ארגונים מודאגים מסיכוני אבטחה ופרטיות. ולאחרונה, הם שמו לב לסיכוני בינה מלאכותית. אבל באיזו תדירות הם חושבים על שלושתם באותה שיחה?
יותר ויותר, מתברר שהם צריכים לעשות זאת. חוקים הנוגעים להגנת מידע, אבטחת סייבר ובינה מלאכותית פי ארבעה מאז 2016 ברחבי ארה"ב, האיחוד האירופי, בריטניה וסין.
רשות ניירות ערך האמריקאית (SEC) כבר הוכיחה שהיא רצינית בנוגע לאבטחת סייבר. כללי אבטחת הסייבר שלה, שנכנסו לתוקף בדצמבר 2023, כבר מעצבים מחדש את האופן שבו חברות ציבוריות מטפלות בגילוי פרצות אבטחה. טופס 8-K סעיף 1.05 כעת דורש חברות יחשפו אירועי סייבר מהותיים תוך ארבעה ימי עסקים ממועד קביעת המהותיות, ולא ממועד גילוי האירוע. טופס 10-K סעיף 106 מחייב גילוי שנתי של תהליכי ניהול סיכונים ומבני פיקוח של הדירקטוריון.
הנציבות אינה חוששת להעניש חברות שלדעתה המעיטו בחשיבותן של אירועי אבטחה. לפני קצת יותר משנה, באוקטובר 2024, ה-SEC יישבה הליכי אכיפה נגד ארבע חברות ציבוריות (יוניסיס, אוויה, צ'ק פוינט ו-Mimecast) בגין הטעיית משקיעים לגבי השפעת מתקפת הסייבר של SolarWinds בשנת 2020. הקנסות הכוללים התקרבו ל-7 מיליון דולר. יוניסיס לבדה שילמה 4 מיליון דולר על תיאור סיכוני סייבר כ"היפותטיים" במסמכים שהגישה, בעוד שצוותים פנימיים ידעו על חדירות בפועל.
בין דצמבר 2023 לינואר 2025, דווחו 55 אירועי סייבר באמצעות טופס 8-K. מעבר לתביעות הקשורות ל-SolarWinds, פלאגסטאר שילמה 3.55 מיליון דולר בדצמבר 2024 על תיאור פרצה שהשפיעה על 1.5 מיליון איש כ"גישה" בלבד, כאשר נתונים למעשה גנבו.
עונשים אלה מדגימים את הצורך לחבר גילוי מידע על אבטחת סייבר עם ניהול סיכונים ארגוני רחב יותר. הקמת יחידה חדשה לסייבר וטכנולוגיות מתפתחות על ידי ה-SEC בפברואר 2025 מאותתת על המשך בדיקה זו. יחידה זו החליפה את יחידת נכסי הקריפטו והסייבר. CETU רומזת גם על החשיבות של התחשבות בבינה מלאכותית בסיכונים אלה, שכן היא כוללת במפורש גם נהלים של בינה מלאכותית וגם של אבטחת סייבר במנדט שלה.
ממשל מקוטע יוצר חשיפה מצטברת
חברות אמריקאיות עם פעילות באירופה מתמודדות גם הן עם לחץ נוסף מחוק הבינה המלאכותית של האיחוד האירופי, שנכנס לתוקף באוגוסט 2024. החוק, הכולל מועדי ציות מפוזרים עד 2027, חל על מדינות מחוץ לגבולות המדינה. עסקים אמריקאים הממקמים מערכות בינה מלאכותית בשוק האיחוד האירופי או פורסים בינה מלאכותית שתפוקותיה משפיעות על משתמשי האיחוד האירופי חייבים לציית.
ההימור משמעותי. העונשים על פרקטיקות בינה מלאכותית אסורות מגיעים ל-35 מיליון אירו או 7 אחוזים מההכנסה השנתית העולמית, הגבוה מביניהם. קטגוריות בסיכון גבוה, הכוללות בינה מלאכותית המשמשת לקבלת החלטות תעסוקה, ניקוד אשראי ואבחון שירותי בריאות, דורשות הערכות תאימות, תיעוד טכני ומנגנוני פיקוח אנושיים. איסורים על מערכות בינה מלאכותית בסיכון בלתי מקובל נכנסו לתוקף בפברואר 2025.
בינה מלאכותית מופיעה במסמכי גילוי
ציפיות המשקיעים משתנות ככל שהסיכונים הללו מתפתחים. רגולטורים ובעלי מניות מבהירים שהמודל הישן של צוותים נפרדים המנהלים אבטחת סייבר, פרטיות ובינה מלאכותית כתחומים נפרדים כבר אינו עובד.
בינה מלאכותית עברה במהירות יוצאת דופן מדיוני הזדמנויות בחדרי ישיבות לסעיף גורמי סיכון בדוחות השנתיים. שבעים ושניים אחוזים מחברות S&P 500 כעת חושפים סיכוני בינה מלאכותית מהותיים, עלייה מ-12 אחוזים בלבד בשנת 2023. החששות שהם מציינים בתדירות הגבוהה ביותר הם נזק למוניטין (38 אחוזים מהחברות שדיווחו עליהן), השלכות על אבטחת סייבר ואי ודאות רגולטורית.
פיקוח הדירקטוריון בא בעקבותיו. לפי ISS-Corporate31.6 אחוזים מחברות S&P 500 חשפו את פיקוח הדירקטוריון על בינה מלאכותית בדוחות ההצבעה שלהן לשנת 2024. זוהי עלייה של 84 אחוזים משנה לשנה.
אלו שלא מטילים פיקוח כזה מסתכנים בנזק מהותי לבעלי המניות, מה שעלול להוביל להמלצות הצבעה שליליות פוטנציאליות. בשנה שעברה פרסמה גלאס לואיס, חברת ייעוץ לבעלי מניות מוסדיים כיצד להצביע, הנחיות חדשות בנוגע לביצועי ייחוס העוסקות ישירות בממשל בינה מלאכותית.
הבעיה בניהול אבטחת סייבר, פרטיות ובינה מלאכותית בנפרד היא שאירועים הקשורים לכל אחד מהם מתערבבים זה בזה. פרצה אחת יכולה להפעיל בו זמנית חובות גילוי של SEC, דרישות הודעה על GDPR, חוקי פרטיות של מדינות (ואם מידע אישי הוכשר על ידי מערכת בינה מלאכותית) גם תקנות בינה מלאכותית מתפתחות.
אז הגיע הזמן לאחד את תשומת הלב של אזורי הסיכון הללו, אבל שום דבר מזה אינו קל. לפי על פי תחזית הממשל של האיגוד הלאומי של דירקטוריונים תאגידיים ליולי 2025, בינה מלאכותית היא כיום נושא שגרתי עבור 61 אחוז מהדירקטוריונים, אך מעטים שילבו אותה כראוי במבני הממשל.
למה? חיכוך תרבותי הוא אחת הסיבות. צוותי אבטחה, פרטיות ובינה מלאכותית פעלו באופן היסטורי עם מונחי מילים שונים, מסגרות סיכונים ומבני דיווח שונים.
שילוב טכנולוגיות מוסיף שכבת קושי נוספת; כלי GRC מבודדים יוצרים גישות מקוטעות להערכת סיכונים, תיעוד ביקורת ואיסוף ראיות. אילוצי תקציב כופים פשרות כואבות בין בניית תשתית משולבת לבין עמידה בלוחות זמנים מיידיים לציות.
מסגרות סטנדרטים מציעות דרך קדימה
החדשות הטובות: גופי התקינה הגדולים צפו את ההתכנסות הזו. המבנה ברמה גבוהה של ISO פירושו ש-ISO 27001 (אבטחת מידע), ISO 27701 (פרטיות) ו-ISO 42001 החדש יותר (מערכות ניהול בינה מלאכותית) חולקים ארכיטקטורות תואמות, מה שמאפשר לארגונים לבנות מערכות ניהול מאוחדות במקום בירוקרטיות מקבילות.
אינטגרציה מעשית מתחילה בדרך כלל בוועדות היגוי חוצות-פונקציות הכוללות נציגים מתחום הפרטיות, אבטחת הסייבר, המשפט ובינה מלאכותית. משם, ארגונים מפתחים טקסונומיות סיכונים משותפות (וכאשר התקציבים מאפשרים זאת) פלטפורמות GRC מאוחדות המבטלות הערכות מיותרות. גבולות התפקידים כבר מטשטשים: על פי סקר של IAPP ו-EY, 69 אחוזים ממנהלי הפרטיות הראשיים רכשו אחריות על ניהול בינה מלאכותית.
ארגונים שלא יפתחו את שיטות העבודה שלהם בהתאם לקווים אלה מסתכנים בחשיפה רגולטורית. עבור אלו שכן, מחכים חיכוך רגולטורי נמוך יותר, נטל ביקורת מופחת ואמון משקיעים חזק יותר.
