בינה מלאכותית יוצרת (גם) איומים פנימיים - הגילדה

בינה מלאכותית יוצרת (גם) איומים פנימיים - עופר רייס, פרופצ'ק | הגילדה - פורטל ניהול הביטחון של ישראל

מנכ"ל, פרופצ'ק – ניטור מהימנות רשתי.
קריירה של 20+ שנים במשרד ראש הממשלה במגוון תפקידי שטח ומטה, חלקם ניהוליים בתחומים מודיעין ומבצעי. בין היתר, ניהול בית הספר הממלכתי לחקירות טרור וריגול.
בודק פוליגרף וחבר באיגוד הפוליגרף האמריקאי (APA). ניסיון של 15 שנים ואלפי בדיקות בתחומים מהימנות וחקירות.
רכז הקורס מהימנות מבית אקסטרה – האקדמיה של הגילדה

האבולוציה המהירה בתחום הבינה המלאכותית (AI), ובטח הבינה המלאכותית היוצרת (Generative), מציגה בתדירות גבוהה חברות, פיתוחים ויישומים שיש בהם כדי לחולל מהפכה באינספור זירות והיבטים. מדובר בטכנולוגיה משבשת שרחוקה ממיצוי הפוטנציאל שלה, אבל כבר היום היא משמשת רבים באינספור משימות, לרבות ייצור תכנים, אוטומציות, תהליכים וכד'.

מנגד, בדומה לכלים טכנולוגיים אחרים, גם הבינה המלאכותית היא כלי ביד היוצר, ובהתאם, היכולות שלה זמינות גם לגורמים אשר מבקשים לנצל אותה בדרכים זדוניות.

מאמר זה מבקש להתרכז באיומים הפנימיים שהחשיפה אליהם גברה נוכח התפתחותה של הבינה המלאכותית היוצרת, דרך שלל דוגמאות שממחישות את החשיבות והדחיפות במתן פתרונות הגנה מפניהם.

תכנון פלילי

בינה מלאכותית יוצרת יכולה להיות מנוצלת לצרכים זדוניים כגון תכנון מהלכים פליליים נגד הארגון. יכולות האיסוף, הניתוח והסימולציה של טכנולוגיה זו הן גבוהות, ובהזנה של האינפורמציה הפנים ארגונית הרלוונטית, ניתן יהיה לחשוף חולשות ותורפות, ולבחור את הטקטיקה המתאימה ביותר לתקוף אותן.

לדוגמה, מנהל כספים יכול להזין דו"חות פיננסיים של החברה ולזהות בהם אנומליות שהיו חבויות קודם ואת אותם כספים לשלשל לכיסו הפרטי, או מנהלת לוגיסטיקה יכולה להזין רשימות ספקים, להקים כרטיסים פיקטיביים בפרופילים דומים, ולשלם להם דרך חשבונות בנק שבשליטתה.

גניבת נתונים

דו"ח של Verizon משנת 2022, אשר חקר וניתח דליפות נתונים מארגונים, מלמד שהגורם הפנימי הוא המקור ל-22% מהן, בשוגג או במזיד. אחוז גבוה זה יהיה זניח ביחס למציאות שבה אלגוריתמים של בינה מלאכותית ינוצלו מצד גורמי פנים לצורך זיהוי וחילוץ נתונים רגישים מתוך קבצי נתונים גדולים ומאובטחים, במהירות, בדיוק ובאפקטיביות שתותיר את הארגון חשוף, ובלי יכולת תגובה.

אגב, הנתונים יכולים להיות גם הרשאות גישה לאזורים ממודרים או לתיקיות מסווגות, שיכולות להיות המפתח לאותם חומרים רגישים.

זיוף נתונים

בהמשך ישיר לאיום הקודם, גורם פנימי זדוני יכול להזין בתוכנות הבינה המלאכותית בהן משתמש הארגון כדי לנתח את תוצאותיו נתונים פיקטיביים אשר משרתים את טובתו האישית.

לדוגמה, מנהל מחשוב מזין נתונים פיקטיביים אודות כמות וגובה המכירות באזור גיאוגרפי מסוים, ומנהל המכירות המקומי זוכה לבונוס גבוה שהם חולקים ביניהם.

הנדסה חברתית

ההיכרות המוקדמת של הגורם הפנימי את הארגון, ובייחוד את אנשיו, יכולה להיות מנוצלת גם לפרסונליזציה של התקפות דיוג (Phishing). הגורם הזדוני יכול להזין תוכנות בינה מלאכותית באינפורמציה אודות הקורבן, וזו תנסח ותיזום התקשרות מבוססת אותה אינפורמציה, שבהכרח תהיה יותר ממוקדת, אישית ואפקטיבית.

