Connect with us

Νέες Επισφαλείς Υποθέσεις της Ταχείας Υιοθέτησης του GenAI που οι Οργανισμοί Πρέπει να Διευθετήσουν

Ηγέτες σκέψης

Νέες Επισφαλείς Υποθέσεις της Ταχείας Υιοθέτησης του GenAI που οι Οργανισμοί Πρέπει να Διευθετήσουν

mm mm
Published
Updated

Το Γεννητικό AI (GenAI) έχει εξελιχθεί από μια περιέργεια σε một κεντρική δύναμη στην τεχνολογία των επιχειρήσεων. Η ικανότητά του να γεννάει κείμενο, κώδικα, εικόνες και επιτεύγματα με αίτημα έχει το gemacht το απαραίτητο για τους υπαλλήλους που θέλουν να μειώσουν την πολυπλοκότητα και να επιταχύνουν την παραγωγικότητα. Αλλά με αυτή την καινοτομία και την αποτελεσματικότητα έρχεται τεράστια έκθεση σε κίνδυνο.

Σε κλήσεις με διευθυντές και ηγέτες της διακυβέρνησης του AI σε διάφορους κλάδους, ένα θέμα εμφανίζεται ξανά και ξανά: Η ασφάλεια των δεδομένων έχει μετατοπιστεί από ένα κλειδί προβληματισμού στο κεντρικό σημείο της στρατηγικής τους και είναι τώρα η οριστική πρόκληση της υιοθέτησης του AI. Σε αντίθεση με το παραδοσιακό λογισμικό ή ακόμη και τις προηγούμενες κυμαίες της μηχανικής μάθησης, το GenAI αλλάζει θεμελιωδώς τη διαδικασία για την ασφάλεια των δεδομένων внутри μιας οργανώσεως.

Μια πρόσφατη μελέτη του MIT βρήκε ότι το 95% των πιλότων του GenAI στις επιχειρήσεις αποτυγχάνουν. Δεν είναι因为 το τεχνολογία είναι αδύναμη, αλλά因为 οι επιχειρήσεις λείπουν από τα πλαίσια διακυβέρνησης και ασφάλειας που χρειάζονται για να λειτουργήσουν το GenAI κατάλληλα και υπεύθυνα. Σε μια άλλη μελέτη του MIT, οι ηγέτες των επιχειρήσεων ανέφεραν την ασφάλεια των δεδομένων ως τον κορυφαίο επιχειρηματικό και ασφαλή κίνδυνο που εμποδίζει τη ταχύτερη υιοθέτηση του AI. Επιπλέον, το “σκιώδες AI”, που είναι η μη εξουσιοδοτημένη χρήση των δημόσιων εργαλείων από τους υπαλλήλους, αναγνωρίζεται ως οδηγός των αυξανόμενων κινδύνων των δεδομένων πέρα από τον έλεγχο της επιχείρησης.

Η πρόσβαση με την ελάχιστη εξουσιοδότηση είναι ένα μοντέλο ασφάλειας στο οποίο κάθε οντότητα, είτε χρήστης, πρόγραμμα ή διαδικασία, λαμβάνει μόνο το ελάχιστο επίπεδο πρόσβασης και εξουσιοδότησης που χρειάζεται για να εκτελέσει τις νόμιμες λειτουργίες της. Το GenAI, ωστόσο, ανατρέπει ολόκληρο το παράδειγμα: Η ελάχιστη εξουσιοδότηση γίνεται ένα περιορισμό που συγκρούεται με τον τρόπο με τον οποίο αυτά τα συστήματα σχεδιάζονται για να λειτουργούν. Αυτό συμβαίνει因为 τα εργαλεία του GenAI στις επιχειρήσεις παρέχουν υψηλότερες κέρδη παραγωγικότητας όταν έχουν πρόσβαση σε περισσότερα επιχειρηματικά δεδομένα και επιχειρηματικό контέκστ.

