کد خبر: ۳۷۵

هوش مصنوعی و ریسک‌های ژئوپلیتیکی؛ تهدیدهای جدید پیش روی سازمان‌ها

هوش مصنوعی

یکی از مهم‌ترین چالش‌های سازمان‎ها ریسک‌های ناشی از هوش مصنوعی و تحولات ژئوپلیتیکی است که تبدیل به تهدیدی واحد شده‌اند.

هانا حیدری
خبرنگار:
هانا حیدری

کارشناسان امنیت سایبری هشدار می‌دهند که ریسک‌های ناشی از هوش مصنوعی و تحولات ژئوپلیتیکی دیگر دو تهدید مستقل محسوب نمی‌شوند، بلکه در کنار یکدیگر به یکی از مهم‌ترین دغدغه‌های هیئت‌مدیره شرکت‌ها و سازمان‌ها تبدیل شده‌اند.

 براساس گزارشی از گیلبرت پلاس توبین، سرعت تحول این تهدیدها از مدل‌های سنتی حکمرانی پیشی گرفته است و مدیران باید بتوانند ثابت کنند که تصمیم‌ها و برنامه‌های امنیتی آن‌ها در برابر تهدیدهای امروز و آینده، از منظر فنی، مدیریتی و حتی حقوقی قابل دفاع هستند.

رشد سریع هوش مصنوعی تنها شیوه انجام حملات سایبری را متحول نکرده، بلکه مفهوم مدیریت ریسک در سازمان‌ها را نیز دگرگون ساخته است. بر اساس این تحلیل، ریسک‌های سایبری ناشی از هوش مصنوعی و ریسک‌های ژئوپلیتیکی اکنون به‌طور مستقیم بر تداوم فعالیت سازمان‌ها، اعتبار برند، اعتماد مشتریان، انطباق با مقررات، تاب‌آوری زنجیره تأمین و حتی مسئولیت حقوقی مدیران و اعضای هیئت‌مدیره تأثیر می‌گذارند.

در چنین شرایطی، دیگر داشتن یک برنامه امنیت سایبری، سیاست استفاده از هوش مصنوعی یا داشبوردهای مدیریتی برای اطمینان از وضعیت امنیت اطلاعات کافی نیست. پرسش اصلی این است که آیا مدیران و اعضای هیئت‌مدیره، در صورت وقوع یک حادثه، می‌توانند نشان دهند اقدامات، برنامه‌های اصلاحی و تصمیم‌های آن‌ها متناسب با سطح تهدید بوده و از نظر حقوقی نیز قابل دفاع است یا خیر.

هوش مصنوعی؛ حملات سایبری را سریع‌تر، ارزان‌تر و پیچیده‌تر کرده است

مهم‌ترین تغییر، افزایش نگرانی نهادهای نظارتی یا سازمان‌های امنیتی نیست، بلکه تغییر ماهیت تهدیدهاست؛ تغییری که با سرعتی بسیار بیشتر از سازوکارهای حکمرانی سازمان‌ها رخ داده است.

هوش مصنوعی پیشرفته فاصله زمانی میان کشف آسیب‌پذیری‌ها و سوءاستفاده از آن‌ها را به‌شدت کاهش داده، سطح مهارت لازم برای اجرای حملات پیچیده را پایین آورده و امکان انجام حملات مهندسی اجتماعی، شناسایی اهداف، توسعه اکسپلویت‌ها و نفوذ خودکار را بیش از گذشته فراهم کرده است.

در مقابل، خود سازمان‌ها نیز با سرعت در حال به‌کارگیری هوش مصنوعی در ابزارهای توسعه نرم‌افزار، سامانه‌های بهره‌وری، خدمات مشتریان، ابزارهای امنیتی و گردش‌کارهای هوشمند هستند. هم‌زمان، توسعه نرم‌افزار با استفاده از رویکرد «Vibe Coding» نیز افزایش یافته است؛ روندی که در آن بسیاری از برنامه‌های تولیدشده هنوز از استانداردهای کافی امنیتی برخوردار نیستند.

این شرایط، مسیرهای حمله جدیدی از جمله تزریق پرامپت (Prompt Injection)، اعطای دسترسی بیش از حد به ابزارها، مدیریت هویت‌های غیرانسانی، نشت داده‌ها، یکپارچه‌سازی‌های ناامن، مخاطرات ناشی از کدنویسی با کمک هوش مصنوعی و وابستگی‌های پنهان به تأمین‌کنندگان را ایجاد کرده است.

تغییر نگرش هیئت‌مدیره‌ها

هیئت‌مدیره‌ها باید نگاه خود را به امنیت سایبری تغییر دهند. پرسش امروز این نیست که آیا سازمان از برنامه امنیت سایبری یا سیاست استفاده از هوش مصنوعی برخوردار است، بلکه باید مشخص شود آیا وضعیت امنیتی، برنامه‌های اصلاحی و آمادگی سازمان برای پاسخ‌گویی به حوادث، با توجه به فضای تهدید کنونی و آینده، منطقی، متناسب و از نظر حقوقی قابل دفاع است یا خیر.

