הבינה המלאכותית וכלי ה-AI שיפרו את החיים שלנו בהרבה מאוד מובנים, אבל מימד והיקף הסכנות הנובעות מהטכנולוגיה החדשה עוד לא התבררו לחלוטין. מחשש לפגיעה בפרטיות, דרך ניצול הכלים המתוחכמים הללו כנגד חברות עסקיות ועד לפריצות של האקרים למערכות ושרתי ארגונים – איך והאם אפשר בכלל להתמודד עם אתגרי הבינה המלאכותית? ומה ארגונים יכולים לעשות כדי להגן על עצמם בזמן שהמדינה נשארת מאחור?
רבים מאיתנו נעזרו בשנה האחרונה בשירותי ה-ChatGPT ודומיו. הטכנולוגיה החדשנית הזו שפרצה לחיינו בסערה חשפה אותנו לעולם אידיאלי ואולי אף נאיבי בו משימות קטנות ומעצבנות מתבצעות בקלילות על ידי מערכת חכמה במהירות שיא שחוסכת מאיתנו זמן רב ומקלה על החיים של רבים מאיתנו. אבל מה לגבי המחיר שמשלמים בדרך?
"הבינה המלאכותית מעצימה פערי כוח. בחיינו הדיגיטליים, אנחנו מייצרים שובל של מידע, 24 שעות ביממה של שימוש במכשיר המעקב האישי המכונה גם טלפון חכם. לתאגידים יש כעת יכולת להפיק תובנות חדשות שלא היו נגישות קודם. כשחיינו הופכים לדיגיטליים, אין לנו ברירה אלא למסור להם מידע. הסך הכל הוא שאנחנו נתונים למעקב תאגידי רציף", אומר פרופ' מיכאל בירנהק, חוקר פרטיות מהפקולטה למשפטים באוניברסיטת תל אביב במסגרת מאמרו "פרטיות ובינה מלאכותית" שיראה אור בקרוב. "הפרטיות היא ערך דמוקרטי יסודי. אין לוותר עליה רק משום ההתפעלות מהמכונה", הוא מדגיש.
"גם שימוש ב-AI מעורר שאלות יסוד בדבר סוגיית הפרטיות. השאלות האלו פוגשות אותנו ברמה הפרטית והמקצועית. סיטואציה יומיומית קלאסית היא שקיבלתי מייל מלקוח ואני צריך להחזיר לו תשובה. במקום לשבור את הראש, אפשר לבקש עזרה מ-Chat GPT ודומיו. זה אמנם מייעל עבורנו את העבודה, אך באותה עת גם מעביר לכלי, שלהזכירכם מצוי בענן, את התוכן של המייל. במידה והתוכן כלל מידע פרטי, אזי מידע זה שותף באופן מלא עם הכלי ולמעשה הפך לנחלת הכלל, גם אם באופן סמוי", מדגיש רן ברגמן, שותף ומוביל תחום Data & AI ב-Deloitte ישראל.
לשם השוואה, כנראה שלא היינו רוצים לפנות במייל לרופא שלנו, ולגלות שהוא משתמש בכלי AI כדי לענות לנו תוך העברת כל מצבנו הרפואי לתוכנה. "מה קורה כשאנחנו מזינים את הכלי גם בתכנים פרטיים הנמצאים ברשות הארגון, כמו מסמכים או מיילים? כאן עלולה להיווצר פגיעה רחבה יותר בפרטיות, מאחר ובמקרה זה לא מייל אחד שעובר, אלא כלל המידע הפרטי של לקוחות החברה", מסביר ברגמן.
ואכן לצד היתרונות הרבים, נראה שהמדינה נותרת גם כאן מאחור ולא מדביקה את הקצב. היעדר הרגולציה יוצר חשש הולך וגובר כי עובד השולח טקסטים לכלים כאלה ואחרים עשוי להוביל גם לזליגת מידע רגיש. "בעידן של התפשטות רחבה של טכנולוגיות המבוססות על AI, סיכוני הפרטיות הולכים ומתרחבים. היכולת של מערכות AI לאסוף ולנתח מידע אישי מובילה לחשש חודרני ולפריצה לפרטיות האדם", אומרת אירית אריק, מנהלת אבטחת מידע ב-User1st. "זה דורש ניהול יסודי של מידע, חוקים ברורים והבנה רצינית של הסיכונים. יחד עם כל היתרונות של הטכנולוגיה הזו, חשיבה דיגיטלית מתקדמת היא מפתח לשמירה על הפרטיות בעולם מודרני".
מלבד בעיות של פגיעה בפרטיות וגניבת מידע - בתרחיש פסימי יותר, גובר הסיכון שכלל המידע הארגוני יכול להיפרץ, להיעלם ולהילקח על ידי האקרים, שידרשו תמורת שחרורו דמי כופר. האקרים נעזרים בבינה המלאכותית כדי לפרוץ לרשת הארגונית, באופן שמאפשר להם להתפשט לכלל המחשבים והמערכות בארגון. לפי חברת Silverfort הישראלית, בארבעת החודשים האחרונים זוהו יותר מ-10 מקרים של תקיפות סייבר בהן נעשה שימוש ב-AI בכדי לחדור למערכות ארגוניות דרך שימוש בזהויות משתמש גנובות של עובדים.
