Καθώς οι επιχειρήσεις υιοθετούν την τεχνητή νοημοσύνη, τις cloud-native αρχιτεκτονικές και την αυτοματοποίηση σε μεγάλη κλίμακα, η ταυτότητα δεν είναι πλέον απλώς μια λειτουργία ασφάλειας παρασκηνίου. Γίνεται το επίπεδο ελέγχου που καθορίζει πώς τα συστήματα εμπιστεύονται, εξουσιοδοτούν και παρατηρούν τόσο τους ανθρώπους όσο και τις μηχανές. Αυτή η μετατόπιση οδηγείται από δύο σημαντικές αλλαγές. Πρώτον, τα εταιρικά συστήματα έχουν γίνει εξαιρετικά κατανεμημένα σε cloud πλατφόρμες, APIs και υπηρεσίες. Δεύτερον, η ανάπτυξη με τη βοήθεια της τεχνητής νοημοσύνης και η αυτοματοποίηση επιταχύνουν την ταχύτητα με την οποία τα συστήματα κατασκευάζονται και αναπτύσσονται. Μαζί, αυτές οι αλλαγές επαναπροσδιορίζουν τον τρόπο με τον οποίο πρέπει να υλοποιούνται η εμπιστοσύνη και ο έλεγχος σε σύγχρονα περιβάλλοντα. Όταν τα αποτελέσματα που δημιουργούνται από την τεχνητή νοημοσύνη αλληλεπιδρούν με την υποδομή, τα APIs και τις αυτοματοποιημένες ροές εργασίας, η πρόκληση δεν είναι πλέον μόνο εάν τα συστήματα λειτουργούν, αλλά εάν μπορούν να είναι αξιόπιστα, ελεγχόμενα και ελεγμένα με αξιοπιστία. Ο Rishav Bhandari έχει εργαστεί σε εταιρική ταυτοποίηση, παράδοση cloud και συστήματα αυτοματοποίησης μεγάλης κλίμακας. Η εμπειρία του εκτείνεται σε συστήματα IAM εταιρικής κλίμακας, cloud engineering και παράδοση DevOps. Από την οπτική του, η ταυτότητα δεν αφορά πλέον μόνο τη σύνδεση και την πρόσβαση. Γίνεται το θεμέλιο για την εμπιστοσύνη, τον έλεγχο και τη λογοδοσία σε σύγχρονα εταιρικά συστήματα. Οι οργανισμοί που θα επιτύχουν δεν θα είναι αυτοί που υιοθετούν την τεχνητή νοημοσύνη πιο γρήγορα, αλλά αυτοί που κατασκευάζουν ισχυρότερα επίπεδα ελέγχου γύρω από αυτήν.
Παρακαλούμε πείτε μας για τον εαυτό σας και την επαγγελματική σας πορεία.
Έχω περάσει πάνω από οκτώ χρόνια στην Infosys εργαζόμενος σε εταιρικά συστήματα σε διάφορους τομείς. Ξεκίνησα με τη διαχείριση ταυτότητας και πρόσβασης στη Vodafone, χειριζόμενος εκατομμύρια ταυτοποιήσεις χρηστών σε μεγάλη κλίμακα. Από εκεί, μετακόμισα στην παράδοση cloud και τον ψηφιακό μετασχηματισμό και, πιο πρόσφατα, σε πρακτικές αυτοματοποίησης και ανάπτυξης με τη βοήθεια της τεχνητής νοημοσύνης. Αυτό που έχω συνειδητοποιήσει είναι ότι η ταυτότητα, η ασφάλεια cloud και η διακυβέρνηση της τεχνητής νοημοσύνης συγκλίνουν όλα. Δεν μπορείς να μιλήσεις για την ασφάλεια cloud χωρίς να μιλήσεις για την ταυτότητα. Δεν μπορείς να μιλήσεις για τη διακυβέρνηση της τεχνητής νοημοσύνης χωρίς να κατανοήσεις και τα δύο. Αυτή η σύγκλιση είναι αυτό που κάνει αυτή τη στιγμή ενδιαφέρουσα για την εταιρική τεχνολογία.
Έχετε εργαστεί σε ταυτότητα, παράδοση cloud και αυτοματοποίηση. Πώς έχει διαμορφώσει αυτός ο συνδυασμός τη σκέψη σας για την εταιρική αρχιτεκτονική;
Με ανάγκασε να δω αυτά τα τρία πράγματα ως την ίδια συζήτηση. Στην αρχή της καριέρας μου, σκεφτόμουν την ταυτότητα ως υποδομή που εγκαθιστάς και συντηρείς. Το Cloud ήταν απλώς για το πού ζούσαν οι διακομιστές σου. Η αυτοματοποίηση αφορούσε το να κάνεις πράγματα πιο γρήγορα. Αυτό που συνειδητοποίησα είναι ότι όλα αφορούν την εμπιστοσύνη και τον έλεγχο. Πώς εμπιστεύεσαι ότι ένας χρήστης είναι αυτός που ισχυρίζεται ότι είναι; Πώς εμπιστεύεσαι ότι ένας πόρος cloud είναι νόμιμος; Πώς εμπιστεύεσαι ότι μια αυτοματοποιημένη ενέργεια είναι εξουσιοδοτημένη; Αυτά είναι ερωτήματα ταυτότητας ντυμένα διαφορετικά. Όταν το βλέπεις με αυτόν τον τρόπο, η αρχιτεκτονική σου αλλάζει θεμελιωδώς.
Γιατί η ταυτότητα έχει γίνει ένα κεντρικό επίπεδο ελέγχου αντί για μια απλή λειτουργία ασφάλειας παρασκηνίου;
Συνέβησαν δύο πράγματα. Πρώτον, τα συστήματα έγιναν κατανεμημένα. Όταν όλα ήταν σε ένα κέντρο δεδομένων, η ασφάλεια δικτύου ήταν το όριό σου. Τώρα με το cloud, τα APIs και τις υπηρεσίες σε δίκτυα που δεν ελέγχεις, το όριο του δικτύου δεν λειτουργεί. Η ταυτότητα γίνεται το πρωταρχικό σου όριο. Δεύτερον, το πεδίο της ταυτότητας επεκτάθηκε δραματικά. Δεν είναι πλέον μόνο χρήστες. Είναι υπηρεσίες που μιλούν μεταξύ τους, APIs, προγραμματισμένες εργασίες, infrastructure-as-code και συστήματα τεχνητής νοημοσύνης. Όλα χρειάζονται ταυτοποίηση και εξουσιοδότηση. Λόγω αυτής της επέκτασης, η ταυτότητα μετακινήθηκε από μια ανησυχία παρασκηνίου σε μια αρχιτεκτονική που διαμορφώνει τον τρόπο σχεδιασμού και λειτουργίας των συστημάτων.
Πώς αλλάζει η ταυτότητα καθώς οι οργανισμοί υιοθετούν την τεχνητή νοημοσύνη και την αυτοματοποίηση σε μεγάλη κλίμακα;
Η ταυτότητα μηχανής γίνεται εξίσου σημαντική με την ανθρώπινη ταυτότητα. Οι υπηρεσίες, οι λειτουργίες Lambda και τα συστήματα τεχνητής νοημοσύνης χρειάζονται όλα ταυτότητες. Η πρόκληση είναι η κλίμακα. Μπορεί να έχετε εκατοντάδες υπαλλήλους αλλά χιλιάδες υπηρεσίες και agents. Η διαχείριση της ταυτότητας σε αυτή την κλίμακα απαιτεί μια εντελώς διαφορετική προσέγγιση. Η ανάκληση είναι επίσης διαφορετική. Όταν ένας άνθρωπος φεύγει, ανακαλείς την πρόσβαση. Όταν μια υπηρεσία πάει στραβά, πρέπει να ανακαλέσεις την πρόσβαση σε δευτερόλεπτα, όχι μέρες. Και η λογοδοσία είναι περίπλοκη. Με τα συστήματα τεχνητής νοημοσύνης, πρέπει να καταλάβεις αν το σύστημα έκανε αυτό που έπρεπε ή αν κάποιος το παραμόρφωσε ή κατάχρησε. Αυτό απαιτεί καλύτερα ίχνη ελέγχου και διακυβέρνηση.
Ποιοι είναι οι μεγαλύτεροι κίνδυνοι όταν συνδέεις την τεχνητή νοημοσύνη, τις υπηρεσίες cloud και τους ελέγχους πρόσβασης χωρίς ισχυρή διακυβέρνηση;
Ο μεγαλύτερος κίνδυνος είναι τα τυφλά σημεία. Κάποιος αναπτύσσει ένα σύστημα τεχνητής νοημοσύνης για να λαμβάνει αποφάσεις, αλλά κανείς δεν κατανοεί τις επιπτώσεις ασφαλείας. Το σύστημα παίρνει ευρείες άδειες επειδή ο περιορισμός τους φαινόταν περίπλοκος. Μετά κάτι πάει στραβά. Έχω δει συστήματα αυτοματοποίησης με πρόσβαση σε βάσεις δεδομένων παραγωγής που θα μπορούσαν να προκαλέσουν καταστροφική ζημιά αν παραβιαστούν. Οι αποτυχίες συμμόρφωσης είναι ένας άλλος κίνδυνος. Αν δεν μπορείς να ελέγξεις τι έκανε ένα σύστημα τεχνητής νοημοσύνης ή να ιχνηλατήσεις τις αποφάσεις, δεν συμμορφώνεσαι. Υπάρχει επίσης η εξάρτηση από προμηθευτή και η ψευδής εμπιστοσύνη, όπου νομίζεις ότι είσαι ασφαλής, αλλά τα συστήματά σου δεν σχεδιάστηκαν για την τεχνητή νοημοσύνη σε μεγάλη κλίμακα.
Τι σημαίνει το Zero Trust στην πράξη με συστήματα τεχνητής νοημοσύνης και αυτοματοποιημένες ροές εργασίας;
Το Zero Trust σημαίνει να μην εμπιστεύεσαι τίποτα εξ ορισμού, ανεξάρτητα από το πού προέρχεται. Για τους ανθρώπους, σημαίνει επαλήθευση της ταυτότητας κάθε φορά. Για τις μηχανές, σημαίνει διαπιστευτήρια βραχείας διάρκειας που λήγουν γρήγορα, έτσι ώστε η παραβίαση να είναι χρονικά περιορισμένη. Για τα συστήματα τεχνητής νοημοσύνης, σημαίνει να είσαι σκόπιμος σχετικά με τις άδειες. Συγκεκριμένη πρόσβαση σε συγκεκριμένους πόρους για συγκεκριμένες ενέργειες, με τη δυνατότητα ανάκλησης αν το σύστημα κάνει κάτι απροσδόκητο. Το Zero Trust σημαίνει επίσης παρατηρησιμότητα. Δεν μπορείς να το επιβάλλεις αν δεν μπορείς να δεις τι συμβαίνει. Η πρόκληση με την τεχνητή νοημοσύνη είναι να ορίσεις πώς μοιάζει η απροσδόκητη συμπεριφορά.
Πού οι επιχειρήσεις συνήθως κάνουν λάθη με την ταυτότητα, την ασφάλεια cloud και τη διακυβέρνηση;
Δίνουν προτεραιότητα στην ταχύτητα έναντι του ελέγχου. Χορηγούν ευρείες άδειες για να κινούνται γρήγορα. Αναπτύσσουν τεχνητή νοημοσύνη με πρόσβαση σε όλα επειδή ο περιορισμός φαινόταν περίπλοκος. Αντιμετωπίζουν την ταυτότητα ως επιπλέον σκέψη, σχεδιάζοντας αρχιτεκτονική cloud χωρίς να σκέφτονται γι' αυτήν, και στη συνέχεια προσπαθούν να την προσαρτήσουν. Ένα άλλο λάθος είναι να υποθέτουν ότι ο πάροχος cloud χειρίζεται την ασφάλεια. Οι πάροχοι σου δίνουν εργαλεία, αλλά πρέπει να τα χρησιμοποιήσεις σωστά. Οι οργανισμοί επίσης δεν επενδύουν στην παρατηρησιμότητα μέχρι να προκύψουν προβλήματα. Κατανοούν τη διατήρηση αρχείων καταγραφής, τη διαχείριση μυστικών και τα ίχνη ελέγχου μόνο αφού κάτι αποτύχει. Η ανθρώπινη πλευρά έχει επίσης σημασία. Η διακυβέρνηση δεν είναι μόνο τεχνική. Αφορά διαδικασίες και ροές εργασίας.
Πώς πρέπει οι οργανισμοί να ισορροπούν την ασφάλεια, τη λειτουργική ταχύτητα και την εμπειρία χρήστη;
Η βασική διορατικότητα είναι ότι η τριβή προέρχεται από τον κακό σχεδιασμό, όχι από την ασφάλεια. Ένα καλά σχεδιασμένο ασφαλές σύστημα κάνει το να κάνεις το σωστό πράγμα τη διαδρομή της μικρότερης αντίστασης. Αν τα αρχεία καταγραφής ελέγχου είναι επώδυνα, οι ομάδες τα αποφεύγουν. Αν οι άδειες παίρνουν μέρες, οι ομάδες ζητούν ευρεία πρόσβαση. Αν η ανάκληση είναι περίπλοκη, οι ομάδες την παραλείπουν. Επένδυσε στην αυτοματοποίηση. Αυτοματοποίησε την προμήθεια, τα αιτήματα αδειών και την καταγραφή ελέγχου. Εμπλέξε τις ομάδες νωρίς στον σχεδιασμό της στρατηγικής σου. Κατανόησε τους περιορισμούς και τις ανάγκες τους. Να είσαι διαφανής σχετικά με το γιατί ζητάς ορισμένους ελέγχους. Οι ομάδες είναι πιο πρόθυμες να συμμορφωθούν όταν κατανοούν το γιατί.
Ποια πρακτικά βήματα μπορούν να κάνουν οι ηγέτες σήμερα για να βελτιώσουν τον έλεγχο σε περιβάλλοντα cloud με δυνατότητα τεχνητής νοημοσύνης;
Πρώτον, απογράψτε τι έχετε. Γνωρίστε ποια συστήματα τεχνητής νοημοσύνης υπάρχουν, τι πρόσβαση έχουν και τι κάνουν. Ξεκινήστε με το zero trust πραγματιστικά. Μην εφαρμόσετε τέλειο zero trust παντού με τη μία. Ξεκινήστε με κρίσιμα συστήματα. Επενδύστε στην παρατηρησιμότητα μέσω καταγραφής, μετρήσεων και ειδοποιήσεων. Εφαρμόστε ισχυρά ίχνη ελέγχου ώστε να μπορείτε να ιχνηλατήσετε τι συνέβη και γιατί. Διαχειριστείτε τα μυστικά με ασφάλεια και περιστρέψτε τα τακτικά. Εμπλέξτε ομάδες ασφαλείας και συμμόρφωσης νωρίς σε πρωτοβουλίες τεχνητής νοημοσύνης. Μην ρωτάτε αν κάτι είναι ασφαλές μετά την ανάπτυξη. Τέλος, εκπαιδεύστε τις ομάδες σας συνεχώς. Η ασφάλεια και η διακυβέρνηση δεν είναι κάτι που ρυθμίζεις και ξεχνάς.
Πώς βλέπετε την ταυτότητα, την ασφάλεια cloud και τη διακυβέρνηση της τεχνητής νοημοσύνης να εξελίσσονται;
Η ταυτότητα και η διακυβέρνηση θα γίνουν πιο αυτοματοποιημένες και έξυπνες. Η μηχανική μάθηση θα ανιχνεύσει την ανώμαλη συμπεριφορά και θα κατανοήσει πώς μοιάζει το φυσιολογικό. Θα υπάρχει περισσότερη εστίαση στην παρατηρησιμότητα και την κατανόηση της συμπεριφοράς του συστήματος τεχνητής νοημοσύνης, που αυτή τη στιγμή παραμένει μαύρο κουτί. Οι κανονισμοί γύρω από την τεχνητή νοημοσύνη θα αυξηθούν. Καθώς η τεχνητή νοημοσύνη λαμβάνει σημαντικές αποφάσεις, οι ρυθμιστικές αρχές θα απαιτούν καλύτερη διακυβέρνηση και λογοδοσία. Οι οργανισμοί με καλή διακυβέρνηση τώρα θα είναι μπροστά. Θα υπάρχει επίσης περισσότερη εστίαση στη φορητή ταυτότητα, που δεν κλειδώνεται σε έναν πάροχο cloud. Αυτό για το οποίο πρέπει να προετοιμαστούν οι οργανισμοί τώρα είναι να αναγνωρίσουν ότι η ταυτότητα και η διακυβέρνηση δεν είναι απλά προβλήματα ασφαλείας. Είναι επιχειρηματικά προβλήματα. Επηρεάζουν την ταχύτητα, την αξιοπιστία και τη συμμόρφωση. Οι οργανισμοί που θα κερδίσουν θα κατασκευάσουν ισχυρά επίπεδα ελέγχου γύρω από την τεχνητή νοημοσύνη και την αυτοματοποίηση, όχι αυτοί που κινούνται ταχύτερα χωρίς αυτούς τους ελέγχους.
