کارشناسان امنیت سایبری عقیده دارند که دنیای دیجیتال هر لحظه در حال پیشرفت است و امنیت سایبری باید همزمان با آن رشد کند.
 
به گزارش افتانا به نقل از اچ‌بی‌آر، امنیت سایبری چه فایده ای دارد؟
 
این سوال ممکن است اساسی به نظر برسد، اما یکی از مهم‌ترین مسائلی را که شرکت‌ها در سراسر جهان با آن مواجه هستند، لمس می‌کند. در واقع، این سؤال بسیار حیاتی است زیرا – علی‌رغم تلاش‌های مکرر برای تقویت سیستم‌های دیجیتال در چند دهه گذشته – تهدیدات سایبری شایع شده‌اند.
 
تنها در سال 2022، در مجموع 4100 مورد نقض داده‌های حساس رخ داده است. همه این‌ها در حالی است که سازمان‌های سراسر جهان در سال 2021 با هزینه 150 میلیارد دلار برای امنیت سایبری یک رکورد ثبت کردند.
 
نرم‌افزارها نیز در حال تغییر و پیشرفت هستند. ظهور هوش مصنوعی به طور کلی و هوش مصنوعی مولد به طور خاص، اساساً نحوه استفاده شرکت‌ها از نرم‌افزار را تغییر می‌دهد. افزایش استفاده از هوش مصنوعی به نوبه خود سطوح حمله نرم‌افزار را پیچیده‌تر و خود نرم‌افزار را آسیب‌پذیرتر می‌کند.
 
پس شرکت‌ها چگونه باید نرم‌افزار و داده‌های خود را ایمن کنند؟
 
تأمین امنیت سایبری یک تلاش بیهوده نیست و در عوض، آنچه شرکت‌ها قصد دارند از برنامه‌های امنیتی خود به دست آورند، باید تکامل یابد، درست مانند روشی که شرکت‌ها از داده‌ها و نرم‌افزارها تکامل یافته‌اند. زمان آن است که تلاش‌های امنیت سایبری آن‌ها نیز تغییر کند.
 
به طور خاص، شرکت‌ها می‌توانند با ایجاد سه تغییر در روش‌های تقویت نرم‌افزار خود، با ناامنی‌های روزافزون دنیای دیجیتال سازگار شوند:
 

اول، شرکت‌ها نباید در برنامه‌های امنیت سایبری خود شکست خوردن را نادیده بگیرند. سیستم‌های نرم‌افزاری، هوش مصنوعی و داده‌هایی که همه بر آن‌ها تکیه می‌کنند آنقدر پیچیده و شکننده هستند که خرابی در واقع یکی از ویژگی‌های این سیستم‌هاست، نه یک اشکال.
 
از آنجا که سیستم‌های هوش مصنوعی بر پایه احتمال ساخته شده‌اند یعنی ممکن است گاهی اوقات اشتباه کنند، از نرم‌افزارها هم نمی‌توان انتظاری فراتر از آن‌ها را داشت زیرا با افزایش پیچیدگی، آسیب‌پذیری‌های آن‌ها نیز افزایش می‌یابد. به همین دلیل، برنامه‌های امنیت سایبری باید تمرکز خود را از تلاش برای جلوگیری از حوادث به شناسایی و پاسخ به شکست‌ها در زمانی که ناگزیر رخ می‌دهند، تغییر دهند.
 
اتخاذ معماری‌های به‌اصطلاح اعتماد صفر که بر این فرض استوار است که همه سیستم‌ها می‌توانند توسط دشمنان به خطر بیفتند، یکی از راه‌های اساسی برای شناسایی و پاسخ به این خطرات است. دولت ایالات متحده حتی یک استراتژی اعتماد صفر دارد که آن را در سازمان‌ها اجرا می کند.
 
با این وجود، پذیرش معماری‌های اعتماد صفر تنها یکی از تغییرات زیادی است که باید در مسیر پذیرش شکست در سیستم‌های نرم‌افزاری رخ دهد. شرکت‌ها همچنین باید روی برنامه‌های واکنش به حادثه‌شان سرمایه‌گذاری بیشتری کنند، نرم‌افزار قرمز و هوش مصنوعی خود را برای انواع خرابی‌ها با شبیه‌سازی حملات احتمالی، تقویت برنامه‌ریزی داخلی واکنش به حادثه برای نرم‌افزارهای سنتی و سیستم‌های هوش مصنوعی و موارد دیگر، سرمایه‌گذاری کنند.
 
دوم، شرکت‌ها باید تعریف خود را از «شکست» برای سیستم‌ها و داده‌های نرم‌افزاری گسترش دهند تا چیزهایی فراتر از خطرات امنیتی را دربرگیرد. خرابی‌های دیجیتال دیگر صرفاً به امنیت مربوط نمی‌شوند، بلکه در عوض اکنون شامل مجموعه‌ای از آسیب‌های بالقوه دیگر از خطاهای عملکردی گرفته تا مسائل مربوط به حریم خصوصی، تبعیض و موارد دیگر می‌شوند. در واقع، با پذیرش سریع هوش مصنوعی، تعریف یک حادثه امنیتی به خودی خود دیگر مشخص نیست.
 
برای مثال، اطلاعات لاما (LLaMA)، مدل هوش مصنوعی مولد متا در ماه مارس نشت کرد و به هر کاربری این امکان را می‌داد که مدل چند میلیارد پارامتری را روی لپ‌تاپ خود اجرا کند. این نشت ممکن است به عنوان یک حادثه امنیتی آغاز شده باشد، اما همچنین نگرانی‌های مالکیت معنوی جدیدی را در مورد اینکه چه کسی حق استفاده از مدل هوش مصنوعی را دارد ایجاد کرد و حریم خصوصی داده‌هایی را که مدل بر روی آن‌ها آموزش دیده بود، تضعیف کرد.
 
