ה-AI לא "פרץ" לארגון, נתנו לו הרשאות
בשנה האחרונה אנחנו עדים לחידוש חיובי ויוצא דופן: המירוץ בין חברות הבינה המלאכותית הפך את ה-AI מכלי נסיוני לשותף נגיש וידידותי מאי פעם. אנחנו נהנים מהתנופה הזו בכל יום - משימות מורכבות שבעבר גזלו מאיתנו ימי עבודה מתכווצות לדקות ספורות, ופתאום מתפנה לנו מקום בראש לפתור את הבעיות הקשות באמת ולייעל תהליכים ארגוניים בקצב שלא הכרנו.
AI כבר מזמן לא שמור רק למפתחי תוכנה או לצוותים טכניים. כיום מצופה כמעט מכל עובד ועובדת - ממשאבי אנוש דרך שיווק ועד ניהול מוצר - להשתמש בו כחלק משגרת העבודה שלהם. חברות שלמות מגדירות את עצמן כ-AI Native ועובדים חוששים להיות מוחלפים ע"י AI. הסיבות לכך ברורות - ארגונים רוצים (ויכולים!) להיות יעילים יותר, חכמים יותר ומהירים יותר. הבעיה? בין הציפייה ליישום נוצר ואקום מסוכן - AI שמחובר לארגון יכול גם להשמיד אותו.
דמיינו עובדת שרוצה לייעל תהליכים ומוסיפה כלי AI חיצוני שעוזר לסכם פגישות או לנהל את היומן. זו נשמעת כמו פעולה תמימה, אך בפועל היא עשויה להעניק גישה לא צפויה ומתירנית.
את הדינמיקה הזו ראינו גם באירועים אמיתיים מהשנים האחרונות: במקרה שפורסם סביב מקדונלד'ס, אינטגרציה חיצונית שנועדה לייעל תהליכים תפעוליים קיבלה הרשאות עודפות, וחשפה נתונים רגישים של 64 מיליון (!) מועמדים לעבודה. חשיפת הנתונים לא התבצעה דרך פריצה לחשבון של עובד, אלא דרך זהות טכנולוגית שנוצרה לצורך נוחות ונשארה בלי פיקוח מספק. זה רק עניין של זמן עד ש-AI ימחק מסדי נתונים, ישמיד משאבי מחשוב או אפילו יפטר עובדים בשביל להשיג את המטרה שהוגדרה לו.
המשפט “עם כוח גדול מגיעה אחריות גדולה” אולי נשמע כמו קלישאה, אבל כשמסתכלים על הדרך שבה AI נכנס לארגונים בשנים האחרונות - הוא נשמע כמו תיאור מדויק של בעיה הנדסית. הבעיה היא שהאחריות הזו זלגה בפועל אל כתפי עובדים שלא הוכשרו אליה, לא מתוך רשלנות אלא בשל היעדר מסגרת ארגונית ברורה. מצופה מהם ליזום, לאלתר ולהתנסות בלי סטנדרטים ברורים, בלי תשתיות אבטחה מתאימות ובלי הבנה של הסיכונים.
כמהנדסים, קל לנו להתחבר לעולם הזה כי אנחנו רואים את המורכבות מאחורי הקלעים. אנחנו מבינים שמערכת חכמה עלולה להיות מערכת מסוכנת אם לא מנהלים את ההרשאות שלה נכון. האחריות שלנו ושל הארגונים היא לא להשאיר את הידע הזה רק אצל “הטכנולוגים” - הרי זה אותו פער תמידי שנוצר בין אימוץ מהיר של טכנולוגיה לבין היכולת שלנו לאבטח אותה. אם AI הוא כלי עבודה לכולם, אז ניהול זהויות AI וההרשאות שלהן חייב להיות חלק מהשיח הארגוני כולו.
חשוב לציין כי פוטנציאל הנזק לא טמון ב-AI עצמו, אלא בפער בין קצב האימוץ לבין קצב ההבנה והאבטחה. כולם רצים קדימה, אך מעטים עוצרים לשאול: מי אחראי על הזהויות האלו? איך מנהלים אותן? מה קורה כשמשהו משתבש? ה-AI בנוי לְרַצּוֹת אותנו, ולשם כך הוא עלול לפעול בצורה חמדנית ולנצל את כל ההרשאות שיש לו בשביל להגשים את המשימה. זה רק עניין של זמן עד שזה יצא משליטה.
אימוץ מהיר של טכנולוגיות בלי אחריות הוא לא חדשנות, הוא חוב טכני. וכמו בכל גל טכנולוגי קודם, החוב הזה בסוף נגבה. דרושה שכבת יסוד שתאפשר למהנדסים לבנות מהר ולחברות לצמוח בקצב מסחרר בלי לאבד שליטה.
מי שלא יבין שהטמעת טכנולוגיה חדשה בלי אחריות הוא סיכון, יגלה את זה לא דרך חדשנות, אלא דרך משבר!
ליאור גלאם היא Software Engineer בחברת Oasis Security
