Connect with us

Noi Expuși la Securitate ale Adoptării Rapide a GenAI pe care Organizațiile Trebuie să le Abordeze

Lideri de opinie

Noi Expuși la Securitate ale Adoptării Rapide a GenAI pe care Organizațiile Trebuie să le Abordeze

mm mm
Published
Updated

Inteligența artificială generativă (GenAI) a sărit de la o curiozitate la o forță centrală în tehnologia întreprinderilor. Capacitatea sa de a genera text, cod, imagini și insight-uri la cerere a făcut-o indispensabilă pentru angajații care doresc să taie prin complexitate și să accelereze productivitatea. Dar cu această inovație și eficiență vine o expunere masivă la risc.

În apeluri cu executivi și lideri ai guvernanței AI din diverse industrii, o temă apare în mod repetat: securitatea datelor a trecut de la o preocupare cheie la punctul focal al strategiei lor și este acum provocarea definitorie a adoptării AI. În contrast cu software-ul tradițional sau valurile anterioare de învățare automată, GenAI schimbă fundamental procesul de securizare a datelor în cadrul unei organizații.

Un studiu recent al MIT a constatat că 95% dintre proiectele-pilot GenAI ale întreprinderilor eșuează. Nu pentru că tehnologia este slabă, ci pentru că întreprinderile lipsesc de structuri de guvernanță și securitate necesare pentru a opera GenAI în mod corespunzător și responsabil. Într-un alt studiu al MIT, liderii întreprinderilor au menționat securitatea datelor ca principalul risc de business și securitate care împiedică o adoptare mai rapidă a AI. În plus, “AI-ul din umbră”, care este utilizarea neautorizată de către angajați a unor instrumente publice, este recunoscut pe scară largă ca un factor care determină creșterea riscurilor de date dincolo de controlul corporativ.

Accesul cu privilegii minime este un model de securitate în care orice entitate, fie utilizator, program sau proces, primește doar nivelul minim de acces și permisiuni necesare pentru a-și îndeplini funcțiile legitime. GenAI, însă, răstoarnă întregul paradigmă: accesul cu privilegii minime devine o constrângere care intră în conflict cu modul în care aceste sisteme sunt proiectate să funcționeze. Acest lucru se datorează faptului că instrumentele GenAI pentru întreprinderi oferă câștiguri de productivitate mai mari atunci când au acces la mai multe date de business și context de business.

Pe măsură ce adoptarea GenAI se accelerează, utilizatorii continuă să descopere noi aplicații ale GenAI, majoritatea apărând din experimentarea organică și curiozitate, mai degrabă decât din planificarea de sus în jos, condusă de business. Dacă o entitate nu poate defini sarcinile pentru care se utilizează GenAI sau tipurile de date la care are nevoie de acces, devine impracticabil să se stabilească permisiuni de acces cu privilegii minime. În plus, un utilizator poate avea acces adecvat la un set de date și poate furniza în mod legitim aceste date ca intrare pentru un instrument GenAI, dar odată ce datele sunt introduse, ele nu mai sunt legate de permisiunile originale ale utilizatorului. În schimb, pot fi absorbite în model, pot apărea în ieșiri viitoare sau pot deveni accesibile altor utilizatori care folosesc același instrument. Deoarece GenAI nu moștenește neapărat controlul accesului la date, acesta face practic imposibilă aplicarea accesului cu privilegii minime.

Expuși la Securitate GenAI de Luat în Considerare

GenAI creează o suprafață de date vastă și în continuă expansiune, complicând guvernanța și securitatea datelor de business în mai multe moduri interconectate. Acestea includ:

Scurgerea de intrare – GenAI poate ingera date în forma lor brută, inclusiv text, imagini, audio, video și date structurate. Utilizatorii finali pot direcționa acum instrumentele GenAI către noi seturi de date cu minim efort sau expertiză. În loc să fie limitate la tabele structurate, atent create, cu scheme și relații definite, aceste seturi de date pot include înregistrări de apeluri de vânzări, note de e-mail CRM, transcrieri de servicii clienți și multe altele. În practică, angajații hrănesc instrumentele GenAI cu informații de business extrem de sensibile, inclusiv PII clienți, proprietate intelectuală, previziuni financiare și chiar cod sursă.

Expunerea ieșiriiModelele generative nu consumă doar, ci și sintetizează. O intrare poate atrage involuntar insight-uri dincolo de seturi de date și le poate expune utilizatorilor fără aprobarea corespunzătoare. În unele cazuri, ieșirile pot chiar “halucina” date care par legitime, dar conțin fragmente de material de antrenament real, extrem de sensibil.

Instrumentele GenAI funcționează mai bine atunci când au context pentru sarcina de îndeplinit. Ca urmare, GenAI nu numai că ingerează informații existente, dar utilizatorii creează, de asemenea, noi date pentru a-l ghida, sub forma unor intrări detaliate și extinse care documentează contextul de business, procesele interne și alte informații potențial sensibile sau critice pentru business.

Accesibilitate fără supraveghereSistemele tradiționale de întreprindere necesitau integrare de furnizor și provisionare IT. Astăzi, GenAI este încorporat peste tot – în suite Microsoft Office, browsere, instrumente de chat și platforme SaaS. Angajații pot adopta instantaneu, ocolind guvernanța în totalitate. Acest acces fără fricțiuni alimentează “AI-ul din umbră”, iar fiecare utilizare neautorizată a GenAI reprezintă un potențial eveniment de exfiltrare a datelor care se desfășoară invizibil, la scară și în afara perimetrului de guvernanță al întreprinderii.

Riscul lanțului de aprovizionare de rang secund – Un furnizor poate părea securizat, dar adesea se bazează pe subcontractori, cum ar fi gazde de cloud, servicii de annotare sau laboratoare de AI terțe. Fiecare introduce propriile sale acorduri de licență a utilizatorului final (EULA) și politici. Datele sensibile ale întreprinderii pot trece prin multiple mâini nevăzute, însă răspunderea rămâne în mod direct cu întreprinderea. De exemplu, o întreprindere ar putea avea un furnizor care a finalizat anterior procesul de integrare, dar acel furnizor folosește acum un instrument GenAI care ar putea permite datelor întreprinderii să fie utilizate ca date de antrenament, cu impacturi semnificative în aval.

Gapuri de guvernanță în datele de antrenament – Odată ce datele intră într-un model AI, controlul efectiv se încheie. Întreprinderile nu pot retrage sau guverna cu ușurință modul în care informațiile lor sunt utilizate. Cunoașterea proprietară poate persista și apărea ulterior în ieșiri, mult timp după ce sursa a fost uitată. Nu am întâlnit niciun instrument GenAI care să permită solicitări de eliminare a informațiilor pe care le-a ingerrat, asemănător cu ceea ce se observă în reglementări de confidențialitate, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) sau Legea privind Confidențialitatea Consumatorilor din California (CCPA). Implementarea unor astfel de procese este puțin probabilă până când reglementarea va impune schimbarea.

Riscul codului de aplicație – AI-ul scrie din ce în ce mai mult codul care stă la baza sistemelor de business. Dezvoltatorii care folosesc instrumente GenAI, cum ar fi Microsoft Copilot, pentru a genera cod, pot introduce neștiut dependențe nesigure, propaga vulnerabilități sau încorpora cod sub licențe open-source conflictuale. Odată implementate, aceste slăbiciuni devin încorporate în lanțul de aprovizionare cu software.

Abordarea Riscului GenAI

GenAI este deja încorporat în fluxurile de lucru ale întreprinderilor, astfel încât întrebarea pentru întreprinderi nu este dacă să adopte, ci cum să o facă în mod responsabil. Adoptarea GenAI fără guvernanță riscă să ducă la încălcări costisitoare, penalități regulatorii și daune reputaționale. Dar blocarea acesteia doar îi determină pe angajați să utilizeze soluții neautorizate. Singura cale înainte este să se permită utilizarea, înconjurată de vizibilitate și control.

Guvernanța GenAI necesită vizibilitate bazată pe context nu numai în ceea ce privește datele pe care le are o întreprindere, unde se află și cine are acces la ele, ci și în ceea ce privește modul în care GenAI este utilizat. Întreprinderile trebuie să vadă care instrumente sunt accesate, ce intrări sunt efectuate și dacă date sensibile părăsesc mediul lor. De acolo, pot aplica controalele corespunzătoare pentru a monitoriza intrările și ieșirile în timp real, a semnala sesiuni cu risc sau fluxuri de date anormale, a bloca instrumente neautorizate, a filtra intrări sensibile înainte de a părăsi, de a de-identifica date sensibile pe măsură ce sunt introduse în intrări și a impune restricții bazate pe rol asupra insight-urilor conduse de AI.

GenAI reprezintă un strat complet nou de risc și oportunitate pentru întreprindere. Managementul acestuia necesită o mentalitate care consideră securitatea nu ca o frână pentru inovație, ci ca fundația care o face sigură.

mm

Dr. Shashanka este Șef de știință și Co-fondator pentru Concentric. Înainte de a se alătura Concentric, Dr. Shashanka a servit ca Director General pentru echipa de știință a datelor și învățare automată a lui Charles Schwab. El a co-fondat și a fost Șef de știință pentru PetaSecure înainte de a fi cumpărat de Niara.

mm

Lane Sullivan serves as the Senior Vice President and Chief Information Security and Strategy Officer at Concentric AI, leading the company's global cybersecurity program and influencing product strategy to enhance enterprise data security and AI governance. Previously, Lane held the position of Senior Vice President and Chief Information Security Officer at Magellan Health, focusing on compliance within a highly regulated environment. Experience also includes directing a multi-million-dollar cybersecurity program at Ingram Content Group, and providing infrastructure leadership at C&S Wholesale Grocers. Lane's leadership roles span back to JT Investments, where operations and technology were managed, and Basin Home Health & Hospice Inc., where significant advancements in healthcare IT were achieved. Lane's educational background includes a Master's degree in Computer and Information Systems Security from Western Governors University, complementing a Bachelor's degree in IT Management from the same institution.