Automatizacija nije isto što i autopilot: Preispitivanje vještačke inteligencije u korporativnoj bezbjednosti i usklađenosti
Napredak u vještačkoj inteligenciji (VI) donosi značajno ubrzanje u sektorima bezbjednosti i usklađenosti unutar kompanija, ali je ključno shvatiti da automatizacija ne znači nužno i potpuno autonomni rad bez nadzora. Stručnjaci upozoravaju da je ljudski nadzor neophodan kako bi se spriječile potencijalne greške, kao što su nepravilne konfiguracije sistema ili propusti u poštivanju propisa, koji mogu nastati upotrebom VI. Iz tog razloga, neophodno je osigurati da sistemi vještačke inteligencije djeluju unutar jasno definisanih i provjerenih okvira.
Upozorenje o potrebi za ljudskim nadzorom u implementaciji VI u korporativnoj bezbjednosti i usklađenosti objavljeno je od strane uglednih stručnjaka iz oblasti sajber bezbjednosti, koji su svoju analizu podijelili na pouzdanim online platformama, uključujući specijalizovane blogove i stručne forume posvećene tehnologiji i bezbjednosti. Naglašava se da, iako VI nudi efikasnost u procesima poput analize velikih skupova podataka, otkrivanja prijetnji i automatizacije odgovora, njena implementacija zahtijeva pažljivo planiranje i stalni nadzor kako bi se izbjegli rizici.
Konkretno, upozorenje se osvrće na slučajeve u kojima VI, ukoliko nije pravilno konfigurisana ili ukoliko radi sa neprovjerenim podacima, može dovesti do pogrešnih procjena i donošenja odluka koje ugrožavaju bezbjednost ili dovode do nepoštovanja regulatornih zahtjeva. Primjerice, sistem za nadzor usklađenosti koji je vođen VI može propustiti kritične promjene u zakonodavstvu ako nije ažuriran ili ako ne razumije u potpunosti kontekst novih pravila, što može rezultirati propisanim kaznama za kompaniju. Takođe, sistemi za upravljanje identitetom i pristupom, automatizovani VI-em, mogu, u slučaju nepravilne konfiguracije, odobriti neovlašteni pristup osjetljivim podacima.
Ova potreba za ljudskom intervencijom je ilustrovana u nedavnim izvještajima o napadima koji su iskoristili slabosti u automatizovanim sistemima. Naime, metodologija napada često uključuje iskorištavanje propusta u konfiguraciji sistema koji su pod upravom VI, gdje napadači pokušavaju pronaći ili namjerno stvoriti ranjivosti koje VI ne prepoznaje ili ne može ispravno da sanira. Na primjer, ukoliko VI sistem za upravljanje mrežom nije pravilno podešen da prepoznaje neuobičajene obrasce saobraćaja, napadači mogu tajno provući zlonamjerni kod kroz mrežu, što bi ljudski administrator potencijalno brže uočio. Prevaranti u ovakvim scenarijima ne mame žrtve direktno u smislu socijalnog inženjeringa prema krajnjim korisnicima, već ciljaju same tehničke sisteme i njihove operatere, nastojeći da iskoriste propuste u obezbjeđenju ili konfiguraciji.
U jednom hipotetičkom, ali ilustrativnom slučaju, moglo bi se desiti da VI sistem za praćenje usklađenosti sa propisima o zaštiti podataka (kao što je GDPR) pogrešno klasifikuje određene tipove ličnih podataka, dozvoljavajući tako njihovo neadekvatno skladištenje ili obradu. Napad bi tada mogao biti usmjeren na eksploataciju upravo tog propusta – napadač bi mogao pristupiti nezaštićenim podacima koji su pogrešno označeni od strane VI, čime bi prekršio zakonske odredbe. U takvoj situaciji, uloga stručnjaka za bezbjednost je da prepozna ovu klasifikacionu grešku VI sistema i koriguje je, te da osigura da se slični propusti ne ponove. Zbog toga je važno da se VI koristi kao alat za podršku, a ne kao zamjena za stručno znanje i stalnu budnost ljudskih stručnjaka u osiguravanju korporativne bezbjednosti i usklađenosti.
