最基本的安全意识计划会教育大众如何识别外部人员和恶意分子通过钓鱼、网络攻击、社交攻击等手段盗取信息的威胁。
但员工或用户培训必须增加对内部风险的关注,并且不能只进行一次,这必须是一项持续的努力。
现在,随着AI在软件中的普及和GenAI的广泛可用,确保提高认识的努力包括如何通过点击鼠标来消除商业秘密保护比以往任何时候都更为重要。
缺乏对数据、安全和隐私的保护将导致继续出现收集用户数据的情况,并将其放入数据湖中以训练其AI引擎,同样,像ChatGPT这样的公开可用AI引擎本身也不免于遭到入侵。
CISO应该审查美国政府的AI政策
如果你需要一个更好处理数据的内部政策路线图,请看看今年早些时候美国联邦政府推出的主动措施,即管理和预算办公室(OMB)关于联邦机构使用AI的政策。
这项OMB政策之所以显著,是因为它是首个旨在限制AI风险的全国性政策,同时利用其优势,所有联邦机构必须在2024年12月1日之前“在使用AI可能影响美国人权利或安全的情况下实施具体的保障措施”。
各地的CISO都应认真研究这项OMB政策,将其与他们自己内部关于实施AI的政策(无论是内部还是外部)进行对比,并与供应商、合作伙伴和客户的AI保护措施进行比较。
OMB政策的实施将扩展到与政府合作且其解决方案中包含AI的实体。虽然其重点是保护个人权利和安全,但这些保障措施绝对包括对数据的保护,这正是CISO们可以从中汲取见解的地方。
影子AI仍在系统中活跃
我之前曾谈到影子AI的现实情况,就像影子IT一样,控制这些实例往往像试图阻止水从堤坝溢出一样困难——水总是会找到出路。
我们都记得三星是最早通过实践学习这一点的公司之一,当时他们的一名工程师将一个设计推送到Open AI的引擎中,意图改进它,却无意中暴露了商业秘密。
毫无疑问,每位CISO都有关于员工将公司内部数据发送到AI工具中以进行优化和改进的故事。
实际上,在最近的RSA大会期间,我有多位高管提到过如何通过AI引擎查询“Xyz Inc.计划如何进入市场?”从而揭示营销计划的情况。AI引擎曾学习过这些内容,并在响应中展示出来——某人在某处将市场进入计划加载到AI中进行优化,而AI引擎将其吐了出来,对进行此类查询的竞争对手来说,这是一笔意外之财。
同样,专业社交网络如LinkedIn鼓励个人突出他们正在从事的工作、研究内容、旅行地点以及团队成员情况。
从竞争情报的角度来看,分享的冲动直接为那些希望获取相关实体信息的人填补了空白,如果分享的是尚未发布或私有的技术,商业秘密保护就不复存在,因为内容没有得到充分保护。
CISO们可以做些什么来传达内部风险的相关信息?
解决方案并不复杂,但需要的不仅仅是向员工、承包商、合作伙伴和供应商发布公告或命令。
Code42的CEO Joe Payne告诉我,公司在代码外泄方面的下降约为32%,这归因于实时培训的积极效果。他补充说,培训视频提供了对观察到的事件的清晰明确反馈,并以积极的方式进行,这有助于教育和威慑。
虽然实施内部风险管理工具有助于增强知识产权的保护,防止泄露或盗窃,但培训环节至关重要。
此外,CISO需要深入了解他们希望阻止的行为背后的原因。为什么员工会将知识产权从受保护的环境转移到未受保护或未批准的环境?是他们自己的主动行为吗?还是他们的上级要求他们这样做?
也许现有的工具不足以完成任务,而完成任务的压力被认为比遵守规则更重要。
所有这些都可能无意中使公司面临更大的风险,而实时培训和回头获取反馈可以为CISO提供必要的数据,以改善培训环境,并在需要时通过联系管理层链条,调整下属的工作方向采取进一步行动。
