الذكاء الاصطناعي
تسبب تقرير حديث صدر عن معهد ماساتشوستس للتكنولوجيا بعنوان The GenAI Divide: State of AI in Business 2025 (فجوة الذكاء الاصطناعي التوليدي: حالة الذكاء الاصطناعي في الأعمال 2025)، في تراجع كبير بأسهم شركات التكنولوجيا. وبينما يقدم التقرير ملاحظات مثيرة للاهتمام عن اقتصاديات وتنظيم تنفيذ الذكاء الاصطناعي في مجال الأعمال، فإنه يحتوي أيضًا على رؤى قيّمة لفرق الأمن الإلكتروني. ولم يهتم كاتبي التقرير بالقضايا الأمنية: حيث لا تظهر كلمات “الأمان” أو “الأمن الإلكتروني” أو “السلامة” في التقرير على الإطلاق. ومع ذلك، يمكن ويجب أخذ نتائجه في الاعتبار عند التخطيط لسياسات جديدة لأمان الذكاء الاصطناعي في الشركات.
الملاحظة الأساسية هي أنه بينما اشترت 40% فقط من الشركات التي شملها الاستطلاع اشتراكات في نماذج اللغات الكبيرة (LLM)، فإن 90% من الموظفين يستخدمون بانتظام أدوات شخصية مدعومة بالذكاء الاصطناعي في مهام العمل. ويُقال إن “اقتصاد الذكاء الاصطناعي الخفي” – وهو المصطلح المستخدم في التقرير – أكثر فعالية من الاقتصاد الرسمي. وتحقق 5% فقط من الشركات فائدة اقتصادية من تطبيقات الذكاء الاصطناعي الخاصة بها، بينما ينجح الموظفون في تعزيز إنتاجيتهم الشخصية بنجاح.
غالبًا ما يكون النهج “من الأعلى إلى الأسفل” في تطبيق الذكاء الاصطناعي غير ناجح. لذلك، يوصي المؤلفون “التعلم من الاستخدام الخفي وتحليل الأدوات الشخصية التي تقدم قيمة، قبل الحصول على بدائل مخصصة للمؤسسة”. إذن، كيف تتوافق هذه النصيحة مع قواعد الأمن الإلكتروني؟
حظر كامل للذكاء الاصطناعي الخفي
يفضل العديد من كبار مسؤولي أمان المعلومات (CISOs) سياسة تقضي باختبار أدوات الذكاء الاصطناعي وتطبيقها – أو الأفضل من ذلك، تطوير أدوات خاصة بالشركة – ومن ثم حظر جميع الأدوات الأخرى. وقد يكون هذا النهج غير فعال اقتصاديًا، مما قد يؤدي إلى تخلف الشركة عن منافسيها. وقد يصعب كذلك فرضه، حيث إن ضمان الامتثال يمكن أن يكون تحديًا ومكلفًا في الوقت نفسه. ومع ذلك، قد تكون سياسة الحظر هي الخيار الوحيد لبعض الصناعات الخاضعة لتنظيمات صارمة أو لوحدات الأعمال التي تتعامل مع بيانات بالغة الحساسية. ويمكن استخدام الطرق التالية لتطبيق هذه السياسة:
- حجب الوصول إلى جميع أدوات الذكاء الاصطناعي الشائعة على مستوى الشبكة باستخدام أداة تصفية للشبكة.
- تكوين نظام لمنع فقدان البيانات (DLP) لمراقبة وحظر نقل البيانات إلى تطبيقات وخدمات الذكاء الاصطناعي؛ ويشمل ذلك منع نسخ ولصق الكتل النصية الكبيرة عبر الحافظة.
- استخدام سياسة قائمة التطبيقات المسموح بها على أجهزة الشركة، لمنع الموظفين من تشغيل تطبيقات خارجية قد تُستخدم للوصول المباشر إلى الذكاء الاصطناعي أو لتجاوز الإجراءات الأمنية الأخرى.
- حظر استخدام الأجهزة الشخصية في المهام المتعلقة بالعمل.
- استخدام أدوات إضافية، مثل تحليلات الفيديو، لاكتشاف والحد من قدرة الموظفين على التقاط صور لشاشات أجهزة الكمبيوتر باستخدام هواتفهم الذكية الشخصية.
