עינת מירון: "ובתוך כל ניהול הסיכונים הזה, אי אפשר להתעלם מהפיל שבחדר - הבינה המלאכותית (AI). איך ה-AI משנה את מאזן הכוחות בין המגינים לתוקפים?".
אסתי פשין: "זה בדיוק העניין. ל-AI יש שני צדדים מאוד ברורים. מצד אחד, הוא עוזר לנו מאוד. בעבר היינו מוגבלים ביכולת שלנו לעבד מידע, היינו מוגבלים בכוח האדם שלנו ובמומחי הסייבר - מה שמכונה ה-Skill Crunch. היום יש לנו 'סוכנים קטנים' שיכולים לעבוד בשבילנו. המומחה שיושב עכשיו ב-SOC (מרכז בקרה וניטור) ומקבל מידע, יכול לקבל אותו אחרי שהוא כבר עובד על ידי AI, וזה נהדר".
"אבל, ויש 'אבל' גדול - מצד שני, ה-AI מכניס גם פגיעויות חדשות לתוך הארגון. צריך לזכור שהוא משמש גם את ה'רעים'. לאורך השנים למדנו שה-Bad Guys משתמשים בטכנולוגיות חדשות הרבה יותר מהר מה-Good Guys. זאת אומרת שתקיפות שהן כרגע מבוססות AI הן יותר נפוצות מכלי הגנה מבוססי AI".
עינת מירון: "זה מעלה שוב את השאלה על רגולציה. אני תמיד אומרת שרגולציה זה 'חרטוט' גדול, כי היא תמיד בפיגור אחרי הטכנולוגיה".
אסתי פשין: "אני לא מסכימה שרגולציה היא חרטוט, ובטח לא בהקשר של AI. אני חושבת שהיא חיונית. אם אני מסתכלת על מה שה-AI הכניס לנו היום, אז קודם כל ה-AI מבוסס דאטה. ברגע שהכל מבוסס דאטה, הנתונים הופכים להיות 'Single Point of Failure' (נקודת כשל יחידה). אפשר לתקוף את הדאטה עצמו. זה כבר לא רק השאלה 'האם יגנבו לי את המידע', אלא 'האם ירעילו לי את המידע'. Poisoning (הרעלת נתונים) זה כבר אירוע משמעותי מאוד".
אסתי פשין: "זה בדיוק המקום שבו המנכ"ל וה-CISO (מנהל אבטחת המידע) חייבים להיפגש. רוב הארגונים היום מכניסים AI לתוך ה-Business Processes שלהם. למשל במשאבי אנוש - הרבה ארגונים סורקים קורות חיים באמצעות AI. ה-AI מחליט מי עובר ומי לא. משתמשים ב-AI בייעוץ משפטי, בעריכת דוחות כספיים, ובממשק מול לקוחות".
"אותו CISO, שצריך להגן על מערכות ההגנה שלו שמבוססות AI, חייב עכשיו להגן גם על התהליכים העסקיים שמופעלים על ידי AI. המנכ"ל יכול אולי להחליט שהוא מחכה עם הטמעת 'סוכן SOC' מבוסס בינה מלאכותית עד שהטכנולוגיה תבשיל, אבל על מערכות ה-AI הארגוניות הוא חייב להגן כבר עכשיו. אי אפשר לעצור את הרכבת הזו. ארגון שלא מטמיע היום AI הוא פשוט לא תחרותי. זה רגע דרמטי".
עינת מירון: "זה נשמע די פסימי - התוקפים מהירים יותר, המידע מורעל, והתחרות מכריחה אותנו לרוץ קדימה. יש בכלל תקווה?".
אסתי פשין: "הבטחתי שיש אור בקצה המנהרה, והוא קיים. אחד התחומים המרכזים שאני עוסקת בהם היום הוא השקעות בעולם ה-Defense Tech וה-Aerospace Tech. האור שאני רואה מגיע מהטכנולוגיות המדהימות שמתפתחות בשוק הישראלי. אני רואה הרבה מאוד כסף שמתועל לפיתוח הטכנולוגיות האלה. כמעט כל יום אני יושבת עם חברות, עם יזמים צעירים עם עיניים מבריקות שמבינים את עומק הבעיה ויש להם פתרונות פנומנליים".
עינת מירון: "וכמה זמן ייקח עד שנראה את הפתרונות האלה בשוק?".
אסתי פשין: "זה היופי - אני מעריכה שזה עניין של חודשים, אולי שנה, והטכנולוגיות האלה כבר יהיו קיימות וזמינות. אני רואה מוצרים בשלים שנותנים מענה להרבה מהבעיות שדיברנו עליהן. המענה מגיע דרך Governance (ממשל תאגידי) ודרך מסגרות מוגדרות שמאפשרות פעילות AI בתוך הארגון תחת מגבלות ומדיניות ברורה. זה לא סוגר את כל הפתחים ב-100%, כי בסייבר אין 100%, אבל זה הופך את התקיפה להרבה יותר קשה".
"אבל בואי ניתן טיפ למנכ"לים. המודעות שלכם חשובה, וחשוב לקיים דיונים שוטפים עם ה-CISO. בדרך כלל שואלים אותו 'מה עשית?' או 'מה הטרנדים?'. אבל יש שאלה אחת שרבים מכם לא שואלים היום, וכדאי מאוד להתחיל לשאול: 'מה אתם עושים כדי להגן על ה-AI שלכם?'".
"תשאלו את ה-CISO איך הוא מתייחס לשילוב של ה-AI בתוך התהליכים העסקיים. אם הכנסתם לפני יומיים מערכת לסריקת קורות חיים, המנכ"ל צריך לוודא שה-CISO יודע איך הוא מגן על המערכת הזו. איך הוא מונע Poisoning של הדאטה? איך הוא מוודא שהתהליכים שם אתיים ונקיים?".
עינת מירון: "ואולי גם להגדיר מה מותר להעלות ל-AI ומה לא?".
אסתי פשין: "חד משמעית. לא לפתוח הכל, אלא להגדיר מה בסדר ומה לא. זה הטיפ שלי למנכ"לים: תתעניינו באופן אקטיבי איך מתבצעת הגנת הסייבר על ה-AI שלכם. תוודאו שה-CISO שלכם מודע לזה, כדי שה-AI לא יהפוך לווקטור התקיפה העיקרי שדרכו ישביתו לכם את הארגון".
התרעות פיקוד העורף