Использование генеративного ИИ: раскрытие кибербезопасных последствий инструментов генеративного ИИ

Можно сказать, что генеративный ИИ теперь привлёк внимание каждой совещательной комнаты и бизнес-лидера в стране. Однажды это была технология, находившаяся на периферии и трудно поддающаяся освоению, не говоря уже о её совершенствовании, но теперь двери генеративного ИИ были широко открыты благодаря приложениям, таким как ChatGPT или DALL-E. Мы теперь свидетели тотального принятия генеративного ИИ во всех отраслях и возрастных группах, когда сотрудники находят способы использовать эту технологию к своей выгоде.

Недавний опрос показал, что 29% представителей поколения Z, 28% поколения X и 27% миллениалов теперь используют инструменты генеративного ИИ в качестве части своей повседневной работы. В 2022 году широкомасштабное внедрение генеративного ИИ составляло 23%, и ожидается, что это число удвоится до 46% к 2025 году.

Генеративный ИИ – это развивающаяся технология, которая использует обученные модели для создания оригинального контента в различных формах, от написанного текста и изображений до видео, музыки и даже программного кода. Используя большие языковые модели (LLM) и огромные наборы данных, технология может мгновенно создавать уникальный контент, который почти неотличим от работы человека, и во многих случаях более точный и убедительный.

Однако, хотя бизнес всё чаще использует генеративный ИИ для поддержки своей повседневной деятельности, и сотрудники быстро осваивают эту технологию, темп внедрения и отсутствие регулирования вызывают значительные проблемы с кибербезопасностью и соблюдением нормативных требований.

Согласно одному опросу среди населения, более 80% людей обеспокоены рисками безопасности, связанными с ChatGPT и генеративным ИИ, и 52% опрошенных хотят, чтобы разработка генеративного ИИ была приостановлена, пока регулирование не догонит. Это более широкое настроение также было отражено в самих бизнесах, с 65% старших руководителей ИТ, которые не желают санкционировать беспрепятственный доступ к инструментам генеративного ИИ из-за проблем с безопасностью.

Генеративный ИИ всё ещё неизвестная неизвестность

Инструменты генеративного ИИ питаются данными. Модели, такие как те, которые используются в ChatGPT и DALL-E, обучаются на внешних или свободно доступных данных в интернете, но чтобы получить максимальную пользу от этих инструментов, пользователям необходимо делиться очень конкретными данными. Часто, когда пользователи запрашивают инструменты, такие как ChatGPT, они делятся конфиденциальной бизнес-информацией, чтобы получить точные и всесторонние результаты. Это создаёт много неизвестных для бизнеса. Риск несанкционированного доступа или непреднамеренного раскрытия конфиденциальной информации “встроен” при использовании свободно доступных инструментов генеративного ИИ.

Этот риск сам по себе не обязательно плох. Проблема заключается в том, что эти риски ещё не были должным образом изучены. На сегодняшний день не было проведено никакого реального анализа бизнес-воздействия использования широко доступных инструментов генеративного ИИ, и глобальные правовые и нормативные рамки вокруг использования генеративного ИИ ещё не достигли никакой формы зрелости.

Регулирование всё ещё в процессе разработки

Регуляторы уже оценивают инструменты генеративного ИИ с точки зрения конфиденциальности, безопасности данных и целостности производимых ими данных. Однако, как часто бывает с новыми технологиями, нормативный аппарат для поддержки и управления их использованием отстаёт на несколько шагов. Хотя технология используется компаниями и сотрудниками повсеместно, нормативные рамки всё ещё находятся на стадии разработки.

Это создаёт явную и настоящую угрозу для бизнеса, которая в настоящее время не воспринимается достаточно серьёзно. Руководители естественно заинтересованы в том, как эти платформы будут приносить существенные бизнес-выгоды, такие как возможности для автоматизации и роста, но менеджеры по риску спрашивают, как эта технология будет регулироваться, какие могут быть юридические последствия, и как компания может стать компрометированной или раскрыть свои данные. Многие из этих инструментов свободно доступны любому пользователю с браузером и интернет-соединением, поэтому, пока они ждут, когда регулирование догонит, бизнесу необходимо очень тщательно подумать о своих собственных “правилах дома” вокруг использования генеративного ИИ.

Роль CISO в управлении генеративным ИИ

С учетом отсутствия нормативных рамок, руководители информационной безопасности (CISO) должны взять на себя важную роль в управлении использованием генеративного ИИ внутри своих организаций. Им необходимо понять, кто использует эту технологию и с какой целью, как защитить корпоративную информацию, когда сотрудники взаимодействуют с инструментами генеративного ИИ, как управлять рисками безопасности основной технологии и как сбалансировать компромиссы безопасности с ценностью, которую предлагает технология.

Это не простая задача. Необходимо провести подробные оценки рисков, чтобы определить как негативные, так и положительные результаты в результате, во-первых, развертывания технологии в официальном качестве, и, во-вторых, разрешения сотрудникам использовать свободно доступные инструменты без надзора. Учитывая легкий доступ к приложениям генеративного ИИ, CISO необходимо тщательно подумать о политике компании, касающейся их использования. Должны ли сотрудники иметь возможность использовать инструменты, такие как ChatGPT или DALL-E, чтобы облегчить свою работу? Или доступ к этим инструментам должен быть ограничен или модерирован каким-либо образом, с внутренними рекомендациями и рамками о том, как их использовать? Одна из очевидных проблем заключается в том, что даже если бы были созданы внутренние рекомендации по использованию, учитывая темп, с которым развивается технология, они, возможно, уже будут устаревшими к моменту их окончательного утверждения.

Одним из способов решения этой проблемы может быть перенос внимания от самих инструментов генеративного ИИ и сосредоточение на классификации и защите данных. Классификация данных всегда была важным аспектом защиты данных от утечки или взлома, и это справедливо и в данном случае. Она включает в себя назначение уровня чувствительности данным, который определяет, как с ними следует обращаться. Должны ли они быть зашифрованы? Должны ли они быть заблокированы, чтобы содержаться? Должны ли они быть уведомлены? Кто должен иметь к ним доступ, и где они могут быть共享ены? Сосредоточив внимание на потоке данных, а не на самом инструменте, CISO и офицеры безопасности будут иметь гораздо больше шансов смягчить некоторые из упомянутых рисков.

Как и все новые технологии, генеративный ИИ одновременно является благом и риском для бизнеса. Хотя он предлагает новые возможности, такие как автоматизация и творческая концептуализация, он также вводит сложные проблемы вокруг безопасности данных и охраны интеллектуальной собственности. Пока регулирование и правовые рамки ещё разрабатываются, бизнесу необходимо идти по тонкой грани между возможностью и риском, реализуя свои собственные контроли политики, отражающие их общую позицию безопасности. Генеративный ИИ будет стимулировать бизнес, но нам следует быть осторожными, чтобы giữать руку на руле.