Connect with us

Användning av generativ AI: Avslöjande av cybersecurity-implikationer för generativa AI-verktyg

Tankeledare

Användning av generativ AI: Avslöjande av cybersecurity-implikationer för generativa AI-verktyg

mm
Published
Updated

Det är rättvist att säga att generativ AI nu har fångat uppmärksamheten från varje styrelserum och affärsledare i landet. En gång en fringe-teknologi som var svår att hantera, för att inte tala om att bemästra, har dörrarna till generativ AI nu kastats vidöppna tack vare applikationer som ChatGPT eller DALL-E. Vi är nu vittnen till en helhjärtad omfamning av generativ AI över alla branscher och åldersgrupper när anställda figurerar ut sätt att utnyttja tekniken till sin fördel.

En nylig undersökning indikerade att 29% av Gen Z, 28% av Gen X och 27% av millenniegenerationens respondenter nu använder generativa AI-verktyg som en del av sitt dagliga arbete. 2022 var storskalig generativ AI-antagande på 23%, och den förväntas fördubblas till 46% till 2025.

Generativ AI är en ny men snabbt utvecklande teknologi som utnyttjar tränade modeller för att generera originalinnehåll i olika former, från skriven text och bilder, rakt igenom till videor, musik och till och med programkod. Med hjälp av stora språkmodeller (LLM) och enorma datamängder kan tekniken omedelbart skapa unikt innehåll som är nästan omöjligt att skilja från mänskligt arbete, och i många fall mer exakt och övertygande.

Men medan företag alltmer använder generativ AI för att stödja sin dagliga verksamhet, och anställda har varit snabba att ta till sig tekniken, har takten i antagandet och bristen på reglering väckt betydande cybersecurity- och regelefterlevnadsproblem.

Enligt en undersökning av allmänheten är mer än 80% av människor oroliga för de säkerhetsrisker som ChatGPT och generativ AI utgör, och 52% av de tillfrågade vill att generativ AI-utveckling ska pausas så att regleringar kan komma ikapp. Denna bredare inställning har också ekats av företagen själva, med 65% av seniora IT-chefer som inte vill godkänna friktionsfri åtkomst till generativa AI-verktyg på grund av säkerhetsproblem.

Generativ AI är fortfarande en okänd okänd

Generativa AI-verktyg föder på data. Modeller, såsom de som används av ChatGPT och DALL-E, är tränade på externa eller fritt tillgängliga data på internet, men för att få ut det mesta av dessa verktyg måste användare dela mycket specifik data. Ofta, när man promptar verktyg som ChatGPT, delar användare känslig affärsinformation för att få precisa, välrundade resultat. Detta skapar många okända för företag. Risken för obehörig åtkomst eller oavsiktlig avslöjande av känslig information är “inbyggd” när det gäller att använda fritt tillgängliga generativa AI-verktyg.

Denna risk i sig är inte nödvändigtvis dålig. Problemet är att dessa risker ännu inte har undersökts ordentligt. Hittills har det inte funnits någon verklig affärspåverkan av att använda allmänt tillgängliga generativa AI-verktyg, och globala juridiska och regleringsramar kring generativ AI-användning har ännu inte nått någon form av mognad.

Reglering är fortfarande ett pågående arbete

Regulatorer utvärderar redan generativa AI-verktyg i termer av sekretess, datasäkerhet och integriteten hos de data de producerar. Men, som ofta är fallet med ny teknik, är den reglerande apparaten för att stödja och styra dess användning efter med flera steg. Medan tekniken används av företag och anställda överallt, är regleringsramarna fortfarande mycket på ritbordet.

Detta skapar en tydlig och närvarande risk för företag som, för tillfället, inte tas på allvar nog. Chefer är naturligtvis intresserade av hur dessa plattformar kommer att introducera materiella affärsfördelar såsom möjligheter för automatisering och tillväxt, men riskchefer frågar hur denna teknik kommer att regleras, vad de juridiska implikationerna kan bli och hur företagsdata kan komma att äventyras eller exponeras. Många av dessa verktyg är fritt tillgängliga för alla användare med en webbläsare och en internetanslutning, så medan de väntar på att regleringen ska komma ikapp, måste företag börja tänka mycket noga på sina egna “husregler” kring generativ AI-användning.

CISO:s roll i att styra generativ AI

Med regleringsramar som fortfarande saknas, måste Chief Information Security Officers (CISO) spela en avgörande roll i att hantera användningen av generativ AI inom sina organisationer. De måste förstå vem som använder tekniken och i vilket syfte, hur man skyddar företagsinformation när anställda interagerar med generativa AI-verktyg, hur man hanterar säkerhetsriskerna med den underliggande tekniken och hur man balanserar säkerhetshandelarna med det värde tekniken erbjuder.

Detta är ingen lätt uppgift. Detaljerade riskbedömningar bör genomföras för att bestämma både negativa och positiva resultat som ett resultat av att först, distribuera tekniken i en officiell kapacitet, och andra, tillåta anställda att använda fritt tillgängliga verktyg utan tillsyn. Med tanke på den lättilgängliga naturen av generativa AI-applikationer, måste CISO:er tänka noga på företagets policy kring deras användning. Bör anställda vara fria att utnyttja verktyg som ChatGPT eller DALL-E för att göra sina jobb enklare? Eller bör åtkomsten till dessa verktyg begränsas eller modereras på något sätt, med interna riktlinjer och ramverk om hur de ska användas? Ett uppenbart problem är att även om interna användningsriktlinjer skulle skapas, med tanke på den takt som tekniken utvecklas, kan de mycket väl vara föråldrade när de är färdiga.

Ett sätt att hantera detta problem kan faktiskt vara att flytta fokus bort från generativa AI-verktyg själva och istället fokusera på dataklassificering och skydd. Dataklassificering har alltid varit en nyckelaspekt av att skydda data från att bli bruten eller läckt, och det gäller också i detta specifika användningsfall. Det handlar om att tilldela en nivå av känslighet till data, som bestämmer hur den ska behandlas. Ska den krypteras? Ska den blockeras för att innehållas? Ska den meddelas? Vem ska ha åtkomst till den, och var är tillåten att delas? Genom att fokusera på dataflödet, snarare än verktyget självt, kommer CISO:er och säkerhetschefer att ha en mycket större chans att mildra några av riskerna som nämns.

Som alla ny teknik är generativ AI både en möjlighet och en risk för företag. Medan den erbjuder spännande nya förmågor som automatisering och kreativ konceptualisering, introducerar den också komplexa utmaningar kring datasäkerhet och skydd av immateriella rättigheter. Medan reglerings- och juridiska ramverk fortfarande utarbetas, måste företag gå balansgången mellan möjlighet och risk, genom att implementera sina egna policykontroller som reflekterar deras övergripande säkerhetspostur. Generativ AI kommer att driva företag framåt, men vi bör vara försiktiga och hålla en hand på ratten.

Related Topics:
mm

Med över 25 års erfarenhet som cybersäkerhetsexpert är Chris Hetner erkänd för att ha höjt cyberrisk till C-Suite och styrelsenivå för att skydda branscher, infrastrukturer och ekonomin globalt.

Han har tjänstgjort som Senior Cybersecurity Advisor till ordföranden för United States Securities and Exchange Commission och som chef för cybersecurity för Office of Compliance Inspections and Examination vid SEC.

För närvarande är Chris ordförande för Panzuras Customer Security Advisory Council, som tillhandahåller utbildning och medvetenhet om dataresiliens med en mission att främja affärs-, operativ och finansiell samstämmighet med cybersäkerhetsriskstyrning. Panzura är ett ledande hybridmolndatahanteringsföretag.

Dessutom är han Special Advisor för Cyber Risk till National Association of Corporate Directors, ordförande för Cybersecurity och Privacy of Nasdaq Insight Council och ledamot i styrelsen för TCIG.