Connect with us

Tankeledere

Hvorfor forbud mod AI øger sikkerhedsrisici og hvordan institutioner skal reagere

mm
Published
Updated

På tværs af USA er skoledistrikter og offentlige organisationer ved at begrænse eller blokkere adgangen til genererende AI (GenAI)-teknologier eller bestemte værktøjer. I Colorado har Boulder Valley School District for nylig forbudt ChatGPT på distriktets netværk, med henvisning til bekymringer om misbrug, sikkerhed og akademisk integritet.

Instinktet til at reducere eksponeringen for sikkerhedsincidenter eller datamisbrug er forståeligt. Platforme med svage sikkerhedsforanstaltninger eller uklare privatlivsforpligtelser, som DeepSeek, berettiger restriktioner og skærpet opmærksomhed. Men at forbyde adgang til GenAI-værktøjer reducerer ikke risikoen væsentligt; det skifter ofte bare risikoen til miljøer, hvor oversigten forsvinder.

En College Board-undersøgelse fandt, at 84% af high school-studerende rapporterede at bruge GenAI til skolearbejde, selv om 45% af skolelederne rapporterede mindst nogen restriktioner på AI-adgang i skolen. Lignende en IBM-rapport fandt, at 80% af kontorarbejdere bruger AI, men kun 22% afhænger udelukkende af arbejdsgiverens værktøjer.

Adgangspolitikker alene bestemmer ikke adfærd. Studerende kan tage deres mobiltelefoner og bruge enhver AI-værktøj over deres mobildata-netværk eller bruge platformen, mens de er hjemme eller på offentligt wifi. De kan også bruge VPN’er, fjernskriveborde og plugins til at omgå restriktioner. Ansatte kan gøre det samme for at komme uden om arbejdspladsens kontroller.

Organisationer skal antage, at når der er en vilje til at bruge AI, er der en måde. Når teknologien begrænses på en måde, der skyder brugen ud over institutionens synlighed, øges risikoen for skygge-AI. Der er ingen oversigt over, hvilken information der indtastes i prompts eller hvilke data der behandles af modellen. Enhver kontrol over sikkerheden er øjeblikkeligt væk.

Ud over risikoen for skygge-AI skaber forbud en litterær kløft, der efterlader studerende fuldstændigt uforberedte på at bruge den teknologi, der vil være en stor del af deres fremtid. Disse værktøjer er mere og mere integreret i søgemaskiner, forretningsplatforme, produktivitetssoftware og personlige enheder. En Pew Research-undersøgelse fandt, at 62% af amerikanske voksne siger, de interagerer med AI mindst flere gange om ugen. Det er næsten garanteret, at studerende og ansatte vil møde GenAI-systemer uanset institutionelle politikker.

I denne sammenhæng er uddannelse den mest pålidelige sikring mod bekymringer om misbrug eller sikkerhed og for at sikre, at studerende og arbejdere er godt forberedt på at bruge et værktøj, der vil være integreret i deres karriere. At undervise i ansvarlig og etisk brug udstyrer brugerne til at genkende data-risici og træffe informerede beslutninger, uanset hvor de møder disse systemer.

Uddannelsesprogrammer skal fokusere på, hvordan store sprogmodeller (LLM’er) behandler og gemmer data, hvordan man identificerer hallucinationer, hvordan man verificerer AI-genererede outputs og hvordan man identificerer phishing-kampagner og AI-genererede billeder, for blot at nævne få. Lær brugerne at være skeptiske. AI-outputs præsenteres ofte med tillid og i poleret sprog, hvilket kan skabe en illusion om autoritet. Uden træning kan brugere antage, at et velformatret svar er indreibt ægte.

Evnen til at stille spørgsmål om digitalt indhold er en frontlinjeforsvar, da deepfakes og AI-forbedret phishing-kampagner bliver mere avancerede. En undersøgelse fra Gartner fandt, at 62% af organisationer oplevede et deepfake-angreb sidste år, og 32% stod over for et angreb på AI-applikationer. Hyppigheden og omfanget af disse episoder forventes kun at stige.

Offentlige institutioner som skoler og lokale myndigheder er særligt udsatte for deepfake-aktiveret social engineering, da så meget af deres aktivitet er optaget og offentligt tilgængeligt. Lydklip fra offentlige møder kan manipuleres og bruges til at generere overbevisende telefonsamtaler. Vi har set trusler, der bruger dette til svindel, såsom omdirigering af midler under følsomme transaktioner. Selv om dette sker mest i målrettede tilfælde, er brugere, der aldrig er blevet trænet til at genkende disse teknikker, eller endda ved, at de er mulige, i udsættelse fra starten.

Efter uddannelse skal organisationer have tydeligt kommunikeret politikker vedrørende AI-brug og styring. Disse skal definere godkendte værktøjer, accepterede brugsområder og hvilke data kan og ikke kan indtastes i hvilken model(s). Politikker skal være konsistente på tværs af afdelinger og ikke variere fra klasse til klasse eller kontor til kontor. Tydelige forventninger reducerer tvetydighed og forstærker ansvar.

I stedet for blanket-restriktioner skal organisationer se at forme, hvordan teknologien bruges i praksis. Når en organisation godkender et værktøj, der er tilgængeligt, sikkert og fungerer godt, bliver det standarden for de fleste brugere. Casual skygge-AI-brug mindsker, fordi der er en enkel alternativ, der ikke inkluderer at downloade en VPN for at bruge det.

Organisationer og institutioner søger at give sikker adgang til LLM’er på en måde, så deres data er sikret og ikke deles eller bruges til træning. En voksende kategori af AI-aktiverings- og sikkerhedsværktøjer dukker op for at gøre netop det. De kan give adgang til multiple LLM’er, mens institutionens data holdes sikkert indekapslet. Zero data-retention-aftaler giver den juridiske ramme til at sikre, at organisationens data forbliver ejendom af virksomheden eller institutionen, og LLM ikke kan trænes på det. Desuden, hvis en medarbejder forlader institutionen, forbliver enhver AI-brug, arbejdsgange eller data ejendom af organisationen.

Tekniske sikkerhedsforanstaltninger kan også anvendes på funktionniveau. En institution kan tillade studerende eller ansatte at stille generelle spørgsmål inden for en sanktioneret LLM, mens de deaktiverer filoverførsler, dokumentdeling eller andre højrisiko-funktioner. Disse konfigurationer bevare produktivitetsfordele uden at åbne døren for ukontrolleret data-eksponering.

Mere avancerede værktøjer kan automatisk anonymisere følsomme oplysninger, før de nogensinde når modellen. For eksempel, erstatter patientnavne eller identifikatorer med neutrale placeringer, så læger og sygeplejersker kan bruge GenAI uden at eksponere beskyttede data. Andre integrerer data-tab-kontroller, der detekterer og blokerer sociale sikkerhedsnumre, finansielle kontooplysninger eller andre regulerede oplysninger fra at blive indsendt i prompts.

Tydelige politikker med tekniske sikkerhedsforanstaltninger, bygget på en grundlag af uddannelse, skaber den bedste forsvar, især da teknologien udvikler sig så hurtigt. GenAI udvikler sig hurtigere end de fleste offentlige organisationer – og deres budgetter – kan tilpasse sig. At forsøge at blokere hver ny model, der opstår, er uholdbart, fordi når en platform er begrænset, har en anden allerede fået fodfæste. Brugere, der er trænet til at forstå de underliggende risici, kan tilpasse sig på tværs af værktøjer og versioner.

Sikkerhed i en AI-aktiveret miljø afhænger af at anerkende, at GenAI nu er integreret i dagliglivet. Der er ingen måde at få genien tilbage i flasken. Blanket-forbud kan signalere forsigtighed, men de handler ofte synlig, styrbart risiko for usynlig, ustyrbar eksponering. Lær en person at bruge AI ansvarligt, og de vil være klar til hvad som helst, der kommer herefter.

Related Topics:
mm

Christopher Morton fungerer som Logically’s Chief Information Officer, der leder deres IT Ops, Technical Product Development, Network Operations Center og Cloud Services teams. Han blev en del af Logically-holdet gennem opkøbet af The Network Support Company i 2021, hvor han havde fungeret som CTO. Morton startede sin karriere med The Network Support Company tilbage i 2005 og var med til at lancere, styre og udvikle deres managed services-tilbud.