העולם הטכנולוגי משתנה במהירות מסחררת לנגד עינינו. עדות לכך אפשר למצוא בהתפתחויות של השבועות האחרונים בתחום הבינה המלאכותית כאשר נחשפנו לדיפסיק (deepseek), שהותיר את העולם פעור פה בשל יכולות ה-AI המרשימות, אך גם הזכיר לכולנו עד כמה המידע היקר של הארגון עלול להיות חשוף. עסקים וארגונים מבינים כי כדי להישאר רלוונטיים - ואף להשיג יתרון תחרותי - הם חייבים לאמץ טכנולוגיות חדשניות כמו AI במהירות ובאופן נרחב, אך נאלצים להתמודד גם עם אתגרים חדשים.
סטנדרטים מחמירים
האימוץ המואץ של הבינה המלאכותית מביא עימו טרנספורמציה דיגיטלית דרמטית: יותר ויותר ארגונים מבינים כי הפעלת מודלים מתקדמים של AI דורשת מעבר לענן, הרחבת היקף השימוש בשרתים ובאחסון. התוצאה? ה-AI הופך לכוח משמעותי בעולם הענן. אך במקביל להתקדמות זו, האתגרים בתחום האבטחה הולכים ומתרבים והופכים למורכבים ודינמיים יותר מאי פעם. ככל שיותר מערכות עוברות טרנספורמציה דיגיטלית ומטמיעות טכנולוגיות מתקדמות, כך גוברת החשיפה לאיומים ולסיכוני אבטחה. ארגונים המאמצים את הענן כדי להאיץ את החדשנות ולשפר את הפרודוקטיביות נאלצים להתמודד עם גידול משמעותי בנקודות החיבור למידע הארגוני, מה שמרחיב את "משטח התקיפה" במרחב הסייבר. בתגובה, גם הדרישות הרגולטוריות עולות בהתאם לקצב שבו ה-AI מתפתח.
בפתח 2025 נכנסה לתוקף רגולציה אירופאית חדשה בשם DORA הקובעת סטנדרטים מחמירים בתחום אבטחת המידע וניהול סיכונים טכנולוגיים, עבור מגוון רחב של מוסדות פיננסיים. הגם שמדובר ברגולציה אירופאית, היא מייצרת כללי משחק חדשים עבור חברות וארגונים רבים, ביניהם גם ישראלים, הפועלים בשוק האירופאי. רגולציה זו היא רק אחת מני רבות שנכנסות כעת לתוקף. ארגונים מוצאים את עצמם מופעלים על ידי כוחות המנוגדים אחד לשני - מצד אחד, הרצון לאמץ טכנולוגיות חדשניות כמה שיותר מהר כדי להישאר תחרותיים ופרודוקטיביים, ומצד שני, הצורך לעמוד בסטנדרטים מחמירים ולהטמיע כלים ופרקטיקות אבטחה מתקדמים.
הדילמה הזאת משתקפת היטב גם בנתונים. כך, בסקר שפרסמה פירמת PwC באוקטובר האחרון התגלה כי היקף ההשקעות בבינה מלאכותית נמצא בעלייה מתמדת כאשר 78% מהחברות הגבירו את השקעת ב-GenAI בשנה האחרונה ו-67% ממנהלי אבטחת המידע מדווחים כי ה-AI הגדיל משמעותית את שטח התקיפה הארגוני.
שילוב כלים רב-שכבתיים בפלטפורמה אחת מקיפה
המעבר המהיר לטכנולוגיות מבוססות AI מחייב כל ארגון לפתח אסטרטגיה ברורה שתשלב בין צרכים עסקיים לבין ניהול סיכונים מתקדם, אז מהם הצעדים המרכזיים שארגונים מחויבים לנקוט?
1. הגדרת מטרות ומיפוי האיומים בהתאמה לארגון - הצעד הראשון לכל ארגון הוא הגדרה ברורה של היעדים העסקיים. לאחר קביעתם, יש לבצע מיפוי מעמיק של האיומים והסיכונים הנלווים לכלים החדשים שהארגון מתכנן להטמיע. לאחר המיפוי, הארגון ישאף ליצור פרופיל איומים של הארגון. חשוב להבין שפרופיל האיומים משתנה בין ארגונים - חברה ביטחונית מתמודדת עם אתגרים אחרים מחברה קמעונאית, ולכן, גם פתרונות האבטחה והבקרות חייבים להיות מותאמים אישית. ההבנה הזו מאפשרת לתכנן מערך הגנה מדויק ויעיל שמותאם לפעילות הארגון.
