Connect with us

Tankeledere

Ansettelse av generativ AI: Avdekning av cybersikkerhetsimplikasjonene av generative AI-verktøy

mm
Published
Updated

Det er rettferdig å si at generativ AI nå har fanget oppmerksomheten til hver styrerom og forretningsleder i landet. En gang en randteknologi som var vanskelig å beherske, mye mindre mestre, er dørene til generativ AI nå blitt kastet åpne takket være applikasjoner som ChatGPT eller DALL-E. Vi er nå vitne til en helhetlig omfavnelse av generativ AI på tvers av alle bransjer og aldersgrupper, ettersom ansatte finner måter å utnytte teknologien til sin fordel.

En nylig undersøkelse viste at 29% av Gen Z, 28% av Gen X og 27% av millennarie-respondenter nå bruker generative AI-verktøy som en del av sin daglige arbeid. I 2022 var storstilt generativ AI-tilpasning på 23%, og dette tallet forventes å doble til 46% innen 2025.

Generativ AI er en ny, men raskt utviklende teknologi som utnytter trenede modeller til å generere originalt innhold i forskjellige former, fra skrevet tekst og bilder, til videoer, musikk og selv software-kode. Ved å bruke store språkmodeller (LLM) og enorme datamengder, kan teknologien umiddelbart skape unikt innhold som er nesten umulig å skille fra menneskelig arbeid, og i mange tilfeller mer nøyaktig og overbevisende.

Men mens bedrifter i økende grad bruker generativ AI til å støtte sine daglige operasjoner, og ansatte har vært raskt på oppdagelsen, har tempoet i tilpasningen og mangelen på reguleringer ført til betydelige cybersikkerhets- og regulatoriske overholdelsesproblemer.

Ifølge en undersøkelse av den generelle befolkningen, er over 80% av menneskene bekymret for sikkerhetsrisikoen som utgjøres av ChatGPT og generativ AI, og 52% av de avstemte ønsker at utviklingen av generativ AI skal pauses så reguleringer kan holde tritt. Denne videre holdningen har også blitt echoet av bedrifter selv, med 65% av senior IT-ledere som ikke er villige til å godkjenne fri tilgang til generative AI-verktøy på grunn av sikkerhetsproblemer.

Generativ AI er fortsatt et ukjent ukjent

Generative AI-verktøy er avhengige av data. Modeller, som de som brukes av ChatGPT og DALL-E, er trenet på eksterne eller fritt tilgjengelige data på internettet, men for å få mest mulig ut av disse verktøyene, må brukerne dele svært spesifikke data. Ofte, når man ber om verktøy som ChatGPT, vil brukerne dele følsom forretningsinformasjon for å få nøyaktige og grundige resultater. Dette skaper mange ukjente for bedrifter. Risikoen for uautorisert tilgang eller uventet avsløring av følsom informasjon er “innbakt” når det gjelder å bruke fritt tilgjengelige generative AI-verktøy.

Denne risikoen i seg selv er ikke nødvendigvis et dårlig ting. Problemet er at disse risikoen ikke er ordentlig utforsket. Til dags dato, har det ikke vært noen virkelig forretningsanalyse av å bruke vidt tilgjengelige generative AI-verktøy, og globale juridiske og regulatoriske rammer rundt generativ AI-bruk er fortsatt ikke modne.

Regulering er fortsatt et arbeide i gang

Regulatorer vurderer allerede generative AI-verktøy i forhold til personvern, datasikkerhet og integriteten til dataene de produserer. Men, som ofte er tilfelle med nye teknologier, er regulatoriske apparatet som skal støtte og styre bruken, flere skritt bak. Mens teknologien brukes av bedrifter og ansatte over hele verden, er regulatoriske rammer fortsatt på tegnebrettet.

Dette skaper en klar og nåværende risiko for bedrifter som, for øyeblikket, ikke tas like alvorlig som den burde. Ledere er naturlig interessert i hvordan disse plattformene vil introdusere materielle forretningsgevinster som automatisering og vekst, men risikostyrmenn spør hvordan denne teknologien vil bli regulert, hva de juridiske implikasjonene kan bli, og hvordan bedriftens data kan bli kompromittert eller avdekket. Mange av disse verktøyene er fritt tilgjengelige for alle brukere med en nettleser og en internettforbindelse, så mens de venter på at reguleringen skal holde tritt, må bedrifter begynne å tenke svært nøye om sine egne “husregler” rundt generativ AI-bruk.

