На протяжении почти двух десятилетий руководители служб кибербезопасности сталкивались с одной и той же реальностью: какими бы катастрофическими ни были последние утечки данных, атаки программ-вымогателей или вторжения, спонсируемые государством, расходы на безопасность часто проигрывали в конкуренции всем другим приоритетам бизнеса.
Искусственный интеллект, возможно, наконец меняет это уравнение.
Быстрое появление передовых систем ИИ, способных к автономным кибероперациям, в сочетании с распространением агентивного ИИ внутри предприятий создало то, чем руководители служб безопасности редко наслаждаются: срочность на уровне совета директоров.
Эта срочность была очевидна на недавнем Саммите SANS по ИИ и кибербезопасности в Вашингтоне, округ Колумбия, где бывший заместитель советника по национальной безопасности Энн Нойбергер настоятельно призвала руководителей служб безопасности воспользоваться моментом.
«У нас сейчас есть момент, когда знание о том, как большие языковые модели (LLM) способствуют атакам… [означает], давайте изменим культуру, давайте действовать быстро», — сказала Нойбергер во время основного доклада.
Ее комментарии прозвучали всего через несколько дней после того, как Bain & Co. предупредила, что многим организациям, возможно, придется удвоить или даже утроить инвестиции в кибербезопасность, чтобы подготовиться к операционным проблемам, создаваемым передовыми системами ИИ, такими как Mythos от Anthropic.
«То, что я вижу, очень освежает», — сказал Нейт Роллингс, CISO в Zafran Security, поставщике решений по управлению подверженностью угрозам, участникам недавней конференции и вручения наград CSO Cybersecurity Awards в Нэшвилле.
«За последние пару лет мы видели, как эти бюджеты выделялись на внедрение ИИ в бизнесе и ИТ… для стимулирования деятельности, приносящей доход», — отметил он. «Из-за Mythos и Glasswing пришло осознание того, что мы недостаточно внедрили ИИ в сфере безопасности». В результате «мы видим это одобрение сверху вниз, говорящее: „Послушайте, нам нужно увеличить бюджет, чтобы мы могли использовать ИИ в сфере безопасности в ответ на угрозы ИИ“».
Для многих CISO это сближение ощущается не как очередной цикл ажиотажа, а как структурный сдвиг — особенно по мере того, как организации быстро развертывают автономные системы, которыми командам безопасности едва удается управлять.
Как ИИ расширяет корпоративные риски
Благодаря быстрому внедрению агентов ИИ организации создают новый операционный уровень в своих предприятиях. Эти системы все чаще способны принимать решения, инициировать действия, получать доступ к конфиденциальным системам и взаимодействовать с другим программным обеспечением на машинной скорости с минимальным человеческим контролем.
«Агентивный ИИ действует так, как мы раньше не видели в бизнесе», — говорит Диана Келли, CISO в Noma Security, в интервью CSO. «Теперь мы защищаем уровень принятия решений и автоматизации с помощью ИИ, потому что агентивный ИИ принимает решения».
Бернард Брэнтли, CISO в Corelight, сообщает CSO, что ИИ обнажает годы накопленного технического долга, разрушая операционные границы, на которые команды безопасности когда-то полагались для изоляции систем, данных и доменов идентификации.
«У меня есть один потенциальный агент, который может взаимодействовать со всеми 50 интерфейсами, доступными в компании, менее чем за секунду», — говорит он. «Теперь нам нужно подумать о том, насколько широко он распространяется».
«Если бы мы сказали, что у каждого человека в компании теперь есть по три агента, наш ландшафт, который нам нужно защищать, увеличился бы в три раза», — добавляет Брэнтли.
Существующие архитектуры безопасности были построены для систем, управляемых человеком, а не для автономных агентов, работающих непрерывно на машинной скорости, что вынуждает организации переосмыслить управление идентификацией, мониторинг, поведенческий контроль и границы вокруг систем ИИ.
«Вы должны его отслеживать», — говорит Кайл Лай, президент и CISO KLC Consulting, в интервью CSO. «Если он начнет вести себя некорректно, зафиксируйте это так же, как и учетную запись человека».
Руководители служб безопасности говорят, что одна из самых больших возникающих проблем — это видимость. Многие организации по-прежнему не имеют надежных способов отслеживать, к чему обращаются агенты ИИ, какие решения они принимают, с какими системами они взаимодействуют и остаются ли эти действия согласованными с корпоративной политикой с течением времени.
В отличие от традиционного программного обеспечения, автономные агенты могут динамически связывать действия в нескольких корпоративных системах, что значительно усложняет для команд безопасности прогнозирование поведения или ограничение доступа с использованием обычных моделей привилегий.
Лай говорит, что организации все чаще признают, что агенты ИИ требуют тех же мер контроля идентификации, ведения журналов, аудита и поведенческого контроля, которые исторически применялись к сотрудникам и привилегированным пользователям.
В то же время ИИ ускоряет операционные риски в других областях внутри предприятий. Например, системы кодирования с помощью ИИ позволяют разработчикам быстро генерировать огромное количество программного обеспечения — но часто без полного понимания последствий безопасности.
