هوش مصنوعی و ریسکهای ژئوپلیتیکی؛ تهدیدهای جدید پیش روی سازمانها
یکی از مهمترین چالشهای سازمانها ریسکهای ناشی از هوش مصنوعی و تحولات ژئوپلیتیکی است که تبدیل به تهدیدی واحد شدهاند.
کارشناسان امنیت سایبری هشدار میدهند که ریسکهای ناشی از هوش مصنوعی و تحولات ژئوپلیتیکی دیگر دو تهدید مستقل محسوب نمیشوند، بلکه در کنار یکدیگر به یکی از مهمترین دغدغههای هیئتمدیره شرکتها و سازمانها تبدیل شدهاند.
براساس گزارشی از گیلبرت پلاس توبین، سرعت تحول این تهدیدها از مدلهای سنتی حکمرانی پیشی گرفته است و مدیران باید بتوانند ثابت کنند که تصمیمها و برنامههای امنیتی آنها در برابر تهدیدهای امروز و آینده، از منظر فنی، مدیریتی و حتی حقوقی قابل دفاع هستند.
رشد سریع هوش مصنوعی تنها شیوه انجام حملات سایبری را متحول نکرده، بلکه مفهوم مدیریت ریسک در سازمانها را نیز دگرگون ساخته است. بر اساس این تحلیل، ریسکهای سایبری ناشی از هوش مصنوعی و ریسکهای ژئوپلیتیکی اکنون بهطور مستقیم بر تداوم فعالیت سازمانها، اعتبار برند، اعتماد مشتریان، انطباق با مقررات، تابآوری زنجیره تأمین و حتی مسئولیت حقوقی مدیران و اعضای هیئتمدیره تأثیر میگذارند.
در چنین شرایطی، دیگر داشتن یک برنامه امنیت سایبری، سیاست استفاده از هوش مصنوعی یا داشبوردهای مدیریتی برای اطمینان از وضعیت امنیت اطلاعات کافی نیست. پرسش اصلی این است که آیا مدیران و اعضای هیئتمدیره، در صورت وقوع یک حادثه، میتوانند نشان دهند اقدامات، برنامههای اصلاحی و تصمیمهای آنها متناسب با سطح تهدید بوده و از نظر حقوقی نیز قابل دفاع است یا خیر.
هوش مصنوعی؛ حملات سایبری را سریعتر، ارزانتر و پیچیدهتر کرده است
مهمترین تغییر، افزایش نگرانی نهادهای نظارتی یا سازمانهای امنیتی نیست، بلکه تغییر ماهیت تهدیدهاست؛ تغییری که با سرعتی بسیار بیشتر از سازوکارهای حکمرانی سازمانها رخ داده است.
هوش مصنوعی پیشرفته فاصله زمانی میان کشف آسیبپذیریها و سوءاستفاده از آنها را بهشدت کاهش داده، سطح مهارت لازم برای اجرای حملات پیچیده را پایین آورده و امکان انجام حملات مهندسی اجتماعی، شناسایی اهداف، توسعه اکسپلویتها و نفوذ خودکار را بیش از گذشته فراهم کرده است.
در مقابل، خود سازمانها نیز با سرعت در حال بهکارگیری هوش مصنوعی در ابزارهای توسعه نرمافزار، سامانههای بهرهوری، خدمات مشتریان، ابزارهای امنیتی و گردشکارهای هوشمند هستند. همزمان، توسعه نرمافزار با استفاده از رویکرد «Vibe Coding» نیز افزایش یافته است؛ روندی که در آن بسیاری از برنامههای تولیدشده هنوز از استانداردهای کافی امنیتی برخوردار نیستند.
این شرایط، مسیرهای حمله جدیدی از جمله تزریق پرامپت (Prompt Injection)، اعطای دسترسی بیش از حد به ابزارها، مدیریت هویتهای غیرانسانی، نشت دادهها، یکپارچهسازیهای ناامن، مخاطرات ناشی از کدنویسی با کمک هوش مصنوعی و وابستگیهای پنهان به تأمینکنندگان را ایجاد کرده است.
تغییر نگرش هیئتمدیرهها
هیئتمدیرهها باید نگاه خود را به امنیت سایبری تغییر دهند. پرسش امروز این نیست که آیا سازمان از برنامه امنیت سایبری یا سیاست استفاده از هوش مصنوعی برخوردار است، بلکه باید مشخص شود آیا وضعیت امنیتی، برنامههای اصلاحی و آمادگی سازمان برای پاسخگویی به حوادث، با توجه به فضای تهدید کنونی و آینده، منطقی، متناسب و از نظر حقوقی قابل دفاع است یا خیر.
چالش اصلی بسیاری از هیئتمدیرهها کمبود انگیزه نیست، بلکه نبود درک فنی کافی برای ارزیابی عملکرد مدیران است. اعضای هیئتمدیره لازم نیست متخصص امنیت سایبری باشند، اما باید دانش و آگاهی لازم را برای طرح پرسشهای دقیق و به چالش کشیدن تصمیمها و عملکرد مدیران در اختیار داشته باشند.
بر همین اساس، اتکا به گزارشهای کلی، تضمینهای فروشندگان یا داشبوردهای مدیریتی بدون شواهد واقعی از اثربخشی کنترلهای امنیتی، در آینده نمیتواند مبنای دفاع از تصمیمها و عملکرد مدیران باشد.
هیئتمدیره باید بتواند درباره شناسایی داراییهای حیاتی، میزان مواجهه با اینترنت، سرعت رفع آسیبپذیریها، کنترل دسترسیهای ممتاز، مدیریت هویتهای غیرانسانی، قابلیت بازیابی نسخههای پشتیبان، کفایت ثبت رویدادها، تابآوری زنجیره تأمین، تمرین سناریوهای پاسخ به حادثه و اثربخشی برنامههای تداوم کسبوکار، پرسشهای دقیق و مستند مطرح کند.
استفاده از هوش مصنوعی نیز نیازمند حکمرانی است
موضوع تنها به امنیت سایبری محدود نمیشود. هیئتمدیره باید تصویر روشنی از نحوه استفاده از هوش مصنوعی در سازمان، دادهها و سامانههایی که این فناوری به آنها دسترسی دارد، تصمیمهایی که تحت تأثیر آن قرار میگیرند، فروشندگان و ارائهدهندگان مدلهای هوش مصنوعی، نحوه پایش رفتار این مدلها و فرآیندهای جایگزین در صورت از دسترس خارج شدن یا ناامن شدن سامانههای هوش مصنوعی داشته باشد.
اگرچه هوش مصنوعی میتواند توان دفاع سایبری را افزایش دهد، اما بهکارگیری آن بدون حکمرانی مناسب، نظارت انسانی، قابلیت حسابرسی و تعیین مرزهای روشن، ممکن است خود به عاملی برای افزایش پیچیدگی و ریسک تبدیل شود.
ریسک ژئوپلیتیکی فقط جنگ نیست
بخش دیگری از این گزارش به گسترش مفهوم ریسک ژئوپلیتیکی میپردازد. این ریسک تنها به جنگ یا درگیری نظامی محدود نیست، بلکه فعالیتهای موسوم به «منطقه خاکستری»، عملیات اطلاعات نادرست، مداخله خارجی، تهدیدهای داخلی، تحریمها و اقدامات متقابل، سرایت درگیریها به فضای سایبری، اختلال در ارائهدهندگان خدمات برونمرزی و تمرکز ریسک در زنجیره تأمین فناوری را نیز در بر میگیرد.
نکته مهمتر این است که حتی تصمیمهای کشورهای متحد نیز میتواند دسترسی سازمانها به فناوریهای حیاتی را محدود کند. محدودیتهای صادراتی، الزامات امنیت ملی یا ممنوعیتهای مربوط به تراشههای پیشرفته و مدلهای هوش مصنوعی، ممکن است بهطور مستقیم بر عملیات سازمانها اثر بگذارند.
در همین زمینه، شرکت Anthropic اعلام کرده است که در پی اجرای دستورالعملهای کنترل صادرات دولت آمریکا، دسترسی اتباع خارجی به مدلهای Fable 5 و Mythos 5 متوقف شده و در نتیجه، این مدلها برای همه مشتریان غیرفعال شدهاند.
صرفنظر از اینکه سازمانها از این مدلها استفاده میکنند یا خیر، پیام این اتفاق روشن است؛ دسترسی به مدلهای پیشرفته هوش مصنوعی، ابزارهای امنیتی، خدمات ابری، فرآیندهای توسعه نرمافزار یا خدمات پشتیبانی فروشندگان، ممکن است در نتیجه تصمیمهای سیاسی خارج از کنترل سازمانها، بهطور ناگهانی محدود شود.
سناریوهای بحران باید همزمان آزمایش شوند
سازمانها باید در برنامههای تابآوری خود، سناریوهایی را در نظر بگیرند که در آنها حمله سایبری مبتنی بر هوش مصنوعی، اختلال در تأمینکنندگان خارجی، قطع دسترسی به مدلهای هوش مصنوعی یا قابلیتهای امنیتی و افزایش فشار نهادهای نظارتی و مشتریان بهطور همزمان رخ دهد.