Rollen til CISO i å styre generativ AI

Med regulatoriske rammer som fortsatt mangler, må Chief Information Security Officers (CISO) spille en avgjørende rolle i å styre bruken av generativ AI innenfor sine organisasjoner. De må forstå hvem som bruker teknologien og til hvilket formål, hvordan å beskytte bedriftens informasjon når ansatte samhandler med generative AI-verktøy, hvordan å håndtere sikkerhetsrisikoen til den underliggende teknologien, og hvordan å balansere sikkerhetstransaksjonene med verdien teknologien tilbyr.

Dette er ingen enkel oppgave. Detaljerte risikovurderinger bør utføres for å bestemme både negative og positive resultater som følge av først, å deployere teknologien i en offisiell kapasitet, og andre, å tillate ansatte å bruke fritt tilgjengelige verktøy uten tilsyn. Gitt den enkle tilgangen til generative AI-applikasjoner, må CISO-er tenke nøye om bedriftens politikk rundt bruken. Bør ansatte være fri til å utnytte verktøy som ChatGPT eller DALL-E for å gjøre jobben sin enklere? Eller bør tilgangen til disse verktøyene være begrenset eller moderert på noen måte, med interne retningslinjer og rammer om hvordan de skal brukes? Et åpenbart problem er at selv om interne bruksretningslinjer skulle bli laget, gitt tempoet teknologien utvikler seg, kan de godt være foreldet når de er finalisert.

En måte å løse dette problemet på kan faktisk være å flytte fokus bort fra generative AI-verktøy selv, og i stedet fokusere på dataklassifisering og -beskyttelse. Dataklassifisering har alltid vært et viktig aspekt ved å beskytte data fra å bli brutt eller lekket, og det gjelder også i dette spesifikke brukstilfelle. Det innebærer å tildele en sensitivitetsnivå til data, som bestemmer hvordan den skal behandles. Bør den krypteres? Bør den blokkeres for å være innholdt? Bør den varsles? Hvem skal ha tilgang til den, og hvor er det tillatt å dele? Ved å fokusere på datastrømmen, i stedet for verktøyet selv, vil CISO-er og sikkerhetsoffiserer stå en mye større sjans til å mildne noen av risikoen nevnt.

Som alle nye teknologier, er generativ AI både en velsignelse og en risiko for bedrifter. Mens den tilbyr spennende nye muligheter som automatisering og kreativ konseptualisering, introduserer den også komplekse utfordringer rundt datasikkerhet og beskyttelse av immaterielle rettigheter. Mens regulatoriske og juridiske rammer fortsatt er under utvikling, må bedrifter selv gå en fin linje mellom mulighet og risiko, og implementere sine egne politikkontroller som reflekterer deres totale sikkerhetspostur. Generativ AI vil drive bedriftene fremover, men vi bør være forsiktige og holde en hånd på rattet.

Related Topics:
mm

Med over 25 års erfaring som ekspert på cybersikkerhet, er Chris Hetner anerkjent for å øke cyberrisiko til C-Suite og styrenivå for å beskytte industrier, infrastrukturer og økonomier verden over.

Han tjenestegjorde som senior rådgiver for cybersikkerhet for formannen i United States Securities and Exchange Commission og som sjef for cybersikkerhet i Office of Compliance Inspections and Examination ved SEC.

For tiden er Chris leder av Panzuras Customer Security Advisory Council, som gir utdanning og oppmerksomhet om dataresiliens med en misjon om å fremme forretnings-, operasjonell- og finansiell tilpasning til cyberrisikostyring. Panzura er et ledende hybridt multi-cloud dataadministrasjonsselskap.

I tillegg er han spesialrådgiver for cyberrisiko til National Association of Corporate Directors, leder av Cybersecurity and Privacy of Nasdaq Insight Council, og medlem av styret i TCIG.