אבל האם בכלל אפשר להמשיך ולנצל את היתרונות הגלומים בבינה המלאכותית, תוך מזעור החשש לפגיעה בפרטיות ובביטחון של כולנו? "פיתחנו פתרון לעסקים שמבקשים להנגיש כלים טכנולוגיים חדשניים תוך שמירה מרבית על כללי אבטחת מידע", מסבר דניאל צ'צ'יק, מנהל אבטחת מידע (CISO) בחברת WalkMe שזיהתה בין היתר את אותן סכנות והחליטה להרים את הכפפה וליצור מערכות AI מנוהלות לארגונים, כך שכל המידע נאכף ונבדק ואינו זולג החוצה.
"קשה מאוד לזהות את נקודת הזמן המיטבית להסדרה"
הרגולציה האירופית האחרונה בנושא מהווה נקודת אור ראשונה בתחום. "ממשלות ורגולטורים עמלים על מציאת פתרונות הגנה על המשתמשים מפני עצמם, והאיחוד האירופי הוציא לאחרונה התייחסויות מחייבות, ששמה דגש על עקרון השקיפות. לפי עיקרון זה, חברה תהיה חייבת להצהיר על האופן בו היא עושה שימוש בכלים מסוג זה. לזה אפשר להוסיף סייגים שכבר קיימים בדבר הזכות להישכח, הזכות לבקש להימחק מכלל ממאגר של חברה כלשהי, והחובה לא לשתף מידע בין חברות ללא הסכמת הלקוח וכדומה", אומר ברגמן מ-Deloitte.
"כחלק מהרגולציה פורצת הדרך שמוביל האיחוד האירופי יש כוונה בין היתר להגן על הציבור מפני ההשלכות הכלכליות והחברתיות שמקורן בפיתוחי AI. חלק מהסיכונים הקריטיים אותם מנסים למנוע ברגולציה כוללים למשל חלוקה של אנשים על בסיס חברתי, סטטוס סוציו-אקונומי או מאפיינים אישיים, זיהוי ביומטרי וקטגוריזציה של אנשים. כמו כן, חסימה של מערכות זיהוי ביומטרי בזמן אמת, כגון זיהוי תווי פנים. המהלך יכול להשפיע באופן גלובלי על היצרנים וייתכן ושנראה רגולציות נוספות בעתיד הקרוב", מוסיף אייל רחימי, סמנכ"ל מחקר ופיתוח Mazebolt. "על אף שהחוק נחשב לפריצת דרך חשובה, נותרו עדיין ספקות לגבי האפקטיביות שלו. חלקים ממנו יאומצו בחודשים הקרובים ואחרים לא ייכנסו לתוקף בשנה הקרובה, פרק זמן שעלול להיות קריטי כשמדובר בפיתוח בינה מלאכותית".
אז כיצד ומתי הרגולטורים צריכים להגיב? "קשה מאוד לזהות את נקודת הזמן המיטבית להסדרה. התערבות מוקדמת מדי תצנן פיתוחים רצויים ותגביל את מרחב הנשימה שדרוש לפיתוח טכנולוגיה חדשה. התערבות בשלב מתקדם עשויה להיות מאוחרת מדי, אחרי שכבר נקבעו עובדות בשטח, ואז היכולת לשנות מורכבת ויקרה", אומר פרופ' בירנהק.
עד שהרגולטורים יעלו על הרכבת, יש גם פתרונות שהארגונים עצמם יכולים לקדם. "הנהלה של כל ארגון צריכה לתת מענה במקום שיש וואקום משפטי ורגולטורי ושאלות לגבי הפרת זכויות יוצרים, הן בשלב הפיתוח והן בשלב התוצר. בהיעדר פתרון חקיקתי, השוק מנסה לפעול בתוך המציאות הזו וליצור פתרונות בכוחות עצמו, כגון הסכמים בין חברות ה-AI לבעלי זכויות היוצרים, במסגרתם ניתנת רשות לשימוש חופשי בכלי AI בתמורה לאפשרות שימוש במוצרי הבינה המלאכותית שיפותחו בעזרתם", מסביר שקד קפצן, CTO ומייסד שותף בחברת סרבלו. "האתגר העיקרי הוא למצוא את האיזון הנכון בין שימוש היתרונות של כלי AI מתקדמים לבין הגנה על המידע המסחרי הרגיש של החברה. יוצרים צריכים להגן על המידע האישי שלהם ואילו מעסיקים חייבים לקבוע כללים ברורים לשימוש אחראי ב-AI שאינו פוגע סודות המסחריים של הארגון".