حتى وقت قريب، ركزت أقسام تكنولوجيا المعلومات في المقام الأول على تزويد الموظفين بأنظمة تكنولوجيا المعلومات التي يحتاجونها للقيام بوظائفهم، مما يعني أن أنظمة إدارة الهوية والوصول (IAM) كانت تتمحور في المقام الأول حول الإنسان.
يشير أديتيا سود، نائب رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعي (AI) في Aryaka، إلى أن هذا التركيز الذي يتمحور حول الإنسان يعني توفير الهويات والمصادقة عليها والترخيص بها باستخدام نماذج مثل التحكم في الوصول المستند إلى الأدوار (RBAC) والمصادقة متعددة العوامل (MFA)، حيث يتم اتخاذ القرارات في وقت تسجيل الدخول.
ويقول: “حتى مع التطور نحو انعدام الثقة، يظل الافتراض الأساسي دون تغيير إلى حد كبير: الهويات معروفة ومحدودة ومستقرة نسبيًا”.
يحذر سود من أن مكدس IAM الحالي غير متوافق مع الطبيعة السائلة والمستقلة لوكلاء الذكاء الاصطناعي. “لم نعد نقوم بتأمين “المستخدمين” فحسب؛ بل نقوم بتأمين شبكة ضخمة ومستقلة من الهويات غير البشرية [NHIs] يقول: “إنها تتحرك بسرعة الآلة”.
“يستدعي الوكلاء المستقلون الأدوات بشكل ديناميكي، ويصلون إلى واجهات برمجة التطبيقات [application programming interfaces]وإنشاء وكلاء فرعيين والعمل عبر مجالات متعددة دون تدخل بشري مباشر. ويضيف سود: “غالبًا ما يستخدم هؤلاء العملاء بيانات اعتماد مشتركة، أو رموزًا سريعة الزوال، أو حدود ثقة ضمنية، مما يؤدي إلى غموض الهوية، وضعف الإسناد، واتساع نطاق الهجوم”.
الآثار المترتبة على أمن تكنولوجيا المعلومات للذكاء الاصطناعي في المؤسسات
على الرغم من أن العديد من المؤسسات لا تزال في المراحل الأولى من نضج الذكاء الاصطناعي، يقول جاكوب كونيل، مهندس الذكاء الاصطناعي والأتمتة في Quorum Cyber، إن أحد أكبر التحديات في هذه الرحلة هو دمج الأتمتة والذكاء الاصطناعي بشكل آمن في أنظمة المؤسسة الحالية.
ويقول: “مع توسع أسطح الهجوم المعتمدة على الذكاء الاصطناعي، تصبح الهوية عنصر تحكم أساسي لتأمين الأتمتة، والأهم من ذلك، للحد من نطاق الانفجار عندما تسوء الأمور. ستحدث الأخطاء؛ والهدف من تصميم الهوية الحديثة هو ضمان احتواء التأثير وقابليته للاسترداد”.
مع توسع أسطح الهجوم المعتمدة على الذكاء الاصطناعي، تصبح الهوية عنصر تحكم أساسي لتأمين الأتمتة والحد من نطاق الانفجار عندما تسوء الأمور
جاكوب كونيل، كوروم سايبر
وفقًا لكونيل، لا يقتصر دور الذكاء الاصطناعي على إضافة نوع مستخدم جديد إلى إدارة الهوية والوصول؛ إنه يجبر المؤسسات على إعادة تصميم الهوية لتكون بمثابة مستوى تحكم مستمر للبشر وأعباء العمل والوكلاء على حدٍ سواء.
وبالنظر إلى IAM التقليدية، يقول كونيل إنه بمجرد مصادقة مستخدم أو خدمة واستلام رمز مميز، يمكن إعادة تشغيل هذا الرمز بحرية حتى انتهاء الصلاحية – أحيانًا لساعات أو أيام – دون إعادة التحقق من النظام الأساسي مما إذا كان أي شيء مهم قد تغير بشأن مكانة الموضوع. لكنه يحذر من أن “هذا النموذج لم يعد قائما”.
يقترح كونيل أن قادة أمن تكنولوجيا المعلومات يجب أن ينشروا نموذج التقييم المستمر. على الرغم من أن الرمز المميز لا يزال ضروريًا، عند تقديم الرمز المميز، يقول إن السياسات المحددة مركزيًا يجب أن تؤكد أن الموضوع وسياقه لا يزالان يفيان بجميع المتطلبات في تلك اللحظة. يوصي كونيل بالتحقق مما إذا كانت الهوية لا تزال نشطة، وما إذا تم وضع علامة عليها على أنها عالية الخطورة، وما إذا كان عنوان IP أو الموقع قد تغير بشكل غير متوقع، وما إذا كانت وضعية الجهاز قد تدهورت، وما إذا كانت هناك معلومات استخباراتية جديدة عن التهديدات تشير إلى وجود حل وسط، من بين أمور أخرى.
ويقول: “إن تقييم هذه الإشارات على الحافة يمكن أن يقلل بشكل كبير من فرص إساءة استخدام الهوية”. وينطبق هذا النهج بالتساوي على المستخدمين من البشر، وأعباء عمل الآلات، والهويات الهجينة الناشئة التي يتم إنشاؤها بواسطة الذكاء الاصطناعي الوكيل الذي يعمل إما بشكل مستقل أو نيابة عن المستخدم، كما هو الحال عندما يكون هناك إنسان في الحلقة.
الأخلاق و IAM
وينبغي لقادة تكنولوجيا المعلومات والأمن أيضًا أن يأخذوا في الاعتبار العواقب الأخلاقية لنشر الذكاء الاصطناعي في مؤسساتهم.
ويشير مايك جيليسبي، نائب الرئيس الأول لأوروبا في مركز دراسات الفضاء السيبراني والإنترنت الاستراتيجية (CSCIS)، إلى أن أنظمة الهوية القائمة على الذكاء الاصطناعي يمكن أن تؤدي إلى تضخيم التحيز، الذي يقول إنه يؤثر بشكل غير متناسب على الفئات الضعيفة. وهذا يعني أنها تخاطر بالتحول إلى محركات قرار مبهمة تؤدي إلى تآكل الثقة.
وكما لاحظ غيليسبي، أصبح المنظمون واضحين بشكل متزايد بأن العدالة وقابلية التفسير والمنافسة ليست أموراً “من الجيد أن تمتلكها”، ولكنها مبادئ تصميم أساسية متأصلة طوال دورة حياة نظام الذكاء الاصطناعي.
ويقول إن المملكة المتحدة تعمل على تطوير نموذج قائم على المبادئ، وتقوده الجهات التنظيمية، لمراقبة الذكاء الاصطناعي. ويشمل ذلك قانون (الاستخدام والوصول) للبيانات لعام 2025، والتوجيهات المحدثة من مكتب مفوض المعلومات (ICO)، والإصلاحات المستمرة التي تشكل بشكل كبير كيفية عمل أنظمة هوية الذكاء الاصطناعي.
وكما يوضح غيليسبي، فإن قانون (الاستخدام والوصول) لعام 2025 للبيانات (الاستخدام والوصول) يوسع الواجبات التنظيمية حول المعالجة الآلية وحماية بيانات الأطفال ومعالجة الشكاوى. ويقول إن هذا يوضح أن عمليات التحقق من الهوية التي تعتمد على الذكاء الاصطناعي ستواجه تدقيقًا أكبر فيما يتعلق بالرقابة والضمانات.
فيما يتعلق بتوجيهات الطرح الأولي للعملة (ICO) المحدثة، يقول غيليسبي إن هناك تركيزًا متجددًا على العدالة والشفافية والقواعد القانونية الواضحة للمعالجة، خاصة عندما يؤثر الذكاء الاصطناعي على القرارات ذات “تأثيرات قانونية أو ذات أهمية مماثلة”.
بالإضافة إلى ذلك، تفرض التشريعات الخاصة بقطاعات معينة، مثل قانون السلامة على الإنترنت لعام 2025 في المملكة المتحدة، التحقق “بفعالية عالية” من العمر والهوية للخدمات عالية المخاطر عبر الإنترنت، وهو ما يقول جيليسبي إنه يعزز الحاجة إلى الدقة وأساليب الحفاظ على الخصوصية والامتثال الواضح.
“هذا النمط لا لبس فيه: يجب على المنظمات إثبات الاستخدام المسؤول، وليس مجرد التأكيد عليه. وهذا يعني تنفيذ الحوكمة الفعالة والامتثال التنظيمي. [GRC] ويضيف: “كجزء من التبني”.
التحدي المتمثل في مراقبة استخدام الذكاء الاصطناعي هو أنه يتطلب جمع البيانات الشخصية، كما يوضح إيلي هيرست، المدير التجاري لشركة Advent IM. وتقول: “بمجرد مشاركة الذكاء الاصطناعي في تحديد من يمكنه الوصول، ومن يتم تحديه، ومن يتم وضع علامة عليه كمشتبه به، أو من يُمنع من الدخول تمامًا، فإن ذلك يتوقف عن كونه مجرد مراقبة فنية وسرعان ما يصبح مسألة حوكمة”.
ويضيف هيرست: “تعتمد العديد من هذه الحلول على كميات كبيرة من البيانات الشخصية، بما في ذلك في بعض الأحيان القياسات الحيوية والتحليل السلوكي وبيانات الجهاز ومعلومات الموقع وأنماط الاستخدام. وهذا يعني أن المؤسسات بحاجة إلى أن تكون واضحة تمامًا فيما يتعلق بالأساس القانوني والضرورة والتناسب والاحتفاظ والإشراف. وبعبارة أخرى، يجب عليهم أن يعرفوا ليس فقط أن الأداة يمكنها فعل شيء ما، ولكن يجب عليهم القيام بذلك على الإطلاق. إن الأمر يشبه معرفة أن iPhone هو أداة، وليس المحادثة”.
وبالنظر إلى معايير محددة تشمل الحوكمة، يقول جيليسبي إن معيار ISO/IEC 42001، وهو أول معيار لنظام إدارة الذكاء الاصطناعي في العالم، يقدم نهجًا منظمًا لإدارة الذكاء الاصطناعي بشكل مسؤول، ودمج مساءلة القيادة، وضوابط دورة الحياة، وتقييم المخاطر، والتقييم المستمر للأداء.
وفقًا لجيليبسي، يوفر معيار ISO/IEC 42001 بنية حوكمة يمكن للمؤسسات استخدامها لضمان إمكانية تفسير حلول هوية الذكاء الاصطناعي ومراقبتها واختبارها وتحسينها بشكل مستمر.
ومع ذلك، يقول: “لا يحل معيار ISO 42001 محل التزامات الامتثال، ولكنه يوفر الانضباط التنظيمي اللازم للتنقل بينها بثقة. ويتطلب تنفيذ مركز الخليج للأبحاث الفعال تضمين الحوكمة منذ البداية: اعتماد إطار عمل إدارة الذكاء الاصطناعي المنظم الخاص بمعيار ISO 42001، وإجراء تقييمات حماية البيانات الشخصية (DPIAs)”. [data protection impact assessments]وإنفاذ الخصوصية والعدالة حسب التصميم، والحفاظ على الشفافية والتوثيق، وضمان الرقابة البشرية القوية.
ومع تركيز الهيئات التنظيمية بشكل متزايد على المساءلة والعدالة والخصوصية، يوصي غيليسبي بأن يفكر قادة أمن تكنولوجيا المعلومات في نشر هوية الذكاء الاصطناعي المبنية على أساس الثقة والمساءلة والتصميم المبدئي باعتبارها لم تعد اختيارية. ويقول: “إنها ضرورية لإدارة هوية الذكاء الاصطناعي بطريقة آمنة وقانونية ومسؤولة”.
إن مجرد قدرة النظام على استنتاج المزيد لا يعني أنه ينبغي عليه ذلك. إنه حقل ألغام محتمل يجب التعامل معه بوعي ونزاهة
إيلي هيرست، Advent IM
يحذر هيرست من Advent IM من أن البيانات التي تم جمعها لتأكيد الهوية يمكن أن تصبح بسهولة بيانات تستخدم لمراقبة السلوك، أو تحديد ملف تعريف الموظفين، أو تتبع العادات، أو دعم المراقبة على نطاق أوسع إذا كانت حواجز الحماية ضعيفة. وهنا تبدأ الثقة في التذبذب.
وتقول: “تحتاج الشركات إلى الخصوصية من خلال التصميم، وتقييمات التأثير المناسبة، والإشعارات الشفافة، والحدود المنضبطة حول كيفية استخدام بيانات الهوية. فمجرد قدرة النظام على استنتاج المزيد لا يعني أنه ينبغي عليه ذلك. إنه حقل ألغام محتمل يجب الإبحار فيه بوعي ونزاهة”.
ولهذا السبب هناك حاجة إلى تقييم كامل لأي منظمة تخطط لكيفية استخدام الذكاء الاصطناعي. تلخيصًا لذلك، يقول غيليسبي: “الخصوصية والأخلاق ليسا مسارين عمل متوازيين؛ بل يشكلان الأساس لأي استخدام مشروع للذكاء الاصطناعي”.
مع نشر الذكاء الاصطناعي وأنظمة الذكاء الاصطناعي الوكيل عبر المؤسسات، فمن المرجح أن تواجه أقسام تكنولوجيا المعلومات تحديات جديدة تتجاوز إدارة البنية التحتية التكنولوجية المطلوبة لتشغيل استدلال الذكاء الاصطناعي على نطاق واسع. يعد IAM جزءًا من نهج متعدد الطبقات للأمن السيبراني الذي يحتاج قادة الأمن إلى تطبيقه.
من غير المرجح أن يكون النهج التقليدي الذي يركز على الإنسان في IAM كافياً لإدارة أوراق اعتماد أنظمة الذكاء الاصطناعي. بالإضافة إلى ذلك، يحتاج قادة تكنولوجيا المعلومات والأمن أيضًا إلى وضع إطار حوكمة للذكاء الاصطناعي يوازن بين أمان المؤسسة وخصوصية بيانات الموظفين.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