به باور نویسنده، آزمایش جداگانه هر یک از این بحرانها کافی نیست و مدیران باید برای تصمیمگیری در شرایطی آمادگی داشته باشند که مسائل حقوقی، سایبری، عملیاتی، ارتباطی و خدمات مشتریان بهطور همزمان بروز میکنند.
مدیران چه اقداماتی باید انجام دهند؟
در این گزارش، مجموعهای از اقدامات عملی برای مدیران و اعضای هیئتمدیره پیشنهاد شده است؛ از جمله ارتقای دانش مدیران درباره تهدیدهای نوین، شناسایی سامانههای حیاتی، ابزارهای هوش مصنوعی، جریانهای داده، وابستگیهای خارجی و ریسک تمرکز، ارزیابی کفایت منابع انسانی و فناوری، تقویت مدیریت وصلههای امنیتی، کنترل هویت و دسترسی، مدیریت سطح حمله، نسخههای پشتیبان، ثبت رویدادها، پاسخ به حادثه و برنامههای تداوم کسبوکار.
همچنین، بازنگری در قراردادهای فناوری و هوش مصنوعی با تمرکز بر حق حسابرسی، اطلاعرسانی حوادث، شفافیت پیمانکاران فرعی، تعهدات مربوط به تابآوری، مدیریت دادهها و برنامه خروج از همکاری، از دیگر توصیههای مطرحشده در این گزارش است.
در کنار این موارد، اجرای مانورهایی که بهطور همزمان حمله سایبری مبتنی بر هوش مصنوعی، اختلال در زنجیره تأمین، الزامات نظارتی، ارتباط با مشتریان، تشدید تحریمها و حفظ تداوم عملیات را شبیهسازی کنند، از مهمترین اقدامات پیشنهادی به شمار میرود.
آمادگی، نه هراس؛ پیام مشترک نهادهای ناظر
پیام نهادهای نظارتی ایجاد نگرانی یا هراس نیست، بلکه تأکید بر ضرورت آمادگی بیشتر است. با این حال، افق زمانی تهدیدها نیز تغییر کرده است و نهادهای اطلاعاتی کشورهای عضو ائتلاف «Five Eyes» هشدار دادهاند که تشدید قابلتوجه این تهدیدها در مقیاس چند ماه آینده رخ خواهد داد، نه چند سال آینده.
همچنین نهادهای مالی استرالیا، از جمله سازمان مقررات احتیاطی، کمیسیون اوراق بهادار و سرمایهگذاری و بانک مرکزی این کشور، تأکید کردهاند که هیئتمدیرهها باید بتوانند شواهد روشنی از حکمرانی، نظارت و تابآوری سایبری خود ارائه دهند.
ارزیابی حقوقی مستقل؛ حلقه مفقوده مدیریت ریسک
بررسی صرفاً فنی، اگرچه میتواند آسیبپذیریها را شناسایی کند، اما لزوماً پاسخگوی این پرسش نخواهد بود که آیا رویکرد سازمان از منظر قوانین و الزامات نظارتی نیز قابل دفاع بوده است یا خیر.
ارزیابی حقوقی که با مشارکت متخصصان مستقل امنیت سایبری انجام شود، علاوه بر تقویت قابلیت دفاع حقوقی سازمان، به مدیران و اعضای هیئتمدیره کمک میکند فرضیات پنهان را شناسایی کنند، ریسکهای واقعی را از موارد کماهمیت تفکیک کنند و درباره اعتبار و کفایت برنامههای امنیتی تصمیمهای دقیقتری بگیرند.
هدف، جلوگیری مطلق از وقوع حادثه نیست، بلکه ایجاد این توانایی است که سازمان بتواند پیش و پس از وقوع بحران نشان دهد ریسکها را بهدرستی شناسایی کرده، تصمیمهای آگاهانه گرفته، اقدامات را اولویتبندی کرده و برنامهای متناسب با اندازه، پیچیدگی، سطح تهدید و مأموریتهای حیاتی خود تدوین کرده است.
در عصر هوش مصنوعی، دیگر نظارت منفعلانه پاسخگو نیست و سازمانهایی در بحرانهای آینده موفقتر خواهند بود که بتوانند نهتنها برنامههای خود، بلکه منطق، شواهد و قابلیت اجرای آنها را نیز اثبات کنند.