2. אחריות חוצת ארגון לאבטחה - כדי לנהל את האבטחה באופן יעיל, יש להבטיח שיתוף פעולה הדוק בין הגורמים הרלוונטיים בארגון. ברוב החברות, הדירקטוריון הוא זה שמגדיר סדרי עדיפויות בנוגע לאיומים השונים שבפניהם הארגון עומד וזה יכול להשתנות בין זליגת מידע, פגיעה במוניטין, מתקפות סייבר וחדירה לנתונים רגישים. אבל, צריך להבין שכיום האחריות על אבטחת המידע אינה מסתכמת רק בצוותי ומנהלי האבטחה, ה-CISO או ה-CIO, אלא היא חייבת להיות משולבת בתהליכים העסקיים והטכנולוגיים. לכן, גם גורמים מהנהלת הפיתוח (CTO) והתחום העסקי צריכים להיות מעורבים כדי ליצור איזון עדין בין צרכיו העסקיים של הארגון לבין הגנה אופטימלית על נכסיו. האיזון חייב להבטיח גמישות מרבית לארגון ויכולת להתקדם ולהתפתח במהירות.
3. ניהול הרשאות בעידן ה-AI כאתגר אסטרטגי חדש - עם כניסת כלי AI חדשים כמו ChatGPT או Copilot, נושא ההרשאות הופך לסוגיה קריטית. בעבר, הרשאות יתר לא בהכרח היוו בעיה, משום שלרוב העובדים לא הייתה דרך לגלות למה יש להם גישה. כיום, כלי AI יכולים לחשוף לעובדים מידע רגיש שהם כלל לא היו מודעים אליו בארגון, גם אם אינם מורשים לכך. לכן, ארגונים נדרשים ליישם מדיניות הרשאות קפדנית, לנהל גישה מבוססת תפקידים ולנטר את השימוש בכלים חכמים באופן מתמיד.
4. קונסולידציה - פחות כלים, יותר אבטחה - ניהול האבטחה הפך למורכב מתמיד, כאשר מנהלי אבטחה מתמודדים עם עשרות כלים שונים שמצריכים התקנות, אינטגרציה, תחזוקה וניהול רישוי - כל אלה בנפרד לכל כלי. הפתרון לכך הוא קונסולידציה - שילוב כלים רב-שכבתיים בפלטפורמה אחת מקיפה. כך, ניתן לא רק לחסוך בעלויות, אלא גם לצמצם את "הרעש" שנוצר מהתראות בלתי פוסקות ולשפר את ניהול סדרי העדיפויות באבטחה. לפעמים עדיף להטמיע כלי אחד שחולש על יותר תחומים מאשר לאמץ כלים שונים, שכל אחד מהם טוב בתחומו הספציפי.
5. חינוך ותרבות ארגונית - Shadow AI הינו שימוש ארגוני לא מנוהל מתוך כ-31 אלף כלי AI, שמספרם גדל מדי יום, ולכן ארגונים צריכים לפעול בדרך מחנכת לשני הכיוונים. חשוב להפנים את הפנמת העובדה כי עובד יסתייע בכלי AI לצורך עבודתו, בין אם זה ייעשה בצורה מאובטחת או לאו, ובמקביל יש להשקיע בניהול צריכת כלי ה-AI ולא חסימתם באופן גורף. מהלך זה, לצד הנחלת כללי אתיקה מקצועיים לשימוש ב-AI, יאפשר אימוץ נכון של הטכנולוגיה, תוך ניהול הסיכונים הנלווים אליה.
לסיכום, ככל שהעולם שלנו משתנה ומאמץ טכנולוגיות חדשניות יותר, כך גוברת הדחיפות לבניית אסטרטגיית אבטחה הוליסטית, חכמה ודינמית. ארגונים צריכים לעבוד בצורה מסודרת אמנם, אך גם בצורה דינמית המאמצת פרקטיקות חדשות ומתאימות תוך כדי תנועה.
הכותב הוא דירקטור ו-Head Of Cyber Security בחברת PwC NEXT, חברת הבת של פירמת PwC,שעוסקת בחדשנות, הגנה בסייבר והטמעת פתרונות AI בקרב חברות גדולות במשק. מוביל מחקר ופיתוח, ייעוץ לארגונים וסטארט-אפים בעולמות הסייבר וה-IT. בעל ניסיון רחב בקידום אבטחה, עם התמחות באיזון הדרישות בין אבטחה לצרכים טכנולוגיים. בוגר יח' ממר"ם