چالش اصلی بسیاری از هیئت‌مدیره‌ها کمبود انگیزه نیست، بلکه نبود درک فنی کافی برای ارزیابی عملکرد مدیران است. اعضای هیئت‌مدیره لازم نیست متخصص امنیت سایبری باشند، اما باید دانش و آگاهی لازم را برای طرح پرسش‌های دقیق و به چالش کشیدن تصمیم‌ها و عملکرد مدیران در اختیار داشته باشند.

بر همین اساس، اتکا به گزارش‌های کلی، تضمین‌های فروشندگان یا داشبوردهای مدیریتی بدون شواهد واقعی از اثربخشی کنترل‌های امنیتی، در آینده نمی‌تواند مبنای دفاع از تصمیم‌ها و عملکرد مدیران باشد.

هیئت‌مدیره باید بتواند درباره شناسایی دارایی‌های حیاتی، میزان مواجهه با اینترنت، سرعت رفع آسیب‌پذیری‌ها، کنترل دسترسی‌های ممتاز، مدیریت هویت‌های غیرانسانی، قابلیت بازیابی نسخه‌های پشتیبان، کفایت ثبت رویدادها، تاب‌آوری زنجیره تأمین، تمرین سناریوهای پاسخ به حادثه و اثربخشی برنامه‌های تداوم کسب‌وکار، پرسش‌های دقیق و مستند مطرح کند.

استفاده از هوش مصنوعی نیز نیازمند حکمرانی است

موضوع تنها به امنیت سایبری محدود نمی‌شود. هیئت‌مدیره باید تصویر روشنی از نحوه استفاده از هوش مصنوعی در سازمان، داده‌ها و سامانه‌هایی که این فناوری به آن‌ها دسترسی دارد، تصمیم‌هایی که تحت تأثیر آن قرار می‌گیرند، فروشندگان و ارائه‌دهندگان مدل‌های هوش مصنوعی، نحوه پایش رفتار این مدل‌ها و فرآیندهای جایگزین در صورت از دسترس خارج شدن یا ناامن شدن سامانه‌های هوش مصنوعی داشته باشد.

اگرچه هوش مصنوعی می‌تواند توان دفاع سایبری را افزایش دهد، اما به‌کارگیری آن بدون حکمرانی مناسب، نظارت انسانی، قابلیت حسابرسی و تعیین مرزهای روشن، ممکن است خود به عاملی برای افزایش پیچیدگی و ریسک تبدیل شود.

ریسک ژئوپلیتیکی فقط جنگ نیست

بخش دیگری از این گزارش به گسترش مفهوم ریسک ژئوپلیتیکی می‌پردازد. این ریسک تنها به جنگ یا درگیری نظامی محدود نیست، بلکه فعالیت‌های موسوم به «منطقه خاکستری»، عملیات اطلاعات نادرست، مداخله خارجی، تهدیدهای داخلی، تحریم‌ها و اقدامات متقابل، سرایت درگیری‌ها به فضای سایبری، اختلال در ارائه‌دهندگان خدمات برون‌مرزی و تمرکز ریسک در زنجیره تأمین فناوری را نیز در بر می‌گیرد.

نکته مهم‌تر این است که حتی تصمیم‌های کشورهای متحد نیز می‌تواند دسترسی سازمان‌ها به فناوری‌های حیاتی را محدود کند. محدودیت‌های صادراتی، الزامات امنیت ملی یا ممنوعیت‌های مربوط به تراشه‌های پیشرفته و مدل‌های هوش مصنوعی، ممکن است به‌طور مستقیم بر عملیات سازمان‌ها اثر بگذارند.

در همین زمینه، شرکت Anthropic اعلام کرده است که در پی اجرای دستورالعمل‌های کنترل صادرات دولت آمریکا، دسترسی اتباع خارجی به مدل‌های Fable 5 و Mythos 5 متوقف شده و در نتیجه، این مدل‌ها برای همه مشتریان غیرفعال شده‌اند.

صرف‌نظر از اینکه سازمان‌ها از این مدل‌ها استفاده می‌کنند یا خیر، پیام این اتفاق روشن است؛ دسترسی به مدل‌های پیشرفته هوش مصنوعی، ابزارهای امنیتی، خدمات ابری، فرآیندهای توسعه نرم‌افزار یا خدمات پشتیبانی فروشندگان، ممکن است در نتیجه تصمیم‌های سیاسی خارج از کنترل سازمان‌ها، به‌طور ناگهانی محدود شود.

