Команды DevOps все больше полагаются на помощников по кодированию с искусственным интеллектом, чтобы повысить производительность за счет автоматизации задач кодирования. Но компания Forrester в своих прогнозах кибербезопасности, рисков и конфиденциальности на 2024 год предупреждает, что при этом только самые добросовестные проверяют конечный код на наличие недостатков безопасности.

Автор: Луис Коламбус, автор VentureBeat
 
Исследовательская и консалтинговая компания прогнозирует, что непоследовательная практика соблюдения требований и управления в сочетании с большим количеством команд Devops, экспериментирующих с несколькими ИИ-помощниками по кодированию одновременно для повышения производительности, приведет к появлению дефектного кода ИИ, ответственного как минимум за три публично признанных нарушения в 2024 году. Forrester также предупреждает, что ошибки в коде искусственного интеллекта будут представлять угрозу безопасности API. 
 
Ассистенты с искусственным интеллектом переосмысливают теневые ИТ
 
49% специалистов в области бизнеса и технологий, знакомых с помощниками по программированию с использованием искусственного интеллекта, говорят, что их организации тестируют, внедряют или уже внедрили их в своих организациях. Gartner прогнозирует, что к 2028 году 75% корпоративных инженеров-программистов будут использовать ИИ-помощников по программированию, по сравнению с менее чем 10% в начале 2023 года.
 
Руководители Devops рассказывают, что часто в командах используется несколько ИИ-ассистентов по кодированию, поскольку необходимость создавать большой объем кода с каждым днем растет. Сокращение сроков выполнения более сложного кодирования в сочетании с более 40 различными доступными помощниками по кодированию приводят к появлению новой формы теневых ИТ, когда команды Devops переключаются с одного интеллектуального помощника на другого, чтобы увидеть, какой из них обеспечивает максимальную производительность для той или иной задачи. Предприятия с трудом справляются с запросами своих Devops-команд на новые инструменты для кодирования, одобренные для использования в масштабах всей компании.  
 
Помощники по кодированию с использованием искусственного интеллекта доступны от ведущих поставщиков услуг искусственного интеллекта и LLMs, включая Anthropic, Amazon, GitHub, GitLab, Google, Hugging Face, IBM, Meta, Parasoft, Red Hat, Salesforce, ServiceNow, Stability AI, Tabnine и другие.    
 
В 2024 году перед CISO встанет сложная задача поиска баланса 
 
Прогнозы Forrester в области кибербезопасности, рисков и конфиденциальности отражают предстоящий сложный год для руководителей по информационной безопасности, которым необходимо будет найти баланс между повышением производительности, которое обеспечивает генеративный ИИ, и обеспечением соответствия требованиям и безопасности разрабатываемых моделей ИИ и машинного обучения. 
 
Правильное соблюдение нормативных требований будет иметь важное значение для защиты интеллектуальной собственности — единственного актива, который никто не хочет подвергать риску, несмотря на постепенное увеличение выгоды, которое обеспечивает генеративный ИИ.
 
То, насколько хорошо руководители подразделений информационной безопасности и их команды смогут объединить инновации, соответствие требованиям и управление, чтобы обеспечить своим компаниям конкурентное преимущество, в 2024 году будет поддаваться измерению больше, чем в любой предыдущий год. Повышение производительности генеративного ИИ уравновешивается рисками, и потребность в надежных механизмах защиты станет ключевой проблемой, с которой, вероятно, столкнется каждый CISO в следующем году.
 
Цель: добиться инновационных преимуществ ИИ при одновременном снижении рисков
 
Прогнозы Forrester в области кибербезопасности, рисков и конфиденциальности на 2024 год ориентируют каждую организацию на достижение больших инновационных успехов в области искусственного интеллекта при одновременном снижении рисков, связанных с человеческими факторами и нарушениями кода. В совокупности эти прогнозы отражают, насколько важно в первую очередь обеспечить соответствие требованиям, управление и защитные механизмы для новых моделей искусственного интеллекта и машинного обучения, чтобы повышение производительности за счет генеративного кодирования на основе искусственного интеллекта и инструментов devops приносило наибольшую выгоду при минимальном риске. 
 
«В 2024 году, когда организации примут императив генеративного ИИ, управление и подотчетность станут важнейшим компонентом для этичного использования ИИ и соответствия нормативным требованиям», — отмечают в Forrester. «Это позволит организациям безопасно перейти от экспериментов к внедрению новых технологий на основе искусственного интеллекте», — говорится в отчете. 
 
Данные Forrester за 2023 год показывают, что 53% лиц, принимающих решения в области ИИ, чьи организации внесли изменения в политику в отношении генеративного ИИ, развивают свои программы управления для поддержки вариантов использования ИИ.
 
Ниже приведены другие прогнозы на 2024 год.
 
