إن التبني الواسع النطاق للذكاء الاصطناعي من الجيل الأول يغير مشهد البيانات، ويقدم قيمة لا توصف للمؤسسات التي تتطلع إلى زيادة الكفاءة وإطلاق رؤى الأعمال باستخدام أنظمة الذكاء الاصطناعي من الجيل الأول - ولكنه يطرح أيضًا مخاوف أمنية غير مسبوقة ألهمت بالفعل إجراءات تنظيمية عالمية، كما هو الحال في التبني الأخير لقانون الذكاء الاصطناعي للاتحاد الأوروبي - بالإضافة إلى الأمر التنفيذي الصادر عن إدارة بايدن في أكتوبر 2023 لضمان الاستخدام "الآمن والموثوق" للذكاء الاصطناعي.
بناءً على هذا التوجيه، أصدرت وزارة الخزانة الأمريكية تقريرًا بعنوان "إدارة مخاطر الأمن السيبراني المتعلقة بالذكاء الاصطناعي في قطاع الخدمات المالية"، يُسلط الضوء على أهمية الإدارة المسؤولة لمخاطر الأمن السيبراني المرتبطة بالذكاء الاصطناعي في هذا القطاع، مُشيرةً إلى أن "قطاع الخدمات المالية يتعرض بشكل متزايد لتهديدات أمنية سيبرانية مُكلفة وعمليات احتيال إلكتروني". ويُقر التقرير، الذي نُشر في 27 مارس 2024، بقيمة التقدم التكنولوجي والابتكار المسؤولين في قطاع الخدمات المالية، مع تحديد المخاطر المصاحبة للتقنيات الناشئة، وحث المؤسسات المالية على معالجة المخاطر المتعلقة بالذكاء الاصطناعي، والأمن السيبراني، والاحتيال.
أهمية ذلك: يضع التقرير الأساس للوائح المستقبلية
قد يتساءل العاملون في مجال الخدمات المالية عن مدى أهمية أو جدوى تقرير وزارة الخزانة الذي لا يُعدّ لائحة تنظيمية في الوقت الراهن. ففي عصر الرقابة التنظيمية المستمرة، تستخدم الهيئات التنظيمية في جميع أنحاء العالم، وعلى المستويين الفيدرالي والولائي في الولايات المتحدة، هذه التقارير لإطلاع القطاع على التغييرات المرتقبة والتي قد تُفرض قريباً.
مع أن جميع بنود التقرير قد لا تتحول في نهاية المطاف إلى لوائح تنظيمية، إلا أن العديد منها سيتحول. هذه الإشارة تساعد الشركات على الاستعداد للوائح دون تشتيت تركيزها عن أعمالها الأساسية، كما أنها تُمكّن الجهات التنظيمية من الاستفادة من ردود فعل القطاع وتعليقاته. لن تصبح كل توصية في هذا التقرير متطلباً تنظيمياً، لكنها تُشير إلى أن الجهات التنظيمية ستركز أكثر من أي وقت مضى على مخاطر الذكاء الاصطناعي من الجيل الجديد، وستتحرك لاتخاذ إجراءات في هذا الاتجاه.
توصيات من التقرير
عند دراسة التحديات والفرص المباشرة وغير المباشرة المتعلقة بالذكاء الاصطناعي، يحدد تقرير وزارة الخزانة عشر توصيات واستنتاجات رئيسية للوكالات والهيئات التنظيمية وشركات الخدمات المالية الخاصة للنظر فيها عند معالجة المخاطر المباشرة المتعلقة بالذكاء الاصطناعي. وهي:
- الحاجة إلى معجم مشترك للذكاء الاصطناعي: إن إنشاء معجم خاص بالذكاء الاصطناعي، وهو أمر ضروري للغاية، وتحقيق الاتساق في جميع أنحاء القطاع فيما يتعلق بمفهوم "الذكاء الاصطناعي"، من شأنه أن يفيد المؤسسات المالية والجهات التنظيمية والمستهلكين.
- معالجة فجوة القدرات المتزايدة: عندما يتعلق الأمر بتطوير أنظمة الذكاء الاصطناعي الداخلية، فإن المؤسسات المالية الكبيرة تتفوق بكثير على المؤسسات الصغيرة بسبب التفاوت في موارد البيانات - كما أن تلك التي انتقلت إلى السحابة تتمتع بميزة على تلك التي لم تفعل ذلك.
