Adoptionen av AI omvandlar affärsmetoder över hela branscher – från finansiell analys till mjukvaruutveckling. Företag som strategiskt anammar denna teknik kommer att få en betydande konkurrensfördel.

”Utvecklingen av AI är lika grundläggande som skapandet av mikroprocessorn, persondatorn, Internet och mobiltelefonen. Den kommer att förändra sättet människor arbetar, lär sig, reser, får sjukvård och kommunicerar med varandra. Hela branscher kommer att omorienteras kring den.” – Bill Gates

Som alltid måste säkerhets- och riskhanteringsansvariga utvärdera effekten av att införa ny teknik på organisationens säkerhets- och riskläge.

På Integrity360 utvärderar vi AI transformerande inverkan på cybersäkerhet genom fyra huvudpelare:

• Användning av AI för cyberförsvar och säkerhetsoperationer. Till exempel användning av naturligt språk för sökningar efter hot och användning av GenAI för att skapa offensiva scenarier för rödlag- och tabletop-övningar.

• Försvar mot AI-drivna hot, såsom detektion av deepfakes eller avancerade anti-phishing-verktyg.

• Säkra AI-applikationer som byggs av företag.

• Säkra affärsanvändarnas konsumtion av AI-applikationer, vilket vi kommer att täcka i denna blogg.

Användning av AI-applikationer för affärsanvändare

AI-applikationer, särskilt GenAI, är utmärkta verktyg för affärsverksamhet, använda för marknadsundersökningar, innehållsskapande, kodgranskning och otaliga andra användningsområden som avsevärt ökar produktiviteten och låser upp nya möjligheter. Det finns två huvudsakliga sätt för affärsanvändare att konsumera AI-appar:

Webbläge: I detta läge används AI-appar direkt av användaren via webbläsare eller API-anrop. ChatGPT och Claude är exempel som ofta används. Även om apparna i detta fall inte har direkt tillgång till företagsdata kan användaren ladda upp filer eller ange data som avslöjar affärskänslig information.

SaaS-läge: Många SaaS-leverantörer integrerar GenAI-funktioner som inbyggda verktyg i sina appar. De mest kända exemplen är Microsoft 365 och MS365 Copilot, Google Workspace och Gemini samt Salesforce och Einstein Copilot. Både fördelar och risker ökar i detta läge eftersom GenAI kan ha tillgång till de företagsdata som användaren har rätt att komma åt.

Riskerna

I webbläge är risken liknande den vid användning av andra icke-godkända molnappar eller webbplatser och kretsar kring dataläckage. Vanligtvis använder affärsanvändare GenAI med ett personligt konto från sin företagsenhet och även från sina personliga enheter. Filer och data som laddas upp kan återhämtas av samma användare med en personlig enhet eller av en hotaktör om deras personliga konto är komprometterat, eftersom dessa appar inte nödvändigtvis implementerar multifaktorautentisering (MFA) och kanske inte följer organisationens säkerhetspolicy.

I SaaS-läge kan risken vara ännu högre med tanke på följande scenarier:

• AI-verktyget skulle använda användarens rättigheter, vilket ger det tillgång till känslig data som användaren kanske inte lätt kan nå manuellt, särskilt vid överdrivna användarbehörigheter.

• AI-genererade dokument (som kan innehålla känslig data) kan felmärkas eller delas för brett.

• Illvilliga insiders kan skanna miljontals filer och extrahera inloggningsuppgifter, personlig information, finansiell data och annan känslig information.

Lösningen

Först bör organisationen definiera en tydlig policy för AI-användning för sin personal som en del av sin Användarpolicy (AUP), i kombination med AI-säkerhetsutbildning som klargör etisk, juridisk och säker användning av AI. Utbildningskraven kommer att variera beroende på användarens roll, särskilt om rollen kräver tillgång till känslig data eller innebär privilegierad åtkomst som IT- och cybersäkerhetsroller.

Från tekniska kontrollsidan kräver Webbläge och SaaS-läge olika förmågor.

Webbläge: likt andra icke-sanktionerade molnappar är det mest effektiva sättet att möjliggöra företagets användning av webb-AI-verktyg att använda en Secure Web Gateway (SWG) med kraftfulla dataskyddskontroller, vanligen som en del av en Security Service Edge (SSE)-lösning.

Med SSE får säkerhetsteamen full insyn i användningen av dessa appar inom organisationen. Därefter kan de tillämpa lämpliga kontroller för åtkomst och användning av dessa appar. Tänk på detta scenario:

• Realtidsvägledning: Användaren försöker komma åt ChatGPT → användaren får en anpassad popup som förklarar säker användning av ChatGPT och ger vägledning för att följa organisationens policy.

• DLP-kontroller (Data Loss Prevention): Användaren försöker ladda upp en fil med känslig data eller klistrar in text med känslig data i ChatGPT → åtgärden blockeras, med en anpassad varning som förklarar orsaken eller begär en motivering.

SaaS-läge kräver mer grundläggande säkerhetskontroller för att säkra användningen av SaaS AI-verktyg, specifikt kring företagets SaaS-säkerhet och datasäkerhet.

Företags-SaaS-säkerhet kräver förmågan att övervaka och kontrollera åtkomsten till och användningen av SaaS-applikationen, vilket kan täckas av en Cloud Access Security Broker (CASB) – även en komponent i SSE-lösningar. Detta ger säkerhetsteamet en fullständig bild av hur AI-verktygen åtkommer data som lagras i molnapplikationen, vilket belyser riskabelt beteende, skyddar känslig data och ger möjlighet till data- och hotskydd.

Grundläggande datasäkerhetskontroller inkluderar förmågan att upptäcka, klassificera och märka data, granska dataåtkomstberättiganden och återkalla överdrivna dataåtkomstbehörigheter. En Data Security Platform (DSP) ger ett datacentrerat sätt att säkerställa datasäkerhet, med förmågan att låsa ned känslig data som lagras i IaaS, PaaS och SaaS från en enda plats.

Beroende på varje organisations behov, användningsfall och riskaptit kan den ideala lösningen för att säkra användningen av SaaS AI-verktyg vara en av eller båda teknologierna.

Slutsats

• Använd SWG/SSE för att säkerställa användningen av webb-AI-verktyg inom verksamheten.

• Bedöm organisationens förmåga inom molnapplikationssäkerhet och datasäkerhet innan du implementerar SaaS-läge AI-verktyg.

• Implementera AI-säkerhetsutbildning baserad på användarens roll.

Uppmaning till handling

Om du planerar att införa SaaS API-verktyg som MS365 Copilot eller Google Gemini, eller är oroad över den nuvarande användningen av webb-AI-verktyg som ChatGPT, kan vi hjälpa dig med en kostnadsfri riskbedömning och rekommendera de mest lämpliga lösningarna för dina affärsbehov.