Connect with us

การเปิดเผยความไม่ปลอดภัยใหม่ของการนำ GenAI มาใช้อย่างรวดเร็วที่องค์กรต้องจัดการ

ผู้นำทางความคิด

การเปิดเผยความไม่ปลอดภัยใหม่ของการนำ GenAI มาใช้อย่างรวดเร็วที่องค์กรต้องจัดการ

mm mm
Published
Updated

ปัญญาประดิษฐ์เชิงสร้างสรรค์ (GenAI) ได้พัฒนาจากความสนใจเป็นศูนย์กลางของเทคโนโลยีองค์กร โดยความสามารถในการสร้างข้อความ รหัส ภาพ และข้อมูลเชิงลึกตามความต้องการได้ ทำให้ไม่สามารถทดแทนได้สำหรับพนักงานที่ต้องการลดความซับซ้อนและเพิ่มผลผลิต แต่ด้วยนวัตกรรมและประสิทธิภาพนี้ก็เกิดการเปิดเผยความเสี่ยงอย่างมาก

ในการสนทนากับผู้บริหารและผู้นำการกำกับดูแล AI ทั่วอุตสาหกรรม มีประเด็นหนึ่งที่ปรากฏขึ้นซ้ำๆ คือ ความปลอดภัยของข้อมูลได้เปลี่ยนจากความกังวลหลักเป็นจุดสนใจหลักของกลยุทธ์ และเป็นความท้าทายที่สำคัญที่สุดของการนำ AI มาใช้ ไม่เหมือนกับซอฟต์แวร์แบบดั้งเดิมหรือแม้กระทั่งคลื่นการเรียนรู้ของเครื่องในอดีต GenAI เปลี่ยนแปลงกระบวนการรักษาความปลอดภัยของข้อมูลภายในองค์กรอย่างหลักๆ

การศึกษาของ MIT ที่เพิ่งทำ พบว่า 95% ของการนำ GenAI ไปใช้ในองค์กรล้มเหลว ไม่ใช่เพราะเทคโนโลยีไม่ดี แต่เพราะองค์กรไม่มีกรอบการกำกับดูแลและความปลอดภัยที่จำเป็นในการนำ GenAI มาใช้อย่างเหมาะสมและรับผิดชอบ ใน另一การศึกษาของ MIT ผู้นำองค์กรอ้างว่าความปลอดภัยของข้อมูลเป็นความเสี่ยงด้านธุรกิจและความปลอดภัยที่สำคัญที่สุดซึ่ง妨碍การนำ AI มาใช้อย่างรวดเร็ว นอกจากนี้ “shadow AI” ซึ่งเป็นการใช้เครื่องมือสาธารณะโดยไม่ได้รับอนุญาตจากพนักงาน ยังถือเป็นตัวขับเคลื่อนความเสี่ยงด้านข้อมูลที่เพิ่มขึ้นอย่างมากนอกเหนือจากการควบคุมขององค์กร

การเข้าถึงโดยมีสิทธิ์น้อยที่สุด (least-privilege access) เป็นแบบจำลองความปลอดภัยที่ให้สิทธิ์การเข้าถึงและอนุญาตให้ใช้เฉพาะสิ่งที่จำเป็นสำหรับการทำงานที่ถูกต้องเท่านั้น แต่ GenAI กลับเปลี่ยนพาราได้ม์ไปเลย เพราะเครื่องมือ GenAI ในองค์กรมักจะให้ผลผลิตที่สูงขึ้นเมื่อมีการเข้าถึงข้อมูลธุรกิจและบริบทธุรกิจมากขึ้น

