בונה אונטולוגיה דינאמית לתאימות מבוססת AI לאוטומציה מותאמת של שאלוני אבטחה

מילות מפתח: אונטולוגיה של תאימות, גרף ידע, תזמור LLM, שאלון מותאם, תאימות מונעת AI, Procurize, סינתזה בזמן אמת של הוכחות

מבוא

שאלוני אבטחה, הערכות ספקים וביקורות תאימות הפכו לנקודת חיכוך יומיומית עבור חברות SaaS. ההתפוצצות של מסגרות—SOC 2, ISO 27001, PCI‑DSS, GDPR, CCPA ועוד עשרות תקנים תעשייתיים—משמעותו שכל בקשה חדשה יכולה להביא מונחים של פיקוח שלא נראו קודם, דרישות הוכחה עדינות, ופורמטים שונים של תגובה. מאגרים סטטיים מסורתיים, אפילו כשהם מאורגנים היטב, מתיישנים במהירות, ומחזירים צוותי האבטחה לחקר ידני, העתקה‑הדבקה ועבודה באפשרויות מסוכנות.

הכירו את בונה האונטולוגיה הדינמי לתאימות (DCOB), מנוע מונע AI שמבנה, מפתח ומנהל אונטולוגיה מאוחדת של תאימות מעל מרכז השאלונים הקיים של Procurize. על‑ידי התייחסות לכל סעיף מדיניות, מפת פיקוח, והוכחה כצומת גרף, DCOB יוצר מאגר ידע חי הלומד מכל אינטראקציה עם שאלון, מחליף את המשמעות שלו באופן מתמשך, ומציע מיידית תשובות מדויקות ומהקשר.

מאמר זה מלווה אתכם דרך היסוד הקונספציונלי, הארכיטקטורה הטכנית, וההפעלה הפרקטית של DCOB, וממחיש כיצד הוא יכול לקצר את זמני התגובה עד 70 % תוך אספקת מסלולי ביקורת בלתי חמצים הנדרשים לביקורת רגולטורית.

1. למה אונטולוגיה דינאמית?

אתגר	גישה מסורתית	מגבלות
הסטת אוצר מילים – פיקופים חדשים או שינוי שמות סעיפים בתקן מתעדכנים.	עדכוני טקסונומיה ידניים, גיליונות אל־חוגים.	עיכוב גבוה, רגישות לטעויות אנוש, שמות בלתי אחידים.
התאמה בין‑מסגרות – שאלה אחת עשויה להתאים למספר תקנים.	טבלאות חצייה סטטיות.	תחזוקה קשה, חוסר במקרים קיצוניים.
שימוש חוזר בהוכחות – שימוש במסמכים מאושרים קודמים בתשובות דומות.	חיפוש ידני במאגרי מסמכים.	גזב זמן, סיכון לשימוש בהוכחה לא עדכנית.
ביקורת רגולטורית – צורך להוכיח מדוע ניתנה תשובה מסוימת.	לוגים ב‑PDF, שרשראות אימייל.	לא חיפושיות, קושי להוכיח מקור.

אונטולוגיה דינאמית פותרת בעיות אלו על‑ידי:

נרמול סמנטי – איחוד מונחים שונים למושגים קנוניים.
קשרים מבוססי גרף – לוכדת קצוות “פיקופ‑מתאים‑דרישה”, “הוכחה‑תומכת‑בפיקופ”, ו‑“שאלה‑מתאימה‑לפיקופ”.
למידה מתמשכת – קולטת פריטי שאלון חדשים, מחלץת ישויות, ומעדכנת את הגרף ללא התערבות ידנית.
מעקב מקור – כל צומת וקצה מתועדים בגרסאות, בתזמון ובחתימה קריפטוגרפית, מה שמספק את דרישות הביקורת.

2. רכיבי הארכיטקטורה המרכזיים

  graph TD
    A["שאלון נכנס"] --> B["חוצץ ישויות מבוסס LLM"]
    B --> C["מאגר אונטולוגיה דינמית (Neo4j)"]
    C --> D["מנוע חיפוש וסילוק סמנטי"]
    D --> E["מחולל תשובות (RAG)"]
    E --> F["UI / API של Procurize"]
    G["מאגר מדיניות"] --> C
    H["מאגר הוכחות"] --> C
    I["מנוע כללי תאימות"] --> D
    J["לוגר ביקורת"] --> C

2.1 חוצץ ישויות מבוסס LLM

מטרה: לפרק טקסט שאלון גולמי, לזהות פיקופים, סוגי הוכחות ורמזים קונטקסטואליים.
מימוש: LLM מותאם (למשל, Llama‑3‑8B‑Instruct) עם תבנית פרומפט מותאמת המחזירה אובייקטים JSON:

{
  "question_id": "Q‑2025‑112",
  "entities": [
    {"type":"control","name":"הצפנה במנוחה"},
    {"type":"evidence","name":"מסמך מדיניות KMS"},
    {"type":"risk","name":"גישה לא מורשית לנתונים"}
  ],
  "frameworks":["ISO27001","SOC2"]
}

2.2 מאגר אונטולוגיה דינמית

טכנולוגיה: Neo4j או Amazon Neptune ליכולות גרף טבעיות, משולב עם יומנים בלתי‑ניתנים לשינוי (למשל, AWS QLDB) למעקב מקור.
סקיצה של הסכימה:

  classDiagram
    class Control {
        +String id
        +String canonicalName
        +String description
        +Set<String> frameworks
        +DateTime createdAt
    }
    class Question {
        +String id
        +String rawText
        +DateTime receivedAt
    }
    class Evidence {
        +String id
        +String uri
        +String type
        +DateTime version
    }
    Control "1" --> "*" Question : מכסה
    Evidence "1" --> "*" Control : תומך ב‑
    Question "1" --> "*" Evidence : מבקש

2.3 מנוע חיפוש וסילוק סמנטי

גישה היברידית: משלב דמיון וקטורי (באמצעות FAISS) להתאמה ערפולית עם נסיעה בגרף לשאלות יחסיות מדויקות.
דוגמה לשאילתה: “מצא את כל ההוכחות שמקיימות פיקופ הקשור ל‑‘הצפנה במנוחה’ במסגרת ISO 27001 ו‑SOC 2.”

2.4 מחולל תשובות (Retrieval‑Augmented Generation – RAG)

צינור עבודה:
1. שליפה של k‑ההוכחות הרלוונטיות ביותר.
2. שליחת פרומפט ל‑LLM עם ההקשר המשוחזר והקווים המנחים לסגנון התאימות (טון, פורמט ציטוט).
3. עיבוד פוסט‑פרוסס להטמעת קישורי מקור (מזהי הוכחה, hash גרסה).

2.5 אינטגרציה עם Procurize

RESTful API המספק POST /questions, GET /answers/:id, וה‑webhooks לעדכונים בזמן אמת.
ווידג׳טים UI בתוך Procurize המאפשרים למבקרים לראות את הדרך בגרף שהובילה לכל תשובה מוצעת.

3. בניית האונטולוגיה – שלב‑אחר‑שלב

3.1 איתור משאבים קיימים

יבוא מאגר המדיניות – ניתוח מסמכי מדיניות (PDF, Markdown) בעזרת OCR + LLM לחילוץ הגדרות פיקופ.
טעינת מאגר ההוכחות – רישום כל מסמך (למשל, מדיניות אבטחה ב‑PDF, יומני ביקורת) כצמתי Evidence עם מטא‑נתוני גרסה.
יצירת חצייה ראשונית – שימוש במומחי תחום להגדיר מיפוי בסיסי בין תקנים נפוצים (ISO 27001 ↔ SOC 2).

3.2 לולאת קלה של הכנסת נתונים

  flowchart LR
    subgraph Ingestion
        Q[שאלון חדש] --> E[חוצץ ישויות]
        E --> O[מעדכן אונטולוגיה]
    end
    O -->|מוסיף| G[גרף מאגר]
    G -->|מפעיל| R[מנוע שליפה]

עם כל שאלון חדש, החוצץ מפיק ישויות.
מעדכן האונטולוגיה בודק אם קיימים צמתים או קשרים חסרים; אם לא – יוצר אותם ומתעד את השינוי ביומן הביקורת הבלתי‑מתכלה.
גרסאות (v1, v2, …) משוייכות אוטומטית, מה שמאפשר שאילתות “נסיעה בזמן” לביקורת.

3.3 לולאת משוב‑אדם‑ב‑המעגל (HITL)

מבקרים יכולים לאשר, לדחות, או לחדד צמתים מוצעים ישירות ב‑Procurize.
כל פעולה מייצרת אירוע משוב שנשמר ביומן הביקורת, ומשמש לאימון חוזר של ה‑LLM, כך שהדיוק של חילוץ הישויות עולה באופן מתמשך.

4. תועלות בעולם האמיתי

מדד	לפני DCOB	אחרי DCOB	שיפור
זמן כתיבת תשובה ממוצע	45 דק לשאלה	12 דק לשאלה	ירידה של 73 %
שיעור שימוש חוזר בהוכחות	30 %	78 %	עלייה של 2.6 פול.
ציון חיבור לביקורת (פנימי)	63/100	92/100	+29 נקודות
שיעור שגיאות במיפוי פיקופים	12 %	3 %	ירידה של 75 %

תמונת מקרה – חברה SaaS בינונית עיבדה 120 שאלוני ספק ברבעון השני של 2025. לאחר פריסת DCOB, זמן הטיפול הממוצע צנח מ‑48 שעות לתחתית 9 שעות, והרשויות ביקשו לשבח את הקישורים למקור שהופקו אוטומטית בכל תשובה.

5. אבטחה וניהול משאבים

הצפנה של נתונים – כל הנתונים בגרף מוצפנים במנוחה באמצעות AWS KMS; חיבורים בזמן מעבר משתמשים ב‑TLS 1.3.
בקרות גישה – הרשאות מבוססות תפקידים (למשל, ontology:read, ontology:write) מנוהלות דרך Ory Keto.
חוסר‑שינוי – כל שינוי בגרף מתועד ב‑QLDB; hash קריפטוגרפי מבטיח הוכחת שלמות.
מצב ביקורת – אפשרות “audit‑only” המשבית קבלה אוטומטית ומכריחה סקירה ידנית לשאלונים רגישים (לדוגמה, שאלונים תחת GDPR).

6. מתווה פריסה

שלב	משימות	כלי
הקמה	הקצאת Neo4j Aura, קונפיגורציית QLDB, יצירת דלי S3 להוכחות.	Terraform, Helm
התאמת מודל	איסוף 5 k דוגמאות שאלונים מתוייגות, התאמת Llama‑3.	Hugging Face Transformers
אורקסטרציית צינור	פריסת DAG ב‑Airflow לאיסוף, אימות ועדכון גרף.	Apache Airflow
שכבת API	יישום שירותי FastAPI לחשיפת CRUD ונקודת RAG.	FastAPI, Uvicorn
אינטגרציית UI	הוספת רכיבי React ללוח בקרה של Procurize להצגת גרף.	React, Cytoscape.js
מוניטורינג	הפעלת מדדי Prometheus, לוחות Grafana לזמנים ושגיאות.	Prometheus, Grafana

צינור CI/CD טיפוסי מריץ בדיקות יחידה, אימות סכימת גרף, וסריקות אבטחה לפני העלאה לסביבת ייצור. כל המערכת ניתנת לקונטיינריזציה באמצעות Docker ומנוהלת ב‑Kubernetes לתמיכה בקנה מידה.

7. שיפורים עתידיים

הוכחות עם Zero‑Knowledge Proofs – הטמעת ZKP שמוכיחים שההוכחה עומדת בפיקופ מבלי לחשוף את המסמך עצמו.
שיתוף אונטולוגיות פדרטיביות – אפשרות לחברות שותפות להחליף תת‑גרפים מוצפנים לשאלונים משותפים, תוך שמירה על ריבונות הנתונים.
חיזוי רגולציה – מודלים של סדרת‑זמן על שינויי גרסאות תקנים להכוונה מוקדמת של האונטולוגיה לפני שהתקן החדש משוחרר.

כיוונים אלו משאירים את DCOB בחזית האוטומציה של תאימות, ומבטיחים את המשך ההתפתחות שלו בקצב שבו מתעדכנות הדרישות הרגולטוריות.

סיכום

בונה האונטולוגיה הדינמי לתאימות משדרג מאגרי מדיניות סטטיים לגרף ידע חיי, מונע AI שמזין אוטומציה מותאמת של שאלונים. על‑ידי אחידות סמנטית, שמירת מקור בלתי‑מתפרקת, ומענה בזמן אמת, DCOB משחרר צוותי אבטחה מעבודה חוזרת ומקנה לארגונים נכס אסטרטגי לניהול סיכונים. משולב עם Procurize, הוא מקצר את זמני סגירת עניינים, מחזק את מוכנות הביקורת, ופונה לדרך של תאימות מוכנה לעתיד.