在ChatGPT亮相一年后,GenAI是CISO的福音还是祸根?

人工智能
人们惊讶于这些工具提高了知识和准确性,也惊叹于它们可以帮助创造的时间节约。同样令他们惊讶的是,引擎没有线索,有时提供的是胡说八道的答案或幻觉,因此被证明是浪费时间——但这不会持续太久。

自OpenAI的ChatGPT进入当今的日常工作以来,已经整整一年了,紧随其后的是谷歌的Bard和其他GenAI产品。在你可以说侏儒怪之前,员工、承包商、客户和合作伙伴似乎都在展示他们新发现的闪闪发光的对象 - AI引擎采用了他们几乎不了解的大型语言模型。

人们惊讶于这些工具提高了知识和准确性,也惊叹于它们可以帮助创造的时间节约。同样令他们惊讶的是,引擎没有线索,有时提供的是胡说八道的答案或幻觉,因此被证明是浪费时间——但这不会持续太久。

询问AI引擎的意想不到的后果很快就露出了丑陋的头,2023年初三星发生的事件就证明了这一点,三星发现商业机密被随意上传到ChatGPT。虽然这些信息显然是积极的,但这些商业秘密已经不再是秘密,因为它们已经与ChatGPT的母公司OpenAI共享,任何提出类似查询的人都可能(假设)从工程师的输入中受益。

影子AI的迅速崛起应该不足为奇

在我看来,三星以完全正确的方式处理了这一发现。很糟糕,我们不能让这种事情再次发生,我们需要发展自己的内部能力,这样商业秘密才能保密。

对所有人来说,包括那些在信息技术提供和支持方面几乎没有经验的人来说,很明显,当AI引擎应用于大众时,形成风险之河的源头有了一个新的母源:AI查询引擎。影子IT有一个新兄弟,影子AI。

Wiz数据和威胁研究主管Alon Schindel表示,影子AI的到来不应该真的令人惊讶,他分享了它是如何类似于“五到十年前的云:每个人都在某种程度上使用它,但很少有人有管理它的流程。”

Schindel告诉记者:“在创新的竞赛中,开发人员和数据科学家经常在没有安全团队监督的情况下,将新的AI服务引入他们的环境,从而无意中创建了影子AI。由于缺乏可见性,很难确保AI管道的安全,也很难防范AI的错误配置和漏洞。不恰当的AI安全控制可能会导致重大风险,因此将安全嵌入AI管道的每一个部分是至关重要的。”

每家公司都应该对GenAI做三件事

解决方案,是非常常识性的。我们只需回顾一下Code42的CISO Jadee Hanson在2023年4月分享的内容,他专门针对三星的体验发表了讲话:“ChatGPT和AI工具可以非常有用和强大,但员工需要了解哪些数据适合放入ChatGPT,哪些不适合,安全团队需要适当地了解企业发送到ChatGPT的内容。”

我采访了Imperva的数据安全高级副总裁兼现场CTO特里·雷,他分享了他对影子AI的看法,提供了每个实体都应该已经在做的三个关键要点:

·建立对每个数据仓库的可见性,包括“以防万一”储存起来的“影子”数据库。

·对每一项数据资产进行分类——有了这些,人们就知道了一项资产的价值。(花费100万美元来保护一项过时或价值低得多的资产有意义吗?)。

·监控和分析——观察数据移动到不属于它的位置。

了解你的GenAI风险承受能力

同样,SkyHigh Security的全球云威胁主管罗德曼·拉梅赞也指出了了解个人风险承受能力的重要性,他警告说,那些没有注意到大型语言模型惊人快节奏传播的人,肯定会大吃一惊。

他认为,仅有护栏是不够的,必须培训和指导用户如何使用已批准的AI实例,并避免使用未经批准的实例,这种培训/指导应动态和循序渐进地提供,这样做将随着每个增量的增加而改善整体安全态势。

负责保护公司数据的CIO,无论是知识产权、客户信息、财务预测、上市计划等,都可以接受或追逐。如果他们选择后者,他们可能还希望为事件响应的上升做好准备,因为会有事件发生。如果他们选择前者,他们将面临艰巨的任务,因为他们将整个企业进行工作,并决定哪些产品可以引入内部,就像三星正在做的那样。

GenAI是不可避免的,所以要准备好管理它的流动

识别和缓解使用AI工具的潜在风险的方法是与企业内的各种实体充分接触,并为运营的每个方面创建政策和程序以及使用AI的途径。紧随其后的是非常明显地需要创建和实施员工/承包商教育和实践练习。CISO和他们的企业可以支持、支持、识别安全三角洲,并提出建议来缓解可能发生的情况,并为那些自由飞行的人系好安全带。

雷为CIO们补充了一些非常及时的思考的基础,尤其是在招聘真正具有竞争力的时代,并保留了“网络招聘”的格局,这个领域的新员工必须能够使用可用的工具并构建自己的工具,使用AI来帮助完善它们。

毕竟,AI是一种力量倍增器,应该利用它来做好事,但是,在你接受这个概念的同时,你还必须接受AI认证、政策和程序,最重要的是要对它在哪里和如何使用保持警惕。企业尤其需要知道和保护他们的“奶酪”——获奖物品的位置。

选择权掌握在CISO手中——你可以严密锁定并彻底禁止聊天机器人,采取似乎所有正确的步骤来防止影子AI,然而,就像水从基岩中渗出一样,用户将找到一种方法来利用它。通过确保有必要的渠道让水安全可靠地流动,明智的CISO将得到很好的服务。

责任编辑:姜华 来源: 企业网D1Net
相关推荐

2009-09-08 09:34:01

思科CCIE证书感慨

2009-09-02 09:06:12

思科认证CCIE思科认证CCIE

2009-07-27 09:04:31

2015-05-05 11:32:11

2020-09-23 22:57:43

Linux 系统 数据

2010-09-30 09:32:01

虚拟机

2013-05-03 10:26:49

互联网

2013-08-20 09:47:34

App.net通讯录广告

2013-01-05 02:33:01

JavaJava语言Java发展方向

2021-03-22 16:31:57

人工智能技术数字化转型

2019-06-06 15:33:59

GitHub微软开发者

2017-09-10 22:45:16

物联网云计算阿里巴巴

2020-01-08 10:40:57

苹果CES隐私保护

2022-12-12 16:04:00

2012-10-09 09:14:47

2009-07-03 10:15:38

2021-03-23 11:00:41

网络安全网络攻击网络钓鱼

2018-01-31 09:54:48

华为高青县智慧城市

2023-11-08 15:01:12

2019-11-15 22:27:06

数据女排奥运
点赞
收藏

51CTO技术栈公众号