„Wszedł jak lew, wyszedł jak baranek” to trafny opis roku 2023. Początek roku był trudny, z uwagi na liczne upadki banków, trwające zwolnienia w branży technologicznejoraz pojawienie się korporacyjnych środków oszczędnościowych. Jednak do wiosny 2023 r. inflacja spadła; powrócił wzrost PKB; i innowacje zaczęły wnosić w organizacje nowy optymizm. Rzeczywiście, w 2023 r. wzrosło inwestycje w coś, co nazywamy największą zmianą technologiczną i biznesową w naszym życiu – generatywna sztuczna inteligencja (gen AI).
W 2024 r. w dalszym ciągu nacisk będzie położony na innowacje, ponieważ coraz więcej firm rozpoczyna szybkie eksperymenty i uruchamia nowe inicjatywy genAI. Jednak dla organizacji kluczowe będzie bezpieczne przejście od eksperymentów do wdrażania nowych technologii opartych na sztucznej inteligencji. Według Forrestera Z danych za rok 2023 wynika, że 53% decydentów zajmujących się sztuczną inteligencją, których organizacje wprowadziły zmiany w polityce dotyczące genAI, rozwija swoje programy zarządzania sztuczną inteligencją, aby wspierać przypadki użycia sztucznej inteligencji. W związku z tym liderzy ds. bezpieczeństwa, ryzyka i prywatności będą musieli zrównoważyć szybkość innowacji z zarządzaniem i odpowiedzialnością wykraczającą poza mandaty regulacyjne w kontekście wzajemnie powiązanych zagrożeń.
Niebezpieczny kod AI i OpenAI
Niestety w wyniku zwiększonego skupienia się na genAI w 2024 r. prawdopodobnie będziemy świadkami co najmniej trzech naruszeń danych, które będą publicznie obwiniane za kod wygenerowany przez sztuczną inteligencję. Rzeczywiście, widzimy, że programiści w coraz większym stopniu polegają na asystentach programistów AI – znane jako TuringBoty – w celu wygenerowania kodu i zwiększenia produktywności, i chociaż wiele organizacji jest odpowiedzialnych i skanuje kod pod kątem luk w zabezpieczeniach, będziemy również świadkami, jak zbyt pewni siebie programiści przyjmują bardziej ufne stanowisko i zakładają, że kod wygenerowany przez sztuczną inteligencję jest bezpieczny.
Forrester przewiduje również, że w 2024 r. aplikacja korzystająca z ChatGPT zostanie ukarana grzywną za przetwarzanie danych umożliwiających identyfikację. Widzieliśmy, jak organy regulacyjne skupiają swoje uwagi na genAI, przy czym OpenAI jest pod ścisłą kontrolą organów regulacyjnych – i nie bez powodu. W Europie jesteśmy już świadkami trwającego śledztwa w sprawie OpenAI we Włoszechnatomiast prawnicy w Polsce zajmują się nowym pozwem dotyczącym kilku potencjalnych spraw Naruszenia RODO. Europejska Rada Ochrony Danych również to zrobiła uruchomił grupę zadaniową w celu koordynowania działań egzekucyjnych przeciwko ChatGPT OpenAI.
Problem polega na tym, że OpenAI może mieć zasoby, aby bronić się przed organami regulacyjnymi, czego jednak nie ma wiele aplikacji innych firm działających na ChatGPT. Co więcej, niektóre aplikacje w rzeczywistości są obarczone jeszcze większym ryzykiem kar finansowych niż samo OpenAI, ponieważ wprowadzają ryzyko za pośrednictwem zewnętrznego dostawcy technologii, ale brakuje im zasobów finansowych i technicznych niezbędnych do jego złagodzenia. Następnie musimy zobaczyć, jak firmy identyfikują aplikacje, które mogą zwiększyć ich narażenie na ryzyko i podwoić zarządzanie ryzykiem przez strony trzecie.
Eksplozja zerowego zaufania i błąd ludzki
Według przewidywań Forrestera zobaczymy także role z zero zaufania liczba tytułów podwoiła się w 2024 r. w sektorze publicznym i prywatnym. W chwili pisania tego tekstu na LinkedIn w USA ogłoszono 81 stanowisk o zerowym zaufaniu, sześć w Wielkiej Brytanii i jedno w Singapurze. Jednakże połączenie wzrostu mandatów i rozporządzeń wykonawczych dotyczących zerowego zaufania w USA oraz w końcu włączenia zasady zerowego zaufania do głównego nurtu w regionie APAC i EMEA doprowadzi do rosnącego zapotrzebowania na stanowiska w zakresie bezpieczeństwa cybernetycznego zajmujące się architekturą, inżynierią i technologią zerowego zaufania zarządzanie, strategia i przywództwo. W rezultacie w ciągu przyszłego roku nie tylko liczba stanowisk w każdym regionie podwoi się, ale zaczną one pojawiać się w takich krajach jak Australia i Indie.
Przekonamy się również, że błędy ludzkie odgrywają znaczącą rolę w naruszeniach bezpieczeństwa danych w 2024 r. Błąd ludzki, który polega na tym, że pracownik lub użytkownik nieświadomie umożliwił naruszenie danych poprzez nadużycie uprawnień, użycie skradzionych danych uwierzytelniających lub inżynierię społeczną, zawsze był wyzwaniem dla specjalistów ds. bezpieczeństwa i ryzyka, a wiele globalnych i lokalnych publikacji na temat naruszeń szacuje, że są oni odpowiedzialni za 74% naruszeń. Jednak Forrester przewiduje, że w 2024 r. odsetek ten wzrośnie do 90% naruszeń danych, przede wszystkim ze względu na rozwój genAI i powszechność kanałów komunikacji, dzięki którym ataki socjotechniczne stają się prostsze i szybsze. Wzrost ten ujawni także to, co często reklamuje się jako złoty środek w ograniczaniu naruszeń ze strony człowieka – świadomość i szkolenia w zakresie bezpieczeństwa. Dlatego w 2024 r. więcej CISO przejdzie na adaptacyjną ochronę człowieka i przyjmie podejście do zmiany zachowań oparte na danych, dodając jednocześnie ryzyko ludzkie do zarządzania ryzykiem bezpieczeństwa.
Ubezpieczenie cybernetyczne: dostawcy będą mieć znaczenie
Wreszcie w 2024 r. Forrester spodziewa się, że dwóch dostawców technologii bezpieczeństwa zostanie uznanych przez ubezpieczycieli za sygnały ostrzegawcze. W związku z utrzymującym się przez wiele lat deficytem danych, dostawców ubezpieczeń cybernetycznych dysponują teraz cennymi spostrzeżeniami uzyskanymi od służb bezpieczeństwa, partnerstw technologicznych i roszczeń ubezpieczeniowych, które zaczną mieć wpływ na sposób rozpatrywania i rozpatrywania roszczeń. Rzeczywiście, prawdopodobnie zaobserwujemy zwiększone zapotrzebowanie na bezpieczne praktyki i konkretne technologie bezpieczeństwa stosowane przez ubezpieczających. Nie będzie już wystarczające posiadanie konkretnego rozwiązania w zakresie bezpieczeństwa; korzystanie z dostawców uznanych przez ubezpieczycieli za ryzykownych doprowadzi do podwyższenia składek, dodatkowej kontroli, nowych wymogów w zakresie zarządzania podatnościami na zagrożenia i ewentualnie odmowy ubezpieczenia, chyba że wybiorą mniej ryzykowną opcję.
Alla Valente jest starszym analitykiem w Forrester. Specjalizuje się w zarządzaniu, ryzyku i compliance, zarządzaniu ryzykiem stron trzecich, zarządzaniu cyklem życia kontraktów oraz ryzyku łańcucha dostaw.