوش مصنوعی در حال متحول کردن شیوه‌ی عملکرد سازمان‌ها و کسب‌وکارهاست، اما این تحول بزرگ در کنار فرصت‌هایش، تهدیدهای تازه و نادیده‌ای را نیز پدید آورده است. با گسترش سریع استفاده کارکنان و واحدهای مختلف از ابزارهای مبتنی بر هوش مصنوعی، بسیاری از سازمان‌ها به‌تدریج در حال از دست دادن کنترل بر نحوه و محل استفاده از این فناوری هستند.

 

در دل این روند، پدیده‌ای جدید و نگران‌کننده ظهور کرده است. هوش مصنوعی سایه (Shadow AI) یعنی استفاده از ابزارهای هوش مصنوعی بدون نظارت یا تأیید تیم‌های فناوری اطلاعات و امنیت. این مسئله اکنون به یکی از چالش‌های راهبردی اصلی برای مدیران ارشد امنیت اطلاعات (CISO) تبدیل شده است.

 

بر اساس گزارش جدید شرکت Delinea با عنوان «هوش مصنوعی در امنیت هویت در سال ۲۰۲۵: نیاز به راهبردی نو»، حدود ۴۴ درصد از سازمان‌هایی که از هوش مصنوعی بهره می‌برند، اعلام کرده‌اند که واحدهای مختلفشان بدون هماهنگی با بخش‌های فناوری یا امنیت، از ابزارهای هوش مصنوعی استفاده می‌کنند. همین میزان 44 درصد نیز از فعالیت کارکنان در استفاده‌ی غیرمجاز از هوش مصنوعی مولد   (Generative AI)آسیب دیده‌اند.

در ادامه، سه تهدید اصلی ناشی از گسترش هوش مصنوعی سایه و راهکارهای کلیدی برای کاهش این خطرات از منظر CISO بررسی می‌شود:

 

راهکار اول؛ شکاف‌های سیاست‌گذاری و نبود نظارت کافی بر حاکمیت هوش مصنوعی

اگرچه ۸۹ درصد از سازمان‌ها ادعا می‌کنند نوعی سیاست یا کنترل امنیتی برای محدودسازی یا نظارت بر دسترسی هوش مصنوعی به داده‌های حساس دارند، اثربخشی و گستره‌ی این تدابیر به‌طور چشمگیری متفاوت است.

تنها ۵۲ درصد از شرکت‌های جهانی از کنترل‌های جامع برخوردارند، در حالی که سازمان‌های کوچک‌تر فاصله‌ی بیشتری از استاندارد مطلوب دارند. نبود چارچوب حاکمیت قوی و شفافیت کافی در فعالیت‌های هوش مصنوعی باعث افزایش خطر نقض داده، تخطی از مقررات و افشای ناخواسته‌ی اطلاعات می‌شود.

برای مثال، داشتن سیاست مشخصی برای استفاده مجاز از ابزارهای هوش مصنوعی باید حداقل اقدام ممکن باشد، اما فقط ۵۷ درصد از سازمان‌ها چنین سیاستی را ایجاد کرده‌اند. کنترل‌های حیاتی دیگر نیز وضعیت مطلوبی ندارند:

کنترل دسترسی به مدل‌ها و عامل‌های AI تنها در ۵۵ درصد از شرکت‌ها فعال است، ثبت و ممیزی فعالیت‌های AI هم در ۵5 درصد و مدیریت هویت برای موجودیت‌های هوش مصنوعی در فقط ۴۸ درصد از سازمان‌ها اجرا می‌شود.

بدون این کنترل‌های زیربنایی، مدیران امنیت اطلاعات عملاً دید کاملی نسبت به فعالیت‌های هوش مصنوعی در زیرساخت دیجیتال خود ندارند.

 

راهکار دوم؛ چالش‌های عصر هوش مصنوعی عاملی (Agentic AI)

با پیشرفت سریع فناوری به سمت هوش مصنوعی عاملی (Agentic AI) سیستم‌هایی که قادرند به‌صورت خودکار تصمیم‌گیری و اقدام کنند؛  ابعاد تازه‌ای از تهدیدهای امنیتی  پیدا کرده‌اند.