Καθώς η υιοθέτηση του GenAI επιταχύνεται, οι χρήστες συνεχίζουν να ανακαλύπτουν νέες εφαρμογές του GenAI, οι περισσότερες από τις οποίες προκύπτουν από οργανικές πειραματικές και περιέργειες, παρά από頂-down, επιχειρηματικές σχεδιασμένες. Εάν μια οντότητα δεν μπορεί να ορίσει τις εργασίες που θα χρησιμοποιηθούν για το GenAI, ή τα είδη δεδομένων που χρειάζονται πρόσβαση, γίνεται αδιανόητο να οριστεί η πρόσβαση με την ελάχιστη εξουσιοδότηση. Επιπλέον, ένας χρήστης μπορεί να έχει την κατάλληλη πρόσβαση σε ένα σύνολο δεδομένων και να παρέχει νόμιμα ως είσοδο σε ένα εργαλείο του GenAI, αλλά μια φορά που τα δεδομένα έχουν εισαχθεί, δεν είναι πλέον δεσμευμένα από τις αρχικές εξουσιοδότησεις του χρήστη. Αντίθετα, μπορεί να απορροφηθεί στο μοντέλο, να εμφανιστεί σε μελλοντικές εξόδους ή να γίνει προσβάσιμο σε άλλους που χρησιμοποιούν το ίδιο εργαλείο. Καθώς το GenAI δεν κληρονομεί απαραίτητα τους ελέγχους πρόσβασης των δεδομένων, αποδίδει την ελάχιστη εξουσιοδότηση ανεφάρμοστη.

Επισφαλείς Υποθέσεις του GenAI να Συμβουλεύονται

Το GenAI δημιουργεί μια τεράστια και διαρκώς επεκτεινόμενη επιφάνεια δεδομένων, που περιπλέκει την διακυβέρνηση και την ασφάλεια των δεδομένων των επιχειρήσεων με διάφορους διασυνδεδεμένους τρόπους. Αυτοί περιλαμβάνουν:

Διαρροή εισόδου – Το GenAI μπορεί να λάβει δεδομένα στη raw μορφή του, συμπεριλαμβανομένου κειμένου, εικόνων, ήχου, βίντεο και δομημένων δεδομένων. Οι τελικοί χρήστες μπορούν τώρα να οδηγήσουν τα εργαλεία του GenAI σε νέα σύνολα δεδομένων με ελάχιστη προσπάθεια ή εμπειρία. Αντί να περιοριστούν σε προσεκτικά επιλεγμένα, δομημένα πίνακες με καθορισμένα σχήματα και σχέσεις, αυτά τα σύνολα δεδομένων μπορεί να περιλαμβάνουν ηχογραφήσεις τηλεφωνικών κλήσεων, σημειώσεις email του CRM, μεταγραφές της υπηρεσίας πελατών και άλλα. Στην πράξη, οι υπάλληλοι ταΐζουν τις προτροπές με υψηλά ευαίσθητα επιχειρηματικά πληροφορίες, συμπεριλαμβανομένων προσωπικών δεδομένων πελατών, πνευματικής ιδιοκτησίας, προβλέψεων χρηματοοικονομικών και ακόμη και πηγαίου κώδικα.

Εξοικονόμηση εξόδουΤα γεννητικά μοντέλα δεν καταναλώνουν μόνο, αλλά και συνθέτουν. Μια προτροπή μπορεί να αποκαλύψει ακούσια πληροφορίες από διάφορα σύνολα δεδομένων και να τις εκθέσει στους χρήστες χωρίς την κατάλληλη έγκριση. Σε ορισμένες περιπτώσεις, οι εξόδους μπορούν ακόμη και να “οραματίζουν” δεδομένα που φαίνονται νόμιμα αλλά περιέχουν θραύσματα πραγματικών, υψηλά ευαίσθητων δεδομένων εκπαίδευσης.