سناریوهای بحران باید همزمان آزمایش شوند

سازمان‌ها باید در برنامه‌های تاب‌آوری خود، سناریوهایی را در نظر بگیرند که در آن‌ها حمله سایبری مبتنی بر هوش مصنوعی، اختلال در تأمین‌کنندگان خارجی، قطع دسترسی به مدل‌های هوش مصنوعی یا قابلیت‌های امنیتی و افزایش فشار نهادهای نظارتی و مشتریان به‌طور هم‌زمان رخ دهد.

به باور نویسنده، آزمایش جداگانه هر یک از این بحران‌ها کافی نیست و مدیران باید برای تصمیم‌گیری در شرایطی آمادگی داشته باشند که مسائل حقوقی، سایبری، عملیاتی، ارتباطی و خدمات مشتریان به‌طور هم‌زمان بروز می‌کنند.

مدیران چه اقداماتی باید انجام دهند؟

در این گزارش، مجموعه‌ای از اقدامات عملی برای مدیران و اعضای هیئت‌مدیره پیشنهاد شده است؛ از جمله ارتقای دانش مدیران درباره تهدیدهای نوین، شناسایی سامانه‌های حیاتی، ابزارهای هوش مصنوعی، جریان‌های داده، وابستگی‌های خارجی و ریسک تمرکز، ارزیابی کفایت منابع انسانی و فناوری، تقویت مدیریت وصله‌های امنیتی، کنترل هویت و دسترسی، مدیریت سطح حمله، نسخه‌های پشتیبان، ثبت رویدادها، پاسخ به حادثه و برنامه‌های تداوم کسب‌وکار.

همچنین، بازنگری در قراردادهای فناوری و هوش مصنوعی با تمرکز بر حق حسابرسی، اطلاع‌رسانی حوادث، شفافیت پیمانکاران فرعی، تعهدات مربوط به تاب‌آوری، مدیریت داده‌ها و برنامه خروج از همکاری، از دیگر توصیه‌های مطرح‌شده در این گزارش است.

در کنار این موارد، اجرای مانورهایی که به‌طور هم‌زمان حمله سایبری مبتنی بر هوش مصنوعی، اختلال در زنجیره تأمین، الزامات نظارتی، ارتباط با مشتریان، تشدید تحریم‌ها و حفظ تداوم عملیات را شبیه‌سازی کنند، از مهم‌ترین اقدامات پیشنهادی به شمار می‌رود.

آمادگی، نه هراس؛ پیام مشترک نهادهای ناظر

پیام نهادهای نظارتی ایجاد نگرانی یا هراس نیست، بلکه تأکید بر ضرورت آمادگی بیشتر است. با این حال، افق زمانی تهدیدها نیز تغییر کرده است و نهادهای اطلاعاتی کشورهای عضو ائتلاف «Five Eyes» هشدار داده‌اند که تشدید قابل‌توجه این تهدیدها در مقیاس چند ماه آینده رخ خواهد داد، نه چند سال آینده.

همچنین نهادهای مالی استرالیا، از جمله سازمان مقررات احتیاطی، کمیسیون اوراق بهادار و سرمایه‌گذاری و بانک مرکزی این کشور، تأکید کرده‌اند که هیئت‌مدیره‌ها باید بتوانند شواهد روشنی از حکمرانی، نظارت و تاب‌آوری سایبری خود ارائه دهند.

ارزیابی حقوقی مستقل؛ حلقه مفقوده مدیریت ریسک

بررسی صرفاً فنی، اگرچه می‌تواند آسیب‌پذیری‌ها را شناسایی کند، اما لزوماً پاسخگوی این پرسش نخواهد بود که آیا رویکرد سازمان از منظر قوانین و الزامات نظارتی نیز قابل دفاع بوده است یا خیر.

ارزیابی حقوقی که با مشارکت متخصصان مستقل امنیت سایبری انجام شود، علاوه بر تقویت قابلیت دفاع حقوقی سازمان، به مدیران و اعضای هیئت‌مدیره کمک می‌کند فرضیات پنهان را شناسایی کنند، ریسک‌های واقعی را از موارد کم‌اهمیت تفکیک کنند و درباره اعتبار و کفایت برنامه‌های امنیتی تصمیم‌های دقیق‌تری بگیرند.

هدف، جلوگیری مطلق از وقوع حادثه نیست، بلکه ایجاد این توانایی است که سازمان بتواند پیش و پس از وقوع بحران نشان دهد ریسک‌ها را به‌درستی شناسایی کرده، تصمیم‌های آگاهانه گرفته، اقدامات را اولویت‌بندی کرده و برنامه‌ای متناسب با اندازه، پیچیدگی، سطح تهدید و مأموریت‌های حیاتی خود تدوین کرده است.

در عصر هوش مصنوعی، دیگر نظارت منفعلانه پاسخگو نیست و سازمان‌هایی در بحران‌های آینده موفق‌تر خواهند بود که بتوانند نه‌تنها برنامه‌های خود، بلکه منطق، شواهد و قابلیت اجرای آن‌ها را نیز اثبات کنند.

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث