בינה מלאכותית גנרטיבית (GenAI) הגיעה לשיאי ההייפ בתעשייה מאז שפרצה לתודעה בסוף 2022. כעת היא נכנסת למה שגרטנר מכנה "שוקת האכזבה", שכן פריסות אינן עומדות בציפיות הגבוהות. בשנת 2023, מקינזי העריכה ש-GenAI יכולה להוסיף סכום שווה ערך ל-2.6 טריליון דולר עד 4.4 טריליון דולר בשנה על פני 63 מקרי שימוש. אבל פחות משנה לאחר מכן, פחות מ-30% ממנהיגי הבינה המלאכותית טענו המנכ"לים שלהם היו מרוצים מהחזר ההשקעה (ROI) של הפרויקטים, על פי גרטנר.
גרוע מכך, הסיכונים העסקיים הכרוכים בשימוש בטכנולוגיה יכולים להיות משמעותיים. פשוט תשאלו את דלויט אוסטרליה, שספגה לאחרונה ביקורת על הכללת שגיאות שנוצרו על ידי בינה מלאכותית בדו"ח ממשלתי פדרלי שפרסמה. ככל שארגונים ממהרים לאמץ את הטכנולוגיה למען יתרון תחרותי, מעקות בטיחות לממשל הופכים לחיוניים.
דלויט עזבה אדומת פנים
הדו"ח בן 237 העמודים שהפיקה דלויט פורסם במקור באתר האינטרנט של משרד התעסוקה ויחסי מקום העבודה ביולי, על פי דיווחיםממצאי המחקר הצביעו על חוסר התאמה בין המערכות בהן משתמשת הממשלה כדי לאתר הונאות רווחה לבין יעדי המדיניות בפועל. עם זאת, חוקר האוניברסיטה, כריס ראדג', זיהה שמשהו לא היה כשורה.
לאחר חקירה נוספת, הוא מצא, על פי הדיווחים, 20 שגיאות בדוח, ביניהן:
- ציטוט מפוברק משופט פדרלי, ששם משפחתו אוית באופן שגוי
- עשר הפניות מספר בשם "שלטון החוק וצדק מנהלי במדינת הרווחה", שאינו קיים בפועל.
- ייחוס שגוי של הספר הזה לפרופסור באוניברסיטת סידני
- הפניות לדוחות שאינם קיימים המיוחסים למומחים משפטיים והנדסת תוכנה
בתגובה, דלויט אוסטרליה מסרה, על פי הדיווחים, רק כי "העניין נפתר ישירות מול הלקוח". עם זאת, הממשלה שיתפה כי חברת הייעוץ הסכימה להחזיר חלק מהעמלה בסך 440,000 דולר אוסטרלי (290,000 דולר) עבור הפרויקט. בגרסה מעודכנת של הדו"ח, השגיאות ככל הנראה הוסרו וגילוי נאות נוסף לפיו Azure OpenAI שימש לכתיבתו.
הזיות ועוד
דלויט אוסטרליה אינה היחידה שמוצאת את עצמה מבוכה מבינה מלאכותית במקום העבודה. דו"ח אפריל של יריבתה KPMG מגלה זאתבעוד ש-67% מהעובדים משתמשים בבינה מלאכותית כדי לשפר את הפרודוקטיביות שלהם, כמעט שישה מתוך עשרה (57%) מודים שעשו טעויות בעבודתם עקב שגיאות שנוצרו על ידי הטכנולוגיה.
הזיות הן אתגר מתמשך, במיוחד כאשר משתמשים בכלי בינה מלאכותית זמינים לציבור עבור משימות מסוימות הדורשות רמה גבוהה של מומחיות בתחום. הן נגרמות לעיתים, אך לא תמיד, מנתוני אימון חלקיים או שגויים. אך הסיכון הוא שהבינה המלאכותית משקרת בביטחון כה רב עד שאדם שאינו מומחה עלול ליפול בפח של ההזיה.
עם זאת, הזיות אינן הסיכון היחיד הנובע משימוש בבינה מלאכותית במקום העבודה. משתמשים עלולים לשתף בטעות מידע רגיש של כתובות IP ארגוניות או מידע רגיש של לקוחות בהנחיות עם מודל ציבורי. זה מייצג סיכונים משמעותיים של דליפת נתונים ותאימות, שכן אותו מידע עלול תיאורטית להיות מועבר למשתמשים אחרים. הוא גם נמצא בסיכון לגניבה ממפתח המודל. כלי בינה מלאכותית עצמם עשויים להכיל פגיעויות, או להיות מטרה להתקפות עוינות שנועדו ליצור תוצאות לא מכוונות.
סיכונים אלה אינם תיאורטיים. מערכת ה-ISMS דוח מצב אבטחת מידע לשנת 2025 מגלה כי 26% מהחברות בבריטניה ובארה"ב חוו מתקפת הרעלת נתונים במהלך השנה האחרונה. ושליש (34%) מודאגים מהתפשטותה של בינה מלאכותית צללית בארגון.
סיכונים אלה עלולים להתעצם עם האימוץ הנרחב של בינה מלאכותית סוכנית, אשר נועדה לעבוד באופן אוטונומי בזרימות עבודה שונות עם הרבה פחות פיקוח אנושי על מנת להשלים משימות. החשש הוא שייתכן שייקח הרבה יותר זמן לזהות מתי הסוכן מתחיל להתנהג בצורה מוזרה, או באופן שאינו תואם את התקנות.
עבור ארגונים כמו דלויט אוסטרליה, שנפגעים מהתקיפה, שימוש לא מפוקח בבינה מלאכותית עלול לחשוף אותם לסיכון תדמיתי, פיננסי וסיכון תאימות. במקרה הספציפי הזה, הפגיעה הכספית הייתה זניחה עבור ארגון בגודל של דלויט. אבל התקרית עלולה לגרום ללקוחות פוטנציאליים חדשים לחשוב פעמיים לפני חתימה על עסקאות.
האם ISO 42001 לעזרה?
זו לא הפעם הראשונה שהזיות של בינה מלאכותית מביכות אנשים וארגונים שאמורים לדעת יותר טוב. בשנת 2023 התברר ש... משרד עורכי דין אמריקאי ציטטו מקרים מזויפים וציטוטים שהומצאו על ידי ChatGPT בתביעה על נזקי גוף. השופט הפדרלי תיאר זאת באותה תקופה כ"נסיבות חסרות תקדים". למרות שמפתחים עובדים על דרכים למזער הזיות מסוג זה, ככל שהטכנולוגיה נמצאת בשימוש רב יותר ללא מעקות בטיחות ופיקוח נאותים, כך גדל הסיכוי שחברות אחרות ילכו בעקבות דלויט אוסטרליה.
עבור רות' אסטברי, מייסדת שותפה של ExpandAI, המקרה "הוא תזכורת חדה לכך שסיכון בינה מלאכותית אינו רק טכני - הוא ארגוני ונוגע לכל תחומי ניהול הסיכונים העסקיים". היא טוענת כי "ממשל, אחריות ופיקוח אנושי מתמשך" מספיקים היו חסרים באופן מכריע, ובסופו של דבר הניעו תקרית שעלולה לגרום נזק תדמיתי אדיר לחברה.
"כאשר כלי בינה מלאכותית נפרסים ללא בעלות מוגדרת, גבולות אתיים או מדיניות שימוש, אתם לא מחדשים – אתם מהמרים על המוניטין של המותג שלכם", היא אומרת ל-ISMS.online. "הסיכונים העסקיים של בינה מלאכותית לא מפוקחת נעים בין פרצות נתונים והטיה ועד כשלים בתאימות ואובדן אמון לקוחות."
למרות שבינה מלאכותית יכולה לסייע לחוקרים, היא לעולם לא צריכה להחליף "סקירה, עידון ואימות עובדות מיושנים", מוסיפה אסטברי. "מה שמפתיע הוא שזה קרה בתוך אחת מארבע חברות הייעוץ הגדולות", היא ממשיכה. "שותפי בינה מלאכותית ויועצים בכירים חיים ונושמים את התחום שלהם. הם יכולים, וצריכים, לזהות אזכורים או טענות בדוחות שמעולם לא נתקלו בהם או שהן בבירור הזיות."
התשובה יכולה להיות תקן ISO 42001, שנועד לסייע לארגונים להקים, ליישם, לתחזק ולשפר באופן מתמיד מערכות ניהול בינה מלאכותית.
"הפתרון פשוט: ארגונים זקוקים לגישה מובנית לניהול סיכוני בינה מלאכותית, מדיניות ברורה, קבלת החלטות שקופה והכשרת צוות המשלבת אחריות בכל רמה. כאן נכנס לתמונה ניהול בינה מלאכותית, הנתמך על ידי מסגרת ניהול בינה מלאכותית כמו ISO/IEC 42001", מסביר אסטבורי.
"ISO/IEC 42001 מספק מערכת ניהול לבינה מלאכותית, בדומה לתקן ISO 27001 לאבטחת מידע, ומבטיח שמשילות מתמשכת של בינה מלאכותית, ניהול סיכונים, ניטור ותכנון אתי משולבים בכל יוזמה של בינה מלאכותית."
יש עוד דרך ארוכה לעבור עד שכלי בינה מלאכותית יתחילו להכות המפורסם של גרטנר מישור של פרודוקטיביות. אבל אם הם רוצים להגיע לשם, ארגונים יצטרכו להבין שמומחיות אנושית תמיד תהיה תנאי מוקדם להצלחה במקרי שימוש.