Τα εργαλεία του GenAI λειτουργούν καλύτερα όταν έχουν контέκστ για την εργασία που εκτελούν. Ως αποτέλεσμα, όχι μόνο το GenAI καταναλώνει υπάρχοντα πληροφορίες, αλλά οι χρήστες δημιουργούν επίσης νέα δεδομένα για να οδηγήσουν το GenAI με την μορφή εκτεταμένων, λεπτομερών προτροπών που τεκμηριώνουν επιχειρηματικό контέκστ, εσωτερικές διαδικασίες και άλλες πιθανώς ευαίσθητες ή κρίσιμες επιχειρηματικές πληροφορίες.

Προσβασιμότητα χωρίς εποπτείαΤα παραδοσιακά συστήματα επιχειρήσεων απαιτούσαν εγγραφή προμηθευτή και προμήθεια IT. Σήμερα το GenAI είναι ενσωματωμένο παντού – στα πακέτα του Microsoft Office, στους браузέρ, στα εργαλεία chat, και στις πλατφόρμες SaaS. Οι υπάλληλοι μπορούν να το υιοθετήσουν άμεσα, παρακάμπτοντας τη διακυβέρνηση. Αυτή η άμεση πρόσβαση καυσίμων “σκιώδες AI”, και κάθε μη εξουσιοδοτημένη χρήση του GenAI είναι ένα πιθανό γεγονός εξαγωγής δεδομένων που συμβαίνει αόρατα, σε κλίμακα, και έξω από το περιβάλλον διακυβέρνησης της επιχείρησης.

Κίνδυνος δεύτερης βαθμίδας αλυσίδας εφοδιασμού – Ένας προμηθευτής μπορεί να φαίνεται ασφαλής, αλλά συχνά βασίζεται σε υπεργολάβους όπως οι οικοδεσπότες cloud, οι υπηρεσίες αναnotation, ή τα τρίτα εργαστήρια AI. Κάθε ένας εισάγει τους δικούς του συμφωνίες άδειας χρήσης (EULAs) και πολιτικές. Ευαίσθητα επιχειρηματικά δεδομένα μπορούν να διαρρεύσουν μέσω πολλών απρόοπτων χεριών, ωστόσο η ευθύνη παραμένει αποκλειστικά με την επιχείρηση. Για παράδειγμα, μια επιχείρηση μπορεί να έχει έναν προμηθευτή που ολοκλήρωσε την διαδικασία εγγραφής, αλλά ο προμηθευτής αυτός χρησιμοποιεί τώρα ένα εργαλείο GenAI που θα μπορούσε να επιτρέψει στα δεδομένα της επιχείρησης να χρησιμοποιηθούν ως δεδομένα εκπαίδευσης, με σημαντικές επιπτώσεις.

Κενά στη διακυβέρνηση των δεδομένων εκπαίδευσης – Μόλις τα δεδομένα εισαχθούν σε ένα μοντέλο AI, ο έλεγχος effectively λήγει. Οι επιχειρήσεις δεν μπορούν εύκολα να ανακαλέσουν ή να ελέγξουν πώς χρησιμοποιούνται οι πληροφορίες τους. Η ιδιόκτητη γνώση μπορεί να παραμείνει και να εμφανιστεί σε εξόδους πολύ μετά την πηγή της έχει ξεχαστεί. Δεν έχουμε συναντήσει κανένα εργαλείο GenAI που να επιτρέπει αιτήσεις για την αφαίρεση πληροφοριών που έχει λάβει, παρόμοιο με αυτό που φαίνεται στις κανονιστικές προστασίας προσωπικών δεδομένων όπως η Γενική Κανονιστική Προστασίας Δεδομένων (GDPR) ή ο Νόμος Προστασίας Προσωπικών Δεδομένων της Καλιφόρνιας (CCPA). Η εφαρμογή τέτοιων διαδικασιών είναι απίθανο μέχρι την κανονιστική αλλαγή.

Κίνδυνος κώδικα εφαρμογής – Το AI γράφει ολοένα και περισσότερο τον κώδικα που υποστηρίζει τα επιχειρηματικά συστήματα. Οι développers που χρησιμοποιούν εργαλεία GenAI όπως το Microsoft Copilot για να γράψουν κώδικα μπορεί να εισαγάγουν ανεπίγνωστα ασφαλείς εξαρτήσεις, να προωθήσουν ευπάθειες ή να ενσωματώσουν κώδικα με αντικρουόμενες άδειες ανοιχτού κώδικα. Μόλις αναπτυχθούν, αυτές οι αδυναμίες γίνονται ενσωματωμένες στην αλυσίδα εφοδιασμού λογισμικού.

Διευθέτηση του Κινδύνου του GenAI

Το GenAI είναι ήδη ενσωματωμένο στις ροές εργασίας των επιχειρήσεων, οπότε η ερώτηση για τις επιχειρήσεις δεν είναι αν θα το υιοθετήσουν, αλλά πώς να το κάνουν υπεύθυνα. Η υιοθέτηση του GenAI χωρίς διακυβέρνηση κινδυνεύει με ακριβές παραβιάσεις, προστίματα κανονιστικών και ζημίες στην φήμη. Αλλά η απομάκρυνση του μόνο οδηγεί τους υπαλλήλους να χρησιμοποιήσουν μη εξουσιοδοτημένες λύσεις. Ο μόνος δρόμος προς τα εμπρός είναι η ενδυνάμωση που περιβάλλεται από ορατότητα και έλεγχο.

Η διακυβέρνηση του GenAI απαιτεί ορατότητα που οδηγείται από το контέκστ όχι μόνο σε τι δεδομένα έχει μια επιχείρηση, πού ζουν, και ποιος έχει πρόσβαση σε αυτά, αλλά και σε πώς χρησιμοποιείται το GenAI. Οι επιχειρήσεις πρέπει να δουν ποια εργαλεία έχουν πρόσβαση, ποιες προτροπές εισάγονται, και εάν ευαίσθητα δεδομένα εγκαταλείπουν το περιβάλλον τους. Από εκεί, μπορούν να εφαρμόσουν τους κατάλληλους ελέγχους για να παρακολουθήσουν τις προτροπές και τις εξόδους σε πραγματικό χρόνο, να σηματοδοτήσουν κινδυνεύουσες συνεδρίες ή ανωμαλίες ροών δεδομένων, να αποκλείσουν μη εξουσιοδοτημένα εργαλεία, να φιλτράρουν ευαίσθητες προτροπές πριν φύγουν, να αποπροσωπικοποιήσουν ευαίσθητα δεδομένα καθώς εισάγονται στις προτροπές, και να επιβάλλουν ρόλους-βασισμένες περιορισμοί στις AI-οδηγούμενες επιτεύγματα.

Το GenAI είναι ένα νέο επίπεδο κινδύνου και ευκαιρίας για τις επιχειρήσεις. Η διαχείριση του απαιτεί τη στάση ότι η ασφάλεια δεν είναι ένα φρένο στην καινοτομία, αλλά η βάση που τη κάνει ασφαλή.

mm

Ο Δρ. Shashanka είναι Επικεφαλής Επιστήμονας και Συνιδρυτής για Concentric. Před加入 Concentric, ο Δρ. Shashanka υπηρέτησε ως Διευθύνων Σύμβουλος για την ομάδα Data Science και Machine Learning της Charles Schwab. Συνίδρυσε και ήταν ο Επικεφαλής Επιστήμονας για PetaSecure πριν από την αγορά τους από την Niara.

mm

Lane Sullivan serves as the Senior Vice President and Chief Information Security and Strategy Officer at Concentric AI, leading the company's global cybersecurity program and influencing product strategy to enhance enterprise data security and AI governance. Previously, Lane held the position of Senior Vice President and Chief Information Security Officer at Magellan Health, focusing on compliance within a highly regulated environment. Experience also includes directing a multi-million-dollar cybersecurity program at Ingram Content Group, and providing infrastructure leadership at C&S Wholesale Grocers. Lane's leadership roles span back to JT Investments, where operations and technology were managed, and Basin Home Health & Hospice Inc., where significant advancements in healthcare IT were achieved. Lane's educational background includes a Master's degree in Computer and Information Systems Security from Western Governors University, complementing a Bachelor's degree in IT Management from the same institution.