- تضييق فجوة بيانات الاحتيال: كما هو الحال مع فجوة القدرات، تمتلك المؤسسات الكبيرة بيانات تاريخية أكثر من المؤسسات الصغيرة، وميزة في بناء نماذج الذكاء الاصطناعي الداخلية لمكافحة الاحتيال.
- التنسيق التنظيمي: في ظل المشهد التنظيمي الدولي والفيدرالي وعلى مستوى الولايات المعقد والمتداخل للغاية في مجال الخدمات المالية، تتعاون المؤسسات المالية والجهات التنظيمية بشأن كيفية معالجة مخاوف الرقابة والتجزئة التنظيمية في بيئة الذكاء الاصطناعي سريعة التغير.
- توسيع إطار إدارة مخاطر الذكاء الاصطناعي التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST): توجد فرص لتوسيع وتخصيص إطار إدارة مخاطر الذكاء الاصطناعي التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) ليشمل المزيد من المحتوى حول AI governance وإدارة المخاطر للخدمات المالية.
- أفضل الممارسات لرسم خرائط سلسلة توريد البيانات و"ملصقات التغذية": هناك حاجة إلى تطوير أفضل الممارسات لرسم خرائط سلاسل توريد البيانات وتوحيد الأوصاف - على غرار ملصقات التغذية على الطعام - لما هي البيانات التي تم استخدامها لتدريب نموذج الذكاء الاصطناعي، ومن أين نشأت البيانات، وكيف يتم استخدام البيانات لأنظمة الذكاء الاصطناعي ومقدمي البيانات.
- إمكانية التفسير لحلول الذكاء الاصطناعي ذات الصندوق الأسود: هناك حاجة إلى مزيد من البحث والتطوير حول حلول إمكانية التفسير لأنظمة الصندوق الأسود، مثل الذكاء الاصطناعي التوليدي الذي يأخذ في الاعتبار المدخلات والمخرجات والاختبار القوي.
- الثغرات في رأس المال البشري: يجب معالجة فجوة المواهب في القوى العاملة في مجال الذكاء الاصطناعي من خلال وضع أفضل الممارسات لاستخدام أنظمة الذكاء الاصطناعي بأمان للممارسين الأقل مهارة وتوفير تدريب خاص بالوظائف في مجال الذكاء الاصطناعي للموظفين في المجالات القانونية والامتثال وغيرها من المجالات خارج تكنولوجيا المعلومات.
- فك تشابك حلول الهوية الرقمية: إن وضع معايير تقنية قوية للهوية الرقمية على المستويات الدولية والوطنية والصناعية يمكن أن يساعد المؤسسات المالية على مكافحة الاحتيال وتعزيز الأمن السيبراني.
- التنسيق الدولي: لا تزال الرؤية المستقبلية لتنظيم الذكاء الاصطناعي في الخدمات المالية غير واضحة. وستواصل وزارة الخزانة الأمريكية التواصل مع نظرائها الأجانب بشأن مخاطر وفوائد الذكاء الاصطناعي في الخدمات المالية.
رغم أن هذه الإرشادات والنتائج الرئيسية تُوفر إطارًا ممتازًا لرسم ملامح الطريق المستقبلي، إلا أن تطبيقها عمليًا ليس بالأمر السهل. فالمؤسسات المالية لديها العديد من الجوانب المعقدة (وهذا أقل ما يُقال)، لذا فإنّ معالجة هذه التوصيات - حتى تلك التي تقع ضمن نطاق مسؤوليتها - لا يتعلق بـ"ما إذا" ينبغي عليها تطبيقها، بل بـ"كيف" ينبغي عليها ذلك. وفي الوقت نفسه، لا شكّ أنه مع تزايد أهمية الامتثال المتعلق بالذكاء الاصطناعي، فقد حان الوقت لهذه الشركات لإعادة النظر في بيئات بياناتها مع التركيز على ممارسات الذكاء الاصطناعي المسؤولة.
أبرز التحديات التي تواجه إدارة التهديدات السيبرانية الخاصة بالذكاء الاصطناعي في قطاع الخدمات المالية
تعتمد التطورات التكنولوجية لأنظمة الذكاء الاصطناعي على البيانات، وبينما تُطرح هذه الأنظمة تحديات أمنية جديدة، فإن العديد من التحديات التي تواجهها المؤسسات المالية في استخدام أنظمة ذكاء اصطناعي آمنة وموثوقة تتمحور حول البيانات. غالبًا ما يواجه مسؤولو أمن المعلومات، ومسؤولو البيانات، ومسؤولو حماية البيانات في القطاع المالي صعوبة في حماية البيانات الحساسة بشكل فعال وشامل، وفي وضع وتطبيق AI governance ، وفي تحقيق الامتثال عند إدارة أنظمة الجيل القادم من الذكاء الاصطناعي، كل ذلك مع ضمان قابلية التوسع لممارسات البيانات والذكاء الاصطناعي السليمة. تشمل أبرز التحديات التي تعيق المؤسسات المالية عن المضي قدمًا في استخدام الذكاء الاصطناعي الآمن والموثوق ما يلي:
الذكاء الاصطناعي غير الخاضع للرقابة والخفي: تعمل نماذج الذكاء الاصطناعي على كميات هائلة من البيانات، غالباً ما تكون مجهولة المصدر، ولا يمكنها "نسيان" أو "محو" ما تم تدريبها عليه مسبقاً. علاوة على ذلك، ولأن هذه النماذج لا تعتمد فقط على شفرة برمجية مباشرة، بل أيضاً على المنطق الذي يتعلم من تلك البيانات، فإن مخرجاتها غالباً ما تكون متغيرة باستمرار. وبدون وجود ضوابط ورقابة مناسبة، تواجه المؤسسات المالية مخاطر تتعلق بغموض هذه البيانات، فضلاً عن نقاط الضعف، وأنظمة الذكاء الاصطناعي الخفية، والتفاعلات غير المنضبطة، ومخالفات الامتثال، وغيرها من الثغرات الأمنية.
بيانات ضخمة، غامضة، وغير خاضعة للرقابة: قبل أن تتمكن المؤسسات المالية من تحديد التهديدات الأمنية المتعلقة بالذكاء الاصطناعي لبيئة بياناتها وتحديد أولوياتها بذكاء، يجب أن يكون لديها ضوابط متسقة عبر جميع بيئات البيانات والذكاء الاصطناعي، وأن تعرف مكان وجود بياناتها الحساسة. إذا افتقرت المؤسسات إلى رؤية شاملة لبيئة بياناتها، فإن الحديث عن إدارة الذكاء الاصطناعي يصبح مستحيلاً. ورغم أن هذا تحدٍّ كبير، إلا أن اتباع نهج أساسي يتضمن اكتشاف جميع البيانات ورسم خرائط لها على نطاق واسع عبر المؤسسة - بما في ذلك البيئات المحلية، والسحابية الهجينة، وبيئات الجهات الخارجية - يُعد خطوة ضرورية لبعض المؤسسات المالية التي تتطلع إلى الابتكار من خلال دمج الذكاء الاصطناعي.
العمليات المنعزلة: يتطلب التعامل مع التوجهات التنظيمية فهمًا شاملًا للسياق عبر مختلف قطاعات الأعمال والمؤسسات والبيانات. تُعدّ معظم المؤسسات المالية عبارة عن تكتلات من عمليات الاستحواذ وقطاعات الأعمال، مع وجود تفاعل أو قواسم مشتركة ضئيلة للغاية بينها، وتؤكد بياناتها هذا الواقع. قبل استخلاص رؤى سياقية موثوقة من بياناتها، يجب على المؤسسات الحصول على نظرة شاملة لجميع بياناتها، مما يُمكّنها من تطبيق قواعد وتصنيفات موحدة على أنظمة التصنيف.
الوصول المفرط: بات ربط صلاحيات المستخدمين بهوياتهم وضمان تطبيق مبدأ أقل الصلاحيات في جميع أنحاء المؤسسة تحديًا متزايدًا. فالنهج المتساهل الذي يمنح صلاحيات واسعة للمستخدمين الداخليين يعرض المعلومات الحساسة للخطر، كما أن وجود مستخدمين ذوي صلاحيات مفرطة، ممن لديهم القدرة على الوصول إلى بيانات لا يستخدمونها، يزيد من نقاط الضعف الأمنية.
إدارة الاستجابة للاختراقات: لا يعني الأمن الحماية التامة من الاختراقات، بل يتطلب إدارةً فعّالة وسريعة وشفافة وشاملة ومتوافقة مع المعايير. أصبحت الاستجابة للاختراقات أكثر أهمية من أي وقت مضى، لا سيما في بيئات الحوسبة السحابية والذكاء الاصطناعي سريعة التطور. تحتاج المؤسسات المالية إلى معرفة البيانات التي تم اختراقها، ومكان وجودها، ونوع المعلومات الحساسة التي تحتويها، وإدارة استجابتها بفعالية وكفاءة.
إعطاء الأولوية للمعالجة: تُعدّ معالجة البيانات المعرضة للخطر مهمة شاقة لأي مؤسسة، وقد باتت عبئًا يفوق قدرة أي فرد أو مجموعة أفراد أو فريق على إنجازها. لذا، باتت العمليات الآلية ضرورية لتحديد البيانات والأنظمة التي تتطلب معالجة، وتتبعها، وتحديد أولوياتها، ومعالجتها بنجاح.
الامتثال: يتسم المشهد التنظيمي بالتعقيد وعدم اليقين، ويتزايد تعقيداً ودقةً باستمرار، بوتيرة أسرع من أي وقت مضى. تعاني العديد من المؤسسات المالية من ثغرات في عمليات الامتثال لديها، مما يعرضها للعقوبات والرسوم القانونية والإضرار بسمعتها. يتطلب تحقيق الامتثال والحفاظ عليه في عالم البيانات والذكاء الاصطناعي سريع التطور مراقبة تنظيمية مستمرة.
البيانات السياقية الكاملة والذكاء الاصطناعي أمران أساسيان
مع وجود بنية تحتية مناسبة للبيانات، تستطيع المؤسسات حماية جميع بيئات البيانات والذكاء الاصطناعي على مستوى المؤسسة - سواءً كانت سحابية أو محلية أو برمجيات كخدمة أو تابعة لجهات خارجية - على نطاق واسع، وذلك من خلال تحديد مواقع البيانات الحساسة ورسم خرائط لها أينما وُجدت، ووضع تصنيفات لإنشاء معايير موحدة ضرورية؛ وإنشاء عمليات منسقة بين مختلف قطاعات الأعمال، بالإضافة إلى فرق الخصوصية والحوكمة والأمن والامتثال؛ وتمكين مشاركة البيانات بشكل آمن؛ وتوسيع نطاق استخدام بيئة البيانات بشكل فعال لاستخلاص رؤى أكثر موثوقية تدفع عجلة الابتكار وتُترجم إلى قيمة تجارية قابلة للقياس. تُعد حماية البيانات والذكاء الاصطناعي وتقليل المخاطر أساس النجاح، لكن تحويل البيانات من مصدر خطر إلى أصل هو الخطوة التالية المرجوة - وهي في متناول المؤسسات المالية.
تحتاج شركات الخدمات المالية إلى نظام موحد Data Command Center وهذا يسمح لهم بمركزة عمليات البيانات والذكاء الاصطناعي والإجابة على أسئلة رئيسية مثل ما هي البيانات الحساسة الموجودة في أي من بيئات السحابة الخاصة بهم، والبيئات المحلية، وبيئات الطرف الثالث والموردين، ومن لديه حق الوصول إليها، وما هي اللوائح العابرة للحدود أو غيرها التي تنطبق عليها، وما هي نماذج الذكاء الاصطناعي المرتبطة بها، وأين توجد، ولمن تنتمي، وما إلى ذلك.
أدخل البيانات السياقية والذكاء الاصطناعي
تحتاج المؤسسات المالية إلى القدرة على استخلاص رؤى سياقية معمقة لبياناتها وأنظمة الذكاء الاصطناعي لديها، وذلك لتطبيق الضوابط المناسبة وإدارة المخاطر والحد منها بفعالية. يتطلب ذلك فهم السياق المحيط بالبيانات واكتساب شفافية في أنظمة الذكاء الاصطناعي، ما يُتيح فهمًا أفضل لمكوناتها والتحكم الأمثل في طريقة عملها.
Data mapping : تحديد وتعريف العلاقات بين عناصر البيانات المختلفة عبر قواعد البيانات والأنظمة الخاصة بك، وفهم تدفقات البيانات عبر التطبيقات والمصادر المختلفة لدمج البيانات أو توحيدها أو ترحيلها بشكل فعال.
مبدأ أقل الامتيازات: تحتاج فرق أمن المؤسسات إلى إدارة ضوابط الوصول الداخلية وضمان تطبيق مبدأ أقل الامتيازات على مستوى الشركة. من خلال ضوابط البيانات الموحدة، يمكنهم الحصول على رؤى دقيقة حول أذونات المستخدمين وأنماط الوصول، وفرض ضوابط صارمة عبر إخفاء البيانات الحساسة ديناميكيًا وتمكين مشاركة البيانات بشكل آمن، والامتثال لمتطلبات الامتثال المهمة في مختلف اللوائح العالمية.
Data Security Posture Management ( DSPM ): اكتشاف وتصنيف جميع البيانات غير المعروفة في السحابة؛ الحصول على رؤى سياقية حول البيانات مثل ملكية الأشخاص، والالتزامات التنظيمية، وبيانات التعريف الخاصة بالأمان والخصوصية؛ تحديد مخاطر الأمان والخصوصية التي تهدد البيانات؛ تحديد أولويات الأخطاء في التكوين ومعالجتها؛ منع الوصول غير المصرح به إلى البيانات واستخدامها data lineage لرسم خرائط البيانات عبر المصادر المنظمة وغير المنظمة، والحد من مخاطر اختراق البيانات، وتأمين مشاركة البيانات.
معالجة الاختراقات: إعطاء الأولوية لمخاطر أمن البيانات قبل حدوث الاختراق من خلال معالجة الانتهاكات الأكثر خطورة أولاً، والتواجد في وضع أفضل لاكتشاف التهديدات عند ظهورها، والاستجابة بسرعة في حالة حدوث اختراق، وإدارة حوادث الاختراق المحتملة بطريقة فعالة وسلسة ومتوافقة.
تصنيف المخاطر: حتى لو كانت المؤسسات المالية مطلعة على بياناتها وأنظمة الذكاء الاصطناعي الخاصة بها، فقد لا تكون على دراية بتصنيفات مخاطر هذه الأنظمة. تحتاج المؤسسات إلى رؤية واضحة للمخاطر التي تشكلها أنظمتها، وخاصة معايير المخاطر المختلفة المتعلقة بكل نموذج من نماذج الذكاء الاصطناعي، حتى تتمكن من تحديد المخاطر المحتملة والتخفيف منها بفعالية، وفهم أي أنظمة الذكاء الاصطناعي يجب السماح بها وأيها يجب حظرها.
الامتثال والتدقيق: الامتثال للوائح الفيدرالية الأمريكية والولائية والعالمية المتزايدة التعقيد والمتنامية والمتداخلة مع تلبية مراجعات مؤسستك الخاصة بضوابط الأمن الداخلي والسياسات والإجراءات.
حان الوقت الآن لكي تضع الخدمات المالية الضوابط المناسبة.
سواءً كان تقرير وزارة الخزانة الأمريكية بمثابة إشارة تحذيرية لمؤسسات الخدمات المالية بشأن اللوائح المستقبلية التي ستواجهها، أو أن هذه المؤسسات ببساطة تدرك أن إرساء ممارسات ذكاء اصطناعي موثوقة وآمنة ومسؤولة ومتوافقة مع المعايير يصب في مصلحة أعمالها، فقد حان الوقت الآن لكي تولي هذه المؤسسات اهتمامًا جديًا، لا سيما إذا لم تكن قد أولت تاريخيًا أولوية للامتثال للوائح البيانات وحوكمتها وأمنها وخصوصيتها. إن تبني الذكاء الاصطناعي يعني، أكثر من أي وقت مضى، تسارع وتيرة المخاطر واللوائح المتعلقة بالبيانات التي تواجه الخدمات المالية، وكذلك الفرص المتاحة أمامها.
إن وضع ضوابط وقائية الآن ليس مجرد خطوة مهمة نحو أفضل الممارسات، بل هو أمر بالغ الأهمية لتحقيق ميزة تنافسية والحفاظ عليها، أو حتى للبقاء في دائرة الضوء، في عالم تتزايد فيه متطلبات الحماية يومًا بعد يوم، ولا يزال فيه سقف القيمة غير محدد. سيجد قادة المؤسسات، من رؤساء أمن المعلومات إلى رؤساء البيانات إلى رؤساء حماية البيانات، قيمةً في التنسيق المتبادل، وتوسيع نطاق استخدام البيانات، وتحسين الشفافية وحماية البيانات التي تتيحها رحلة الامتثال، حيث يُسهم استخدامهم المسؤول للذكاء الاصطناعي في توليد رؤى أكثر موثوقية، وقرارات أكثر استنارة، وابتكار أكثر كفاءة، وسمعة أفضل لعلامتهم التجارية.
هل ترغب بمعرفة المزيد عن الخطوات التالية؟ تفضل بالاطلاع على Securiti "التنقل في الامتثال للذكاء الاصطناعي: نهج متكامل لإطار إدارة مخاطر الذكاء الاصطناعي التابع للمعهد الوطني للمعايير والتكنولوجيا وقانون الذكاء الاصطناعي للاتحاد الأوروبي" لتحصين نفسك وفريقك وشركتك بالمعرفة والاستراتيجيات والخطوات التالية التي يحتاجونها لإطلاق العنان لقوة بيانات الجيل من الذكاء الاصطناعي - بأمان.
يستكشف AI Governance مركز securiti
