рд╡рд┐рдЪрд╛рд░ рдиреЗрддрд╛
рд░реИрдкрд┐рдб рдЬреЗрдирдПрдЖрдИ рдЕрдкрдирд╛рдиреЗ рдХреЗ рдирдП рд╕реБрд░рдХреНрд╖рд╛ рдПрдХреНрд╕рдкреЛрдЬрд░ рдЬрд┐рдиреНрд╣реЗрдВ рд╕рдВрдЧрдардиреЛрдВ рдХреЛ рд╕рдВрдмреЛрдзрд┐рдд рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП
जेनरेटिव एआई (जेनएआई) एक उत्सुकता से उद्यम प्रौद्योगिकी में एक केंद्रीय बल में बढ़ गया है। इसकी पाठ, कोड, छवियों और अंतर्दृष्टि को मांग पर उत्पन्न करने की क्षमता ने इसे कर्मचारियों के लिए आवश्यक बना दिया है जो जटिलता को कम करने और उत्पादकता को तेज करने के लिए उत्सुक हैं। लेकिन इस नवाचार और दक्षता के साथ जोखिम के लिए भारी एक्सपोजर आता है।
कार्यकारी अधिकारियों और एआई शासन नेताओं के साथ उद्योगों भर में कॉल में, एक विषय बार-बार सामने आता है: डेटा सुरक्षा एक प्रमुख चिंता से उनकी रणनीति के फोकल पॉइंट में चली गई है और अब एआई अपनाने की परिभाषित चुनौती है। पारंपरिक सॉफ्टवेयर या यहां तक कि मशीन लर्निंग की पिछली लहरों के विपरीत, जेनएआई संगठन के भीतर डेटा को सुरक्षित करने की प्रक्रिया को मौलिक रूप से बदलता है।
एक हालिया एमआईटी अध्ययन में पाया गया कि 95% उद्यम जेनएआई पायलट विफल हो रहे हैं। यह इसलिए नहीं है कि प्रौद्योगिकी कमजोर है; यह इसलिए है क्योंकि उद्यमों के पास जेनएआई को उचित और जिम्मेदारी से संचालित करने के लिए आवश्यक शासन और सुरक्षा ढांचे की कमी है। एक अन्य एमआईटी अध्ययन में, उद्यम नेताओं ने डेटा सुरक्षा को तेजी से एआई अपनाने को रोकने वाले शीर्ष व्यावसायिक और सुरक्षा जोखिम के रूप में उद्धृत किया। इसके अलावा, “शैडो एआई,” जो सार्वजनिक उपकरणों का अस्वीकृत कर्मचारी उपयोग है, को व्यापक रूप से डेटा जोखिमों के एक ड्राइवर के रूप में मान्यता प्राप्त है जो कॉर्पोरेट नियंत्रण से परे हैं।
न्यूनतम विशेषाधिकार पहुंच एक सुरक्षा मॉडल है जिसमें कोई भी इकाई, चाहे वह उपयोगकर्ता, कार्यक्रम या प्रक्रिया हो, केवल अपने वैध कार्यों को करने के लिए आवश्यक न्यूनतम स्तर की पहुंच और अनुमतियां प्रदान की जाती हैं। जेनएआई, हालांकि, पूरे परिदृश्य को उलट देता है: न्यूनतम विशेषाधिकार स्वयं एक प्रतिबंध बन जाता है जो इन प्रणालियों के डिजाइन के साथ संघर्ष करता है। यह इसलिए है क्योंकि उद्यम जेनएआई टूल्स व्यावसायिक डेटा और व्यावसायिक संदर्भ तक पहुंच प्राप्त करने पर उच्च उत्पादकता लाभ प्रदान करते हैं।
जैसे ही जेनएआई अपनाने में तेजी आती है, उपयोगकर्ता जेनएआई के नए अनुप्रयोगों की खोज करते रहते हैं, जिनमें से अधिकांश शीर्ष-नीचे से, व्यावसायिक-निर्देशित योजना के बजाय जैविक प्रयोग और जिज्ञासा से उत्पन्न होते हैं। यदि कोई इकाई जेनएआई का उपयोग करने के लिए कार्यों को परिभाषित नहीं कर सकती है, या यह जानती है कि यह किस प्रकार के डेटा तक पहुंच की आवश्यकता है, तो न्यूनतम विशेषाधिकार पहुंच अनुमतियां स्थापित करना असंभव हो जाता है। इसके अलावा, एक उपयोगकर्ता के पास एक डेटासेट तक उपयुक्त पहुंच हो सकती है और जेनएआई टूल को इनपुट के रूप में वैध रूप से प्रदान कर सकता है, लेकिन एक बार डेटा को अवशोषित कर लिया जाता है, तो यह उपयोगकर्ता की मूल अनुमतियों से बंधा नहीं होता है। इसके बजाय, यह मॉडल में अवशोषित किया जा सकता है, भविष्य के आउटपुट में सतह पर आ सकता है, या उसी टूल का उपयोग करने वाले अन्य लोगों के लिए सुलभ हो सकता है। चूंकि जेनएआई आवश्यक रूप से डेटा के एक्सेस कंट्रोल को विरासत में नहीं लेता है, यह प्रभावी रूप से न्यूनतम विशेषाधिकार को लागू करने योग्य बनाता है।