Число атак социальной инженерии будет увеличиваться по мере того, как злоумышленники будут находить новые способы использования генеративного ИИ
 
FraudGPT — только начало того, как злоумышленники будут использовать генеративный ИИ и переходить в наступление. В 2024 году количество атак с использованием социальной инженерии возрастет с 74% от всех попыток взлома до 90%. Эксперты Forrester предупреждают, что сегодня человеческий фактор подвергается атакам как никогда ранее.
 
Это отрезвляющая новость для отрасли, где некоторые из самых разрушительных атак программ-вымогателей в 2023 году начались с телефонного звонка. Существующие подходы к обучению основам безопасности не работают. В Forrester подчеркивают, что необходим подход к изменению поведения, основанный на данных, который количественно оценивает риск, связанный с человеком, а также обеспечивает обратную связь по обучению сотрудников в режиме реального времени и устраняет пробелы в восприятии, которые могут возникнуть у них при выявлении угроз.
 
«Технологии создаются людьми и для людей. Уже недостаточно обвинять «человеческий фактор» в нарушениях безопасности. Необходимо использовать детализированный логический и основанный на периметре контроль безопасности и идентификации; осуществлять эффективное управление, создавая «асфальтированные дороги», чтобы люди могли делать безопасные и простые вещи; шаблонизировать среду и использовать эфемерность в качестве преимущества в плане безопасности; замечать аномалии для интеллектуального уточнения разрешений. Все эти действия приводят к уменьшению количества записей о человеческих ошибках», — говорит директор по информационной безопасности Lacework Мерритт Бэр. 
 
Бэр отмечает, что «ошибаться свойственно человеку; обеспечивать безопасность окружающей среды — дело для практиков, которые со временем становятся лучше».
 
Операторы киберстрахования ужесточат свои стандарты, относя двух поставщиков технологий к категории высокого риска
 
Объединение большего объема телеметрических данных в режиме реального времени и более мощных аналитических инструментов генеративного ИИ для их анализа обеспечит страховым компаниям видимость, которая уже давно необходима им для снижения рисков. В отчете Forrester отмечается, что страховые компании также получат больше информации от служб безопасности и технологических подразделений и больше информации, основанной на данных, включая судебно-медицинскую экспертизу страховых случаев. 
 
Учитывая растущее число и серьезность массовых нарушений, подобных MOVEit, Forrester прогнозирует, что поставщики систем безопасности будут анализироваться с помощью оценки рисков и расчетов, которые также будут использоваться для расчета взносов их клиентов, желающих получить страховое покрытие.
 
Ожидайте, что приложение на базе ChatGPT будет оштрафовано за неправильное обращение с личной информацией (PII)
 
В этом прогнозе подразумевается, насколько уязвимы системы идентификации и управления доступом (IAM) для атак. Active Directory является одной из самых популярных целей любой атаки, основанной на идентификации.
 
Ежедневно атакам подвергаются около 95 миллионов учетных записей Active Directory, поскольку 90% организаций используют платформу идентификации в качестве основного метода аутентификации и авторизации пользователей. Джон Толберт, директор по исследованиям в области кибербезопасности и ведущий аналитик KuppingerCole, озвучил свое мнение в отчете Identity & Security: Анализ современного ландшафта угроз: «Компоненты Active Directory являются высокоприоритетными целями в хакерских кампаниях, и обнаружив их, злоумышленники могут создавать дополнительные леса и домены Active Directory и устанавливать доверительные отношения между ними чтобы облегчить доступ со стороны. Они также могут создавать федеративное доверие между совершенно разными доменами».
 
Эксперты Forrester отмечают, что OpenAI продолжает подвергаться более пристальному контролю со стороны регулирующих органов в связи с продолжающимся расследованием в Италии, а юристы в Польше рассматривают новый судебный иск в связи с несколькими потенциальными нарушениями GDPR. В результате Европейский совет по защите данных создал целевую группу для координации правоприменительных действий против ChatGPT от OpenAI. В США FTC также ведет расследование в отношении компании. В то время как OpenAI располагает техническими и финансовыми ресурсами для защиты от регулирующих органов, другие сторонние приложения, работающие под управлением ChatGPT, их не имеют. 
 
Количество ролей и должностей высшего звена с нулевым доверием удвоится в глобальном государственном и частном секторах
 
В настоящее время в США доступно 92 вакансии с нулевым доверием, которые рекламируются в LinkedIn, и 151 вакансия по всему миру. Оптимистичный прогноз Forrester о двукратном росте позиций zero trust в ближайшие двенадцать месяцев подтверждается более широким внедрением архитектуры NIST Zero Trust Architecture в клиентской базе. Forrester прогнозирует, что внедрение модели нулевого доверия также увеличит спрос на специалистов в области кибербезопасности, обладающих опытом проектирования, управления, стратегии и лидерства. Компания Forrester рекомендует своим клиентам подготовиться, изучив требования к роли с нулевым доверием и определив группу лиц для прохождения сертификации zero trust.
 
Ссылка на источник