پارامترها می‌توانند به بازآفرینی داده‌های آموزشی آن کمک کنند و بنابراین حریم خصوصی را نقض می‌کنند و اکنون که به صورت رایگان در دسترس است، این مدل می‌تواند به طور گسترده‌تری برای ایجاد و انتشار اطلاعات نادرست استفاده شود. به زبان ساده، دیگر نیازی به در معرض خطر قرار دادن یکپارچگی یا در دسترس بودن سیستم‌های نرم‌افزاری توسط دشمن نیست. تغییر داده‌ها، وابستگی‌های متقابل پیچیده و استفاده‌های ناخواسته از سیستم‌های هوش مصنوعی می‌تواند به تنهایی منجر به شکست شود.
 
بنابراین برنامه‌های امنیت سایبری را نمی‌توان صرفاً بر روی نقص‌های امنیتی متمرکز کرد. این کار در عمل باعث می‌شود تیم‌های امنیت اطلاعات در طول زمان با افزایش دامنه خرابی‌های نرم‌افزاری، کارایی کمتری داشته باشند. در عوض، برنامه‌های امنیت سایبری باید بخشی از تلاش‌های گسترده‌تر متمرکز بر مدیریت کلی ریسک را تشکیل دهند.
 
این به نوبه خود به این معنی است که تیم‌های امنیت اطلاعات و مدیریت ریسک باید شامل پرسنلی با طیف گسترده‌ای از تخصص فراتر از امنیت به تنهایی باشند. کارشناسان حریم خصوصی، وکلا، مهندسان داده و دیگران، همگی نقش‌های کلیدی در حفاظت از نرم‌افزار و داده‌ها در برابر تهدیدات جدید و در حال تکامل دارند.
 
سوم، نظارت بر عدم موفقیت باید یکی از اصلی‌ترین تلاش‌ها برای همه تیم‌های امنیت سایبری باشد. متاسفانه در حال حاضر اینطور نیست. برای مثال، در سال گذشته، شرکت‌ها به طور متوسط 277 روز یا تقریباً 9 ماه طول کشید تا یک نقض را شناسایی و مهار کنند و برای سازمان‌ها بسیار رایج است که در مورد نقض‌ها و آسیب‌پذیری‌ها در سیستم‌های خود نه از برنامه‌های امنیتی خودشان، بلکه از طریق اشخاص ثالث موضوع را پیگیری کنند. اتکای کنونی به افراد خارجی برای شناسایی، خود یک اعتراف ضمنی است که شرکت‌ها تمام تلاش خود را برای درک زمان و چگونگی خرابی نرم‌افزارشان انجام نمی‌دهند.
 
این در عمل به این معنی است که هر سیستم نرم‌افزاری و هر پایگاه داده نیاز به یک برنامه نظارتی و معیارهای مربوط به خرابی‌های احتمالی دارد. در واقع، این رویکرد در حال حاضر در دنیای مدیریت ریسک برای سیستم‌های هوش مصنوعی مورد توجه قرار گرفته است. به عنوان مثال، موسسه ملی استاندارد و فناوری (NIST)، چارچوب مدیریت ریسک هوش مصنوعی (AI RMF) خود را در اوایل سال جاری منتشر کرد که به صراحت توصیه می‌کند که سازمان‌ها آسیب‌های احتمالی را ترسیم کنند که یک سیستم هوش مصنوعی می‌تواند برنامه‌ای را برای اندازه‌گیری و مدیریت ایجاد و توسعه دهد.
 
با این حال، این بدان معنا نیست که اشخاص ثالث نمی‌توانند نقش مهمی در تشخیص حوادث ایفا کنند. برعکس، اشخاص ثالث نقش مهمی در تشخیص مشکلات دارند. فعالیت‌هایی مانند باگ‌بانتی که در آن پاداش‌ها در ازای شناسایی ریسک‌ها ارائه می‌شود، روشی اثبات‌شده برای ایجاد انگیزه در تشخیص ریسک است، همانطور که راه‌های روشنی برای مشتریان یا کاربران برای برقراری ارتباط با خرابی‌ها در صورت وقوع هستند.
 
آیا توصیه‌های فوق کافی است؟ مطمئنا نه.
 
برای همگام شدن برنامه‌های امنیت سایبری با دامنه رو به رشد خطرات ایجاد شده توسط سیستم‌های نرم‌افزاری، کار بسیار بیشتری باید انجام شود. به عنوان مثال، منابع بیشتری در تمام مراحل چرخه عمر داده‌ها و نرم‌افزار مورد نیاز است؛ از نظارت بر یکپارچگی داده‌ها در طول زمان گرفته تا اطمینان از اینکه امنیت از طریق فرآیندهایی مانند DevSecOps، روشی که امنیت را در طول چرخه عمر توسعه یکپارچه می‌کند. با افزایش استفاده از هوش مصنوعی، برنامه‌های علم داده باید منابع بیشتری را در مدیریت ریسک نیز سرمایه‌گذاری کنند.
 
با این حال، در حال حاضر، شکست‌ها به طور فزاینده‌ای یکی از ویژگی‌های اصلی همه سیستم‌های دیجیتال هستند، زیرا شرکت‌ها به یادگیری راه سخت ادامه می‌دهند. برنامه‌های امنیت سایبری باید این واقعیت را در عمل تصدیق کنند، اگر نه صرفاً به این دلیل که در حال حاضر در واقع یک واقعیت است.
 
منبع: HBR