जेनएआई एक्सपोजर विचार करने के लिए
जेनएआई एक विशाल और विस्तारित डेटा सतह बनाता है, जो उद्यम डेटा शासन और सुरक्षा को कई जुड़े हुए तरीकों से जटिल बनाता है। इनमें शामिल हैं:
इनपुट लीक – जेनएआई अपने कच्चे रूप में, जिसमें पाठ, छवियों, ऑडियो, वीडियो और संरचित डेटा शामिल हैं, डेटा को अवशोषित कर सकता है। एंड यूजर्स अब जेनएआई टूल्स को नए डेटासेट के साथ न्यूनतम प्रयास या विशेषज्ञता के साथ निर्देशित कर सकते हैं। सावधानी से क्यूरेटेड, संरचित तालिकाओं के साथ परिभाषित स्कीमा और संबंधों के साथ सीमित नहीं होने के बजाय, ये डेटासेट बिक्री कॉल रिकॉर्डिंग, सीआरएम ईमेल नोट्स, ग्राहक सेवा लिपियों और अधिक शामिल कर सकते हैं। व्यवहार में, कर्मचारी ग्राहक पीआईआई, बौद्धिक संपदा, वित्तीय पूर्वानुमान और यहां तक कि स्रोत कोड जैसी अत्यधिक संवेदनशील व्यावसायिक जानकारी के साथ प्रोम्प्ट फीड कर रहे हैं।
आउटपुट एक्सपोजर – जनरेटिव मॉडल न केवल उपभोग करते हैं, वे सिंथेसाइज भी करते हैं। एक प्रोम्प्ट अनजाने में डेटासेट के पार से अंतर्दृष्टि आकर्षित कर सकता है और उपयोगकर्ताओं को उचित मंजूरी के बिना उजागर कर सकता है। कुछ मामलों में, आउटपुट वास्तविक, अत्यधिक संवेदनशील प्रशिक्षण सामग्री के टुकड़ों के साथ वैध दिखने वाले डेटा को “हॉलुसिनेट” कर सकते हैं।
जेनएआई टूल्स तब बेहतर प्रदर्शन करते हैं जब उन्हें कार्य के लिए संदर्भ मिलता है। नतीजतन, जेनएआई न केवल मौजूदा जानकारी को अवशोषित कर रहा है, बल्कि उपयोगकर्ता इसे मार्गदर्शन करने के लिए विस्तृत, विस्तृत प्रोम्प्ट बनाकर नई डेटा बना रहे हैं जो व्यावसायिक संदर्भ, आंतरिक प्रक्रियाओं और अन्य संभावित रूप से संवेदनशील या व्यावसायिक-महत्वपूर्ण जानकारी को दस्तावेज करते हैं।
निगरानी के बिना पहुंच – पारंपरिक उद्यम प्रणालियों के लिए विक्रेता ऑनबोर्डिंग और आईटी प्रावधान की आवश्यकता थी। आज जेनएआई माइक्रोसॉफ्ट ऑफिस सुइट्स, ब्राउज़र, चैट टूल और सास प्लेटफार्मों में हर जगह एम्बेडेड है। कर्मचारी इसे तुरंत अपना सकते हैं, शासन को पूरी तरह से बायपास कर सकते हैं। यह घर्षणहीन पहुंच “शैडो एआई” को ईंधन देती है, और जेनएआई का हर अस्वीकृत उपयोग एक संभावित डेटा एक्सफिल्ट्रेशन इवेंट है जो अदृश्य रूप से होता है, पैमाने पर और उद्यम के शासन क्षेत्र के बाहर होता है।
द्वितीय-श्रेणी की आपूर्ति श्रृंखला जोखिम – एक विक्रेता सुरक्षित दिखाई दे सकता है, लेकिन वे अक्सर क्लाउड होस्ट, एनोटेशन सेवाओं या तीसरे पक्ष के एआई प्रयोगशालाओं जैसे उप-ठेकेदारों पर निर्भर करते हैं। प्रत्येक अपने स्वयं के एंड यूजर लाइसेंस समझौते (ईयूला) और नीतियों को पेश करता है। संवेदनशील उद्यम डेटा कई अनदेखी हाथों से होकर गुजर सकता है, फिर भी जिम्मेदारी उद्यम के साथ बनी रहती है। उदाहरण के लिए, एक उद्यम के पास एक विक्रेता हो सकता है जिसने पहले अपनी ऑनबोर्डिंग प्रक्रिया पूरी की है, लेकिन उस विक्रेता ने अब एक जेनएआई टूल का उपयोग किया है जो उद्यम के डेटा को प्रशिक्षण डेटा के रूप में उपयोग करने की अनुमति दे सकता है, जिसका महत्वपूर्ण डाउनस्ट्रीम प्रभाव हो सकता है।