เมื่อการนำ GenAI มาใช้เร็วขึ้น ผู้ใช้จะค้นพบการประยุกต์ใช้ GenAI ใหม่ๆ ซึ่งส่วนใหญ่เกิดขึ้นจากการทดลองและความอยากรู้อยากเห็นของพนักงาน มากกว่าการวางแผนธุรกิจจากบนลงล่าง หากองค์กรไม่สามารถกำหนดงานที่ GenAI จะถูกใช้หรือข้อมูลที่ต้องการเข้าถึงได้ ก็จะไม่สามารถตั้งค่าการเข้าถึงโดยมีสิทธิ์น้อยที่สุดได้ นอกจากนี้ หากพนักงานมีสิทธิ์เข้าถึงข้อมูลที่เหมาะสมและให้ข้อมูลนั้นเป็นข้อมูลเข้าสำหรับเครื่องมือ GenAI แต่เมื่อข้อมูลถูกดูดซับเข้าไปในโมเดลแล้ว ก็ไม่ได้รับการควบคุมโดยสิทธิ์การเข้าถึงเดิมของพนักงานอีกต่อไป แต่สามารถถูกดูดซับเข้าไปในโมเดลหรือแสดงผลในอนาคตหรือให้เข้าถึงโดยผู้ใช้รายอื่นที่ใช้เครื่องมือเดียวกัน เนื่องจาก GenAI ไม่ได้รับการควบคุมโดยการเข้าถึงข้อมูลเดิม จึงทำให้การเข้าถึงโดยมีสิทธิ์น้อยที่สุดไม่สามารถบังคับใช้ได้

การเปิดเผยความไม่ปลอดภัยของ GenAI ที่ควรพิจารณา

GenAI สร้างพื้นผิวข้อมูลที่กว้างขวางและขยายตัวอย่างต่อเนื่อง ทำให้การกำกับดูแลและความปลอดภัยของข้อมูลในองค์กรมีความซับซ้อนในหลายๆ ด้าน เช่น

การรั่วไหลของข้อมูลเข้า – GenAI สามารถดูดซับข้อมูลในรูปแบบดั้งเดิม รวมถึงข้อความ ภาพ เสียง วิดีโอ และข้อมูลที่มีโครงสร้าง พนักงานสามารถให้เครื่องมือ GenAI เข้าถึงชุดข้อมูลใหม่ๆ ได้อย่างง่ายดาย โดยไม่ต้องจำกัดอยู่แค่ข้อมูลที่ถูกสร้างขึ้นและจัดระเบียบอย่างดีเท่านั้น แต่สามารถรวมถึงบันทึกการโทรขาย หมายเหตุอีเมล CRM การถอดเสียงการบริการลูกค้า และอื่นๆ ในทางปฏิบัติ พนักงานกำลังให้ข้อมูลที่มีความละเอียดอ่อนของธุรกิจ รวมถึงข้อมูลส่วนบุคคลของลูกค้า สิทธิ์ในทรัพย์สินส่วนบุคคล การคาดการณ์ทางการเงิน และแม้กระทั่งรหัสต้นฉบับ

การเปิดเผยข้อมูลออกโมเดลการสร้างสรรค์ไม่เพียงแต่ดูดซับข้อมูลเท่านั้น แต่ยังสร้างข้อมูลใหม่ขึ้นมาได้ การให้ข้อมูลเข้าสามารถดึงข้อมูลจากชุดข้อมูลต่างๆ และเปิดเผยข้อมูลนั้นให้กับผู้ใช้ที่ไม่มีสิทธิ์การเข้าถึงที่เหมาะสมได้ ในบางกรณี การสร้างข้อมูลใหม่สามารถ “หลอกลวง” ข้อมูลที่ดูเหมือนจริงแต่มีเศษของข้อมูลที่มีความละเอียดอ่อนจริงๆ

เครื่องมือ GenAI ทำงานได้ดีขึ้นเมื่อมีบริบทสำหรับงานที่ทำ As a result, not only is GenAI ingesting existing information, but users are also creating new data to guide it in the form of extensive, detailed prompts that document business context, internal processes, and other potentially sensitive or business-critical information.

การเข้าถึงโดยไม่มีการกำกับดูแลระบบองค์กรแบบดั้งเดิมต้องการการอนุมัติจากผู้ขายและการจัดเตรียมโดย IT ในปัจจุบัน GenAI ถูกฝังอยู่ใน Microsoft Office