هرچه این Agent AIها کنترل و دسترسی بیشتری بر داده‌ها و سامانه‌های حیاتی سازمانی به دست آورند، خطر نفوذ، سوءاستفاده یا اجرای اقدام‌های غیرمجاز افزایش می‌یابد. ضعف در امنیت هویت دیجیتال، این آسیب‌پذیری را چند برابر می‌کند.

در چنین شرایطی، لازم است تیم‌های امنیتی راهبردهای سنتی خود را به‌روزرسانی کرده و هویت‌های ماشینی (Machine Identities) را همانند کاربران انسانی با دقت، احراز، کنترل و پایش کنند. تنها با چنین نگاهی می‌توان از رشد سامانه‌های خودمختار در عین حفظ امنیت داده‌ها بهره‌برداری کرد.

 

راهکار سوم؛ اعتماد بیش از حد سازمان‌ها به مدیریت هویت ماشینی

در حالی که بسیاری از سازمان‌ها هنوز فاقد حاکمیت جامع در حوزه‌ی هوش مصنوعی هستند، سطح اعتمادشان به امنیت هویت ماشینی بیش از واقعیت است.

طبق پژوهش  Delinea، ۹۳ درصد از سازمان‌ها به امنیت هویت‌های ماشینی خود اطمینان دارند، اما در عمل ۸۲ درصد از آن‌ها فقط از فرایندهای اولیه برای مدیریت چرخه‌ی عمر این هویت‌ها استفاده می‌کنند و تنها ۵۸ درصد کنترل‌های جامع و خودکار دارند.

به‌علاوه، فقط ۶۱ درصد از شرکت‌ها اعلام کرده‌اند که دید کامل نسبت به همه‌ی هویت‌های ماشینی در شبکه‌ی خود دارند. این شکاف میان اعتماد و واقعیت باعث می‌شود تهدید‌های پنهان در لایه‌های هوش مصنوعی بدون شناسایی باقی بمانند و در نهایت به رخنه‌های امنیتی منجر شوند.

 

چگونه از امنیت هویت در برابر هوش مصنوعی سایه محافظت کنیم؟

برای کاهش خطرات ناشی از استفاده غیرمدیریت‌شده از هوش مصنوعی، نخستین گام تقویت شفافیت و حاکمیت است.

سازمان‌ها باید دستورالعمل‌های دقیق برای استفاده مجاز از ابزارهای هوش مصنوعی تدوین کرده، کنترل‌های سخت‌گیرانه‌ی دسترسی را اعمال کنند، فعالیت‌های AI را ثبت و ممیزی کنند و سیستم مدیریت هویت برای موجودیت‌های هوش مصنوعی را نهادینه سازند.

زمانی که موجودیت‌های AI به‌عنوان «هویت‌های مستقل دیجیتال» در نظر گرفته شوند،  با همان استانداردهای احراز هویت، مجوزدهی، نظارت و پاسخگویی کاربران انسانی می‌توان از پتانسیل این فناوری بدون آسیب به امنیت بهره‌مند شد.

با گسترش Agentic AI، لازم است راهبردهای مدیریت هویت دیجیتال نیز تحول یابند. این تحول شامل کنترل دقیق‌تر دسترسی، پایش پیوسته‌تر، ممیزی عمیق‌تر و به‌کارگیری سامانه‌های پیشرفته‌ی مدیریت هویت است که بتوانند با سرعت رشد فناوری هوش مصنوعی همگام شوند.

 

در نهایت، مدیران امنیت اطلاعات و رهبران فناوری CISO و CTO باید رویکردی پیش‌گیرانه، پویا و مشارکتی در پیش بگیرند، رویکردهایی نظیر همکاری مداوم با واحدهایی که در حال آزمودن ابزارهای هوش مصنوعی هستنند یا نسبت به تهدیدات نوظهور روند افزایش  آگاهی در پیش بگیرند. آنها باید چارچوبی قدرتمند برای حاکمیت هوش مصنوعی طراحی کنند که میان نوآوری، امنیت و مدیریت ریسک توازن برقرار کند.

 

سازمانی که بتواند امنیت هویت دیجیتال خود را هم‌پای تحولات هوش مصنوعی ارتقا دهد، می‌تواند با اطمینان از ظرفیت‌های AI بهره گیرد و در عین حال از داده‌ها و عملیات حیاتی خود در برابر تهدیدات سایه محافظت کند.

 

منبعمدادپرس
www.medadpress.ir