प्रशिक्षण डेटा में शासन की खाई – एक बार डेटा एक एआई मॉडल में प्रवेश करता है, तो नियंत्रण प्रभावी रूप से समाप्त हो जाता है। उद्यमों के लिए अपनी जानकारी का उपयोग कैसे किया जाता है, इसे वापस लेने या शासन करना आसान नहीं है। स्वामित्व ज्ञान लंबे समय तक बना रह सकता है और फिर आउटपुट में सतह पर आ सकता है, भले ही इसका स्रोत पहले ही भुला दिया गया हो। हमें अब तक कोई जेनएआई टूल नहीं मिला है जो जेनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) या कैलिफोर्निया कंज्यूमर प्राइवेसी एक्ट (सीसीपीए) जैसे गोपनीयता नियमों के समान जानकारी को हटाने के अनुरोधों की अनुमति देता है। ऐसी प्रक्रियाओं का कार्यान्वयन तब तक असंभव है जब तक कि नियम परिवर्तन को चला नहीं देता।
एप्लिकेशन कोड जोखिम – एआई व्यावसायिक प्रणालियों के नीचे कोड लिखने के लिए तेजी से लिख रहा है। माइक्रोसॉफ्ट कोपायलट जैसे जेनएआई टूल्स का उपयोग करके कोड उत्पन्न करने वाले डेवलपर अनजाने में असुरक्षित निर्भरताएं, कमजोरियों को प्रसारित कर सकते हैं या संघर्षरत ओपन-सोर्स लाइसेंस के तहत कोड एम्बेड कर सकते हैं। एक बार तैनात होने के बाद, ये कमजोरियां सॉफ्टवेयर आपूर्ति श्रृंखला में एम्बेड हो जाती हैं।
जेनएआई जोखिम को संबोधित करना
जेनएआई पहले से ही उद्यम कार्य प्रवाह में एम्बेडेड है, इसलिए उद्यमों के लिए प्रश्न यह नहीं है कि क्या इसे अपनाना है, बल्कि यह जिम्मेदारी से कैसे करना है। जेनएआई को शासन के बिना अपनाने से महंगे उल्लंघन, नियामक जुर्माना और प्रतिष्ठा की क्षति हो सकती है। लेकिन इसे ब्लॉक करने से कर्मचारी अस्वीकृत समाधानों का उपयोग करने के लिए ड्राइव होते हैं। आगे बढ़ने का एकमात्र तरीका दृश्यता और नियंत्रण में लिपटे हुए सक्षम करना है।
जेनएआई शासन के लिए संदर्भ-चालित दृश्यता की आवश्यकता होती है न केवल यह जानने के लिए कि उद्यम के पास क्या डेटा है, यह कहां रहता है और किसे इसकी पहुंच है, बल्कि यह भी कि जेनएआई का उपयोग कैसे किया जा रहा है। उद्यमों को यह देखने की आवश्यकता है कि कौन से टूल्स एक्सेस किए जा रहे हैं, कौन से प्रोम्प्ट दर्ज किए जा रहे हैं और क्या संवेदनशील डेटा उनके वातावरण से बाहर जा रहा है। वहां से, वे प्रोम्प्ट और आउटपुट की निगरानी के लिए उपयुक्त नियंत्रण लागू कर सकते हैं, जोखिम भरे सत्र या असामान्य डेटा प्रवाह को फ्लैग कर सकते हैं, अस्वीकृत टूल्स को ब्लॉक कर सकते हैं, संवेदनशील प्रोम्प्ट को फिल्टर कर सकते हैं इससे पहले कि वे बाहर निकल जाएं, प्रोम्प्ट में प्रवेश करने पर संवेदनशील डेटा को डी-आईडेंटिफाई कर सकते हैं और एआई-ड्राइवन अंतर्दृष्टि पर भूमिका-आधारित प्रतिबंध लागू कर सकते हैं।
जेनएआई एक पूरी नई परत का उद्यम जोखिम और अवसर है। इसे प्रबंधित करने के लिए सुरक्षा को नवाचार पर एक ब्रेक के रूप में नहीं बल्कि यह सुनिश्चित करने के लिए एक आधार के रूप में देखने की आवश्यकता है कि यह सुरक्षित है।