לדוגמה, גורם פנימי זדוני יכול להזין את כל התכתבויות הדואר האלקטרוני שקיים מול סמנכ"ל הרכש מחד, ומול מנהלת סניף מסוים מאידך, ולאפשר לבינה המלאכותית היוצרת לכתוב טקסט בניסוחו הייחודי של סמנכ"ל הרכש, ותוך שימוש בטריגרים אפקטיביים שהיא למדה אודות מנהלת הסניף, ולשלוח אותו ממנו אליה בבקשה למסור את הפדיון היומי או סחורה ספציפית לשליח מחברה מסוימת שיהיה אצלה בדקות הקרובות.

זיוף קול ותמונה (Deep Fake)

בינה מלאכותית יוצרת מאפשרת לדגום קבצי קול ותמונה בודדים של אדם, ומהם לשכפל זיוף ריאליסטי שלו. גורם פנימי יכול לנצל את היכרותו הקרובה את הארגון, את הנהלים ואת הדינמיקה, כדי להשתמש בזהותו של אחר, גורם מורשה, וליזום או לאשר מהלכים שמיטיבים איתו. לדוגמה: מנהל סניף של רשת מוצרי חשמל שמכיר נוהל לפיו רק סמנכ"ל מאשר הוצאה של משלוחים מהמרכז הלוגיסטי, יכול לדגום ולשכפל את קולו, ולאשר בשמו הוצאה של פריטים מהמרכז הלוגיסטי למשאית שתגנוב אותם.

חבלה בתהליכי קבלת החלטות

גורם פנימי זדוני, שמבקש להתנכל לארגון מסיבותיו, יכול לנצל את הבינה המלאכותית היוצרת כדי ליצור זיופים ברמת אותנטיות גבוהה של מסמכים, דו"חות וכד', אשר מכילים דיסאינפורמציה, ולשתול אותם בצמתים שבהם מתקיימים תהליכי קבלת החלטות. השימוש בחומרים הללו, שמהולים באינפורמציה שגויה, יוביל בהכרח גם לקבלת החלטות שגויות, לתוצאות בלתי רצויות, ובהכרח גם לנזקים בגינן.

תוצרים בלתי צפויים

מיום ליום, הבינה המלאכותית היוצרת צוברת יותר ויותר משתמשים, אשר רובם רואים בה במהרה כלי מתקדם ודומיננטי בארגז הכלים הפרטי, וחלקם אף משאילים את יכולותיה גם לטובת המשימות תחת אחריותם בתפקידיהם הארגוניים.

במקרים האלה, שבהם ישנו שימוש בלתי מוסדר ובלתי מורשה בתוכנות בינה מלאכותית יוצרת, הכוונות הטובות יכולות להוביל לתקלות ולנזקים.

בינה מלאכותית יוצרת, מייצרת בין היתר, גם תוצרים בלתי צפויים, שחלקם טומנים בחובם חשיפה וסיכונים לארגונים – פרצות אבטחה, הפרות רגולטוריות, הפרות של קניין רוחני ושל זכויות יוצרים, וכד'.

כלומר, גם הגורם הפנימי התמים, יכול בשוגג לגרום לנזקים בלתי הפיכים לארגון, בשימוש בלתי מוסדר ובלתי מורשה בתוכנות בינה מלאכותית יוצרת. לדוגמה, מנהל שיווק שרוצה למקסם את הדאטה שברשותו אודות לקוחות החברה, ומריץ את נתוניהם בתוכנה מבוססת בינה מלאכותית, יכול בשוגג למשוך אינפורמציה שמפרה את זכותם לפרטיות, ולחשוף את החברה לקנסות כבדים.

סיכום

הבינה המלאכותית היוצרת היא כלי מבורך בידי הגורמים המיטיבים בחברה, אבל גם חרב פיפיות שיכולה להזיק לארגון בנסיבות ובתרחישים מסוימים.

במרבית המקרים, האיומים הפנימיים והסכנות מהם נותרו כשהיו, אך הטכנולוגיה החדשה והמתפתחת הזו מקנה לאותם גורמים זדוניים יכולות גבוהות בהרבה, וכוח משחית חזק בהרבה. לאור זאת, סביר להניח שההזדמנויות יובילו ליותר ויותר ניסיונות לנצל אותה לטובתם.

ההתמודדות מול האיום הפנימי, שבימינו חמוש גם בכלי הבינה המלאכותית היוצרת, היא מאתגרת אך אפשרית. זירה חדשה זו מחייבת את מנהלי הביטחון בארגונים להכיר את הטכנולוגיה, את יכולותיה, ואת האיומים והסכנות, זאת כדי לפתח את אסטרטגיות ההגנה המתאימות מפניה, ובכך לקיים את תפקידו כלפי הארגון.

. . . . . . . . . .