Риск ускоряется быстрее, чем команды безопасности могут адаптироваться
Руководители служб безопасности заявляют, что системы генерации кода ускоряют циклы разработки быстрее, чем существующие процессы проверки безопасности многих организаций могут реально успевать.
Разработчики все чаще внедряют код, сгенерированный ИИ, который они могут не до конца понимать, потенциально вводя уязвимости, небезопасные зависимости, ошибки аутентификации и ошибки конфигурации в производственные среды в больших масштабах.
«ИИ генерирует много кода», — говорит Лай. «Если вы не управляете уязвимостями, сгенерированными ИИ, это создаст больше проблем, потому что теперь вы создаете все эти уязвимости».
Операционные последствия вынуждают многие организации переосмыслить кибербезопасность не столько как оборонительную ИТ-функцию, сколько как уровень управления для автономных корпоративных систем.
Этот сдвиг помогает поднять обсуждения о кибербезопасности до более широких бесед, касающихся внедрения ИИ, операционной устойчивости, автоматизации рабочей силы и бизнес-рисков.
Руководители предприятий прислушиваются так, как никогда раньше
ИИ также меняет поведение высшего руководства и советов директоров.
В течение многих лет многие руководители служб безопасности боролись за то, чтобы убедить советы директоров в том, что киберриск представляет собой стратегический бизнес-вопрос, а не просто ИТ-расход.
«Мы часто говорим о культуре как о защитном механизме для изменений», — сказала Нойбергер на саммите SANS. «Мы также видим, что внезапно генеральные директора говорят о LLM, говорят о проектах и обеспокоены кибербезопасностью. Это огромное изменение».
Это внимание имеет значение, поскольку расходы на безопасность исторически росли только тогда, когда киберриск связывался с более широкой трансформацией бизнеса.
ИИ теперь находится в центре обсуждений совета директоров о конкурентоспособности, автоматизации, производительности труда и цифровой стратегии, предоставляя CISO редкую возможность представить кибербезопасность как оперативное условие для безопасного внедрения ИИ.
Однако Брэнтли считает, что руководители служб безопасности должны сопротивляться сообщениям, основанным на страхе, и вместо этого позиционировать кибербезопасность как инструмент для развития бизнеса. «Увеличение бюджета на кибербезопасность должно быть фактически ориентировано на предоставление ценности для бизнеса в отношении текущей или стратегической цели ИИ», — говорит он. «Нет никакого способа реагировать на скорость ИИ без использования ИИ».
И это часто означает тратить больше на ИИ для решения проблем, связанных с ИИ. «Я думаю, [увеличение расходов] будет представлять собой сочетание, скажем, 10 новых сотрудников, хорошо разбирающихся в этой проблеме ИИ, и, возможно, подрядчика или поставщика, у которого есть решение, а затем я потрачу деньги на токены ИИ, чтобы прийти к этому ответу».
Наиболее убедительным аргументом на уровне руководства может быть то, что кибербезопасность становится операционной основой, которая позволяет организациям безопасно масштабировать ИИ без потери видимости, управления или контроля.
«Отравление данных, косвенные инъекции подсказок, агенты, предпринимающие несанкционированные действия — все это часть обсуждения рисков в организации», — говорит Келли. «Это обсуждение рисков о том, как бизнес принимает решения».
Запросы на бюджет требуют обоснования для бизнеса
Не все считают, что ИИ спровоцирует бум расходов на кибербезопасность.
Иэн Торнтон-Трамп, CISO в Inversion6, предупреждает, что некоторые организации рискуют рассматривать ИИ как универсальное оправдание для расходов, не артикулируя четко лежащие в основе бизнес-риски.
«Я бы смеялся как руководитель компании, если бы кто-то пришел ко мне и сказал: „Я хочу потратить кучу денег на ИИ для кибербезопасности“», — говорит Торнтон-Трамп.
Торнтон-Трамп утверждает, что советы директоров продолжают сопоставлять кибербезопасность с длинным списком конкурирующих стратегических проблем, включая геополитическую нестабильность, климатические риски, мошенничество, сбои в цепочках поставок и растущие операционные расходы.
«Просите больше денег, но имейте план», — говорит он. «Особенно план, который учитывает тот факт, что вы не получите всего, о чем просите».
Другими словами, спор заключается не в том, тратить ли деньги, а в том, смогут ли руководители служб безопасности достаточно четко сформулировать причину, чтобы их услышали.
Независимо от того, будет ли появление ИИ достаточным для увеличения бюджетов, ясно, что передовой ИИ, автономные корпоративные системы и страх руководства отстать от конкурентов внезапно выровняли кибербезопасность с основной бизнес-стратегией.
Результатом станет самый значительный сдвиг в расходах на корпоративную безопасность со времен появления облачных вычислений — не потому, что руководители внезапно стали больше бояться кибератак, а потому, что они все чаще рассматривают кибербезопасность как операционную основу, которая делает возможным широкомасштабное внедрение ИИ.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