- وضع سياسة على مستوى الشركة تحظر استخدام أي أدوات للذكاء الاصطناعي، باستثناء تلك الموجودة في قائمة معتمدة من الإدارة ونشرها من قبل فرق الأمان في الشركة. ويجب توثيق هذه السياسة بشكل رسمي، وأن يتلقى الموظفون التدريب المناسب بشأنها.
الاستخدام غير المقيد للذكاء الاصطناعي
إذا كانت الشركة تعتبر مخاطر استخدام أدوات الذكاء الاصطناعي ضئيلة، أو لديها أقسام لا تتعامل مع بيانات شخصية أو بيانات حساسة أخرى، فيمكن أن يكون استخدام الذكاء الاصطناعي من قبل هذه الفرق غير مقيّد تقريبًا. ومن خلال وضع قائمة قصيرة من الإجراءات والقيود الوقائية، يمكن للشركة مراقبة عادات استخدام نماذج اللغات الكبيرة (LLM)، وتحديد الخدمات الشائعة، واستخدام هذه البيانات للتخطيط للإجراءات المستقبلية وتحسين تدابيرها الأمنية. وحتى مع هذا النهج الديمقراطي، لا يزال من الضروري:
- تدريب الموظفين على أساسيات الاستخدام المسؤول للذكاء الاصطناعي بمساعدة وحدة للأمن الإلكتروني. هناك نقطة انطلاق جيدة للبدء بها: توصياتنا، أو إضافة دورة متخصصة لمنصة التوعية الأمنية الخاصة بالشركة.
- إعداد سجلات مفصلة لحركة مرور التطبيقات بهدف تحليل نمط استخدام الذكاء الاصطناعي وأنواع الخدمات المستخدمة.
- التأكد من أن جميع الموظفين لديهم عميل EPP / EDR مُثبت على أجهزتهم الخاص بالعمل، و حل أمان قوي على أجهزتهم الشخصية. (كان “تطبيق ChatGPT” الطُعم المفضل للمحتالين لنشر برامج سرقة المعلومات في الفترة 2024-2025.)
- إجراء استطلاعات رأي منتظمة لمعرفة مدى تكرار استخدام الذكاء الاصطناعي وفي أي مهام. وبناءً على بيانات القياس عن بعد وبيانات الاستطلاعات، قم بقياس تأثير ومخاطر استخدامه لتعديل سياساتك.
قيود متوازنة على استخدام الذكاء الاصطناعي
عندما يتعلق الأمر باستخدام الذكاء الاصطناعي على مستوى الشركة، فمن غير المرجح أن يكون أي من الخيارين المتطرفين – الحظر التام أو الحرية المطلقة – مناسبًا. وسيكون النهج الأكثر مرونة هو وضع سياسة تسمح بمستويات مختلفة من الوصول إلى الذكاء الاصطناعي بناءً على نوع البيانات المستخدمة. ويتطلب التطبيق الكامل لهذه السياسة ما يلي:
- عميل ذكاء اصطناعي متخصص يعمل على تنقية الاستعلامات بشكل فوري عبر إزالة أنواع محددة من البيانات الحساسة (مثل الأسماء أو معرّفات العملاء)، ويستخدم في الوقت نفسه نظام التحكم في الوصول القائم على الأدوار لمنع حالات الاستخدام غير الملائمة.
- بوابة للخدمة الذاتية لتكنولوجيا المعلومات، مخصصة للموظفين للتصريح عن استخدامهم لأدوات الذكاء الاصطناعي — بدءًا من النماذج والخدمات الأساسية وصولاً إلى التطبيقات المتخصصة وملحقات المستعرضات.
- حل (NGFW أو CASB أو DLP أو غير ذلك) للمراقبة التفصيلية والتحكم في استخدام الذكاء الاصطناعي على مستوى الطلبات المحددة لكل خدمة.
- فقط للشركات التي تطور البرامج: تعديل خطوط أنابيب التكامل المستمر/النشر المستمر (CI/CD) وأدوات تحليل أمان التطبيقات الساكنة/الديناميكية (SAST/DAST) لتحديد التعليمات البرمجية التي يولدها الذكاء الاصطناعي تلقائيًا، ووضع علامة عليها لاتخاذ خطوات تحقق إضافية.
- على غرار السيناريو غير المقيّد، يجب توفير تدريب منتظم للموظفين، وإجراء استطلاعات، وتوفير أمان قوي لكل من أجهزة العمل والأجهزة الشخصية.
بعد توفير المتطلبات المذكورة، يجب وضع سياسة تغطي الأقسام المختلفة وأنواع المعلومات المتنوعة. وقد تبدو شيئًا كهذا:
| أدوات الذكاء الاصطناعي المحلية أو السحابية الموثوقة | خدمة الذكاء الاصطناعي الخارجية (عبر عميل ذكاء اصطناعي مؤسسي) | الذكاء الاصطناعي المتاح للعموم (من الأجهزة والحسابات الشخصية) | نوع البيانات |
| مسموح بها (مسجّلة) | مسموح بها (مسجّلة) | مسموح بها (تم التصريح عنها عبر بوابة الشركة) | بيانات عامة (مثل نسخة إعلان) |
| مسموح بها (مسجّلة) | مسموح بها (مسجّلة) | لا يُشجّع استخدامها لكنها ليست محظورة. تتطلب الإفصاح عنها | بيانات داخلية عامة (مثل محتوى البريد الإلكتروني) |
| مسموح بها (مسجلة، مع إزالة البيانات الشخصية حسب الحاجة) | مسموح بها لسيناريوهات محددة يوافق عليها المدير (يجب إزالة البيانات الشخصية؛ وتتطلب التعليمات البرمجية فحوصات آلية ويدوية) | يتم منعها بواسطة DLP / CASB / NGFW | بيانات سرية (مثل التعليمات البرمجية المصدرية للتطبيق أو الاتصالات القانونية أو الموارد البشرية) |
| مسموح بها بموافقة رئيس أمان المعلومات (CISO)، وتخضع لمتطلبات التخزين التنظيمية | محظورة | محظورة | بيانات منظمة عالية التأثير (مالية وطبية، وما إلى ذلك) |
| محظورة (الاستثناءات ممكنة فقط بموافقة مجلس الإدارة) | محظورة | محظورة | بيانات بالغة الأهمية والسرية |
لتطبيق السياسة، من الضروري تبني نهج تنظيمي متعدد المستويات، بالإضافة إلى الأدوات الفنية. أولاً وقبل كل شيء، يجب تدريب الموظفين على المخاطر المرتبطة بالذكاء الاصطناعي – بدءًا من تسرب البيانات والهلوسات وصولاً إلى حقن الأوامر. ويجب أن يكون هذا التدريب إلزاميًا للجميع في المؤسسة.
بعد التدريب الأولي، من الضروري وضع سياسات أكثر تفصيلاً وتوفير تدريب متقدم لرؤساء الأقسام. وسيمكنهم هذا من اتخاذ قرارات مستنيرة بشأن الموافقة على أو رفض طلبات استخدام بيانات محددة مع أدوات الذكاء الاصطناعي العامة.
السياسات والمعايير والتدابير الأولية ليست سوى البداية؛ وهي بحاجة إلى تحديث منتظم. ويتضمن ذلك تحليل البيانات، وتحسين حالات استخدام الذكاء الاصطناعي في العالم الحقيقي، ومراقبة الأدوات الشائعة. وهناك حاجة إلى بوابة الخدمة الذاتية تكون بيئة خالية من الضغط حيث يمكن للموظفين شرح أدوات الذكاء الاصطناعي التي يستخدمونها ولأي أغراض. وتثري هذه الملاحظات القيمة تحليلاتك، وتساعد في بناء حالة أعمال لاعتماد الذكاء الاصطناعي، وتوفر نموذجًا يستند إلى الأدوار لتطبيق سياسات الأمان الصحيحة.
أخيرًا، يجب وجود نظام متعدد المستويات للتعامل مع الانتهاكات. الخطوات الممكنة:
- تحذير آلي، ودورة تدريبية مصغرة إلزامية حول الانتهاك المحدد.
- اجتماع خاص بين الموظف ورئيس قسمه ومسؤول أمان المعلومات.
- حظر مؤقت على الأدوات المدعومة بالذكاء الاصطناعي.
- إجراءات تأديبية صارمة من خلال الموارد البشرية.
نهج شامل لأمن الذكاء الاصطناعي
تغطي السياسات التي ناقشناها هنا نطاقًا محدودًا نسبيًا من المخاطر المرتبطة باستخدام حلول البرمجيات كخدمة (SaaS) للذكاء الاصطناعي التوليدي. ولإنشاء سياسة شاملة تتناول المجموعة الكاملة من المخاطر ذات الصلة، راجع إرشاداتنا الخاصة بالتطبيق الآمن لأنظمة الذكاء الاصطناعي، التي طورتها Kaspersky بالتعاون مع خبراء موثوقين آخرين.
النصائح