البيانات غير المهيكلة، والذكاء الاصطناعي العام، والامتثال التنظيمي

للتخفيف من هذه المخاطر، يجب على المؤسسات تطبيق استراتيجيات حوكمة بيانات قوية، وضوابط وصول فعّالة، وتشفير البيانات، وأدوات منع فقدان البيانات، وبرامج تدريب للموظفين مصممة خصيصًا لمواجهة التحديات الفريدة للبيانات غير المهيكلة. كما يمكن للمراقبة والتدقيق المستمرين، واعتماد تقنيات متقدمة مثل التعلم الآلي وتصنيف البيانات، أن تساعد المؤسسات على تحديد أصول بياناتها غير المهيكلة وحمايتها وإدارتها بشكل أفضل. إن استخدام أساليب فعّالة لتحديد المخاطر، واكتشاف التهديدات، وإدارة الهوية والصلاحيات، جنبًا إلى جنب مع تصنيف البيانات، يوفر حلًا شاملًا لتصنيف البيانات وإدارتها وحمايتها، ويساعد على منع فقدان البيانات أو سرقتها.

البيئة التنظيمية المحيطة بالبيانات غير المهيكلة والذكاء الاصطناعي العام

المتطلبات التنظيمية المتعلقة بأنظمة الذكاء الاصطناعي العام موجودة بالفعل، وهي تتوسع بسرعة من حيث العدد والنطاق. في مارس، اعتمد الاتحاد الأوروبي المجموعة الأكثر شمولاً من اللوائح المتعلقة باستخدام الذكاء الاصطناعي من قبل الشركات، وهو قانون الاتحاد الأوروبي للذكاء الاصطناعي ، ليُضاف إلى قائمة اللوائح القائمة مسبقاً والتي تغطي البيانات غير المهيكلة.

اللوائح الحالية المتعلقة بالبيانات غير المهيكلة

حتى قبل صدور قانون الذكاء الاصطناعي الذي يُغطي الذكاء الاصطناعي التوليدي تحديدًا، كانت لوائح الخصوصية والأمن تُقرّ بشكل متزايد بأهمية حماية البيانات غير المهيكلة، نظرًا لاحتوائها غالبًا على معلومات حساسة وشخصية. ومن بين اللوائح الرئيسية التي تُعزز التدقيق في البيانات غير المهيكلة ما يلي:

1. اللائحة العامة لحماية البيانات (GDPR): تُعرّف اللائحة العامة لحماية البيانات، التي تنطبق على الاتحاد الأوروبي، البيانات الشخصية على نطاق واسع، بما في ذلك البيانات غير المهيكلة مثل رسائل البريد الإلكتروني والمستندات وملفات الوسائط المتعددة التي يمكن أن تحدد هوية الفرد بشكل مباشر أو غير مباشر.
2. قانون خصوصية المستهلك في كاليفورنيا (CCPA) : يُعرّف هذا القانون المعلومات الشخصية بأنها تشمل البيانات غير المهيكلة مثل رسائل البريد الإلكتروني والرسائل النصية والصور. ويتعين على الشركات الإفصاح عن فئات المعلومات الشخصية التي تجمعها، بما في ذلك البيانات غير المهيكلة، ومنح المستهلكين الحق في الوصول إلى معلوماتهم الشخصية وحذفها ورفض بيعها.
3. قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA): يتطلب قانون HIPAA في الولايات المتحدة من الكيانات المشمولة تنفيذ ضمانات لحماية سرية وسلامة وتوافر المعلومات الصحية الإلكترونية المحمية (ePHI)، والتي يمكن أن تشمل بيانات غير منظمة مثل السجلات الطبية وملاحظات الأطباء والصور التشخيصية.
4. معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS): يتطلب معيار PCI DSS من التجار ومقدمي الخدمات حماية بيانات حاملي البطاقات، والتي يمكن أن تشمل بيانات غير منظمة مثل رسائل البريد الإلكتروني للعملاء وتسجيلات المكالمات والمستندات الممسوحة ضوئيًا التي تحتوي على معلومات بطاقة الدفع.
5. قانون ساربينز-أوكسلي (SOX): يتطلب قانون ساربينز-أوكسلي في الولايات المتحدة من الشركات العامة الاحتفاظ بسجلات الشركات وحمايتها، بما في ذلك البيانات غير المهيكلة مثل رسائل البريد الإلكتروني والمذكرات والتقارير المالية، لأغراض التدقيق.
6. في الاتحاد الأوروبي، يغطي كل من NIS2 (الذي سيدخل حيز التنفيذ في أكتوبر 2024) وقانون المرونة التشغيلية الرقمية " DORA " (الذي سيدخل حيز التنفيذ في يناير 2024) مجموعة واسعة من المعلومات التجارية والمالية، بما في ذلك البيانات غير المهيكلة، ويرفعان مستوى التقنيات الأمنية المطلوبة (مثل اكتشاف الحالات الشاذة، وإدارة الهوية، والإبلاغ عن الثغرات الأمنية والتهديدات، من بين أمور أخرى).
7. في الولايات المتحدة، يُطبّق نظام الإبلاغ عن الأهمية النسبية للأمن السيبراني الصادر عن هيئة الأوراق المالية والبورصات الأمريكية (والذي دخل حيز التنفيذ في 18 ديسمبر 2023) على معظم الشركات الأمريكية المساهمة العامة حاليًا، وعلى الكيانات الأصغر حجمًا التي ستخضع للإبلاغ بدءًا من يونيو 2024. ويتطلب هذا النظام تحديد الأهمية النسبية "دون تأخير لا مبرر له" عقب وقوع أي حادث سيبراني، وفي حال ثبوت أهمية الحادث، يجب الإفصاح عنه لهيئة الأوراق المالية والبورصات في غضون أربعة أيام. وينطبق هذا على البيانات غير المهيكلة والبيانات المهيكلة على حد سواء. ويتطلب الامتثال الفعال للجداول الزمنية المحددة للإبلاغ رصدًا استباقيًا للتهديدات والإبلاغ عنها، إذ تُعد هذه المعلومات أساسية لتحديد الأهمية النسبية (أو عدمها) وتبرير هذا التحديد بالأدلة.

تؤكد العديد من اللوائح على ضرورة اكتشاف البيانات وتصنيفها وتطبيق تدابير الحماية لتحديد البيانات الحساسة غير المهيكلة وتأمينها. ويتعين على المؤسسات تطبيق ضوابط وصول مناسبة، وتشفير البيانات، وأدوات منع فقدان البيانات، وغيرها من التدابير الأمنية لحماية البيانات غير المهيكلة التي تحتوي على معلومات شخصية أو مالية أو سرية.

أين يدخل قانون الاتحاد الأوروبي الجديد بشأن الذكاء الاصطناعي حيز التنفيذ

فيما يلي بعض النقاط الرئيسية من قانون الذكاء الاصطناعي للاتحاد الأوروبي ذات الصلة بالبيانات غير المهيكلة:

1. حوكمة البيانات: يؤكد قانون الذكاء الاصطناعي على أهمية حوكمة البيانات وممارسات إدارة البيانات لأنظمة الذكاء الاصطناعي.
2. Data quality : يشترط النظام أن تكون بيانات التدريب والتحقق والاختبار المستخدمة لأنظمة الذكاء الاصطناعي ذات صلة وممثلة وخالية من الأخطاء وكاملة.
3. التوثيق: يُطلب من مزودي أنظمة الذكاء الاصطناعي توثيق خصائص أنظمتهم وقدراتها وقيودها، بما في ذلك معلومات حول بيانات التدريب المستخدمة.
4. حماية البيانات: يؤكد قانون الذكاء الاصطناعي على ضرورة الامتثال للوائح حماية البيانات القائمة، مثل اللائحة العامة لحماية البيانات (GDPR)، عند معالجة البيانات الشخصية لأنظمة الذكاء الاصطناعي. ويُعدّ هذا الأمر بالغ الأهمية، لا سيما بالنسبة للبيانات غير المهيكلة التي قد تحتوي على معلومات شخصية.
5. التحيز والتمييز: يهدف القانون إلى التخفيف من مخاطر التحيز والتمييز في أنظمة الذكاء الاصطناعي، والتي قد تنشأ عن التحيزات الموجودة في بيانات التدريب، بما في ذلك مصادر البيانات غير المهيكلة.

ما الذي ينبغي على الشركات فعله لضمان الامتثال؟

لإدارة بياناتها غير المهيكلة بفعالية، ينبغي على الشركات تطبيق الاستراتيجيات التالية:

1. اكتشف وصنّف البيانات غير المهيكلة: حدد وصنّف أصول البيانات غير المهيكلة - بما في ذلك المستندات ورسائل البريد الإلكتروني وملفات الوسائط المتعددة وما إلى ذلك - في جميع أنحاء المؤسسة باستخدام أدوات اكتشاف البيانات القائمة على التعلم الآلي، وقم بتصنيف البيانات تلقائيًا بناءً على الحساسية والمحتوى والغرض والمزيد. لأتمتة العملية وتصنيف البيانات بناءً على الحساسية.
2. إنشاء إطار عمل لحوكمة البيانات: إدارة البيانات غير المهيكلة طوال دورة حياتها من خلال إطار عمل شامل يحدد السياسات والأدوار والمسؤوليات - ويتضمن قواعد إنشاء البيانات وتخزينها والوصول إليها والاحتفاظ بها والتخلص منها.
3. تطبيق ممارسات إدارة البيانات الوصفية: إثراء البيانات غير المهيكلة بمعلومات سياقية، مثل مالكي البيانات، وأذونات الوصول، وفترات الاحتفاظ، وما إلى ذلك.
4. تطبيق ضوابط الوصول وأمن البيانات: حماية البيانات الحساسة غير المهيكلة من الوصول غير المصرح به، أو اختراقات البيانات، أو الكشف العرضي عن طريق وضع وتنفيذ تدابير مناسبة لضوابط الوصول والتشفير ومنع فقدان البيانات (DLP).
5. إدارة دورة حياة البيانات بالكامل: تحديد سياسات الاحتفاظ بالبيانات وأرشفتها والتخلص منها وتطبيقها. ضمان الامتثال للوائح التنظيمية وتقليل تكاليف تخزين البيانات من خلال أتمتة عمليات إدارة مراحل دورة حياة البيانات.
6. دمج السحابة والبيئات المحلية: إدارة البيانات غير المهيكلة عبر بيئات السحابة والبيئات المحلية، مما يضمن الحوكمة والأمان والامتثال المتسق عبر البنية التحتية الهجينة.
7. تمكين المراقبة والتدقيق المستمر: تنفيذ عمليات لتتبع الوصول إلى البيانات واستخدامها وتسريب البيانات المحتمل أو إساءة استخدامها.

اليوم، Securiti تقدم كل من Lacework و Lacework حلاً متكاملاً يمنح الشركات رؤية شاملة لبيئاتها السحابية المتعددة وبيئاتها المحلية، مما يُمكّنها من إدارة وحماية البيانات غير المهيكلة على نطاق واسع، وتحقيق الامتثال التنظيمي الآن وفي المستقبل. كما يتيح هذا الحل إمكانية تحديد أولويات المخاطر بناءً على نتائج أمان Lacework، وتحديد حساسية البيانات باستخدام Securiti Data Command Center بفضل هذه الحلول، تستطيع الشركات تحديد المخاطر ذات الأولوية القصوى، والتركيز على التهديدات ذات التأثير الكبير، وترتيب أولويات البيانات ومعالجتها بذكاء، وحماية المعلومات الحساسة على نطاق واسع، وإدارة بيئة البيانات غير المهيكلة بكفاءة. تعرف على المزيد حول هذه الشراكة لتكتشف ما يمكن أن يقدمه حلنا المشترك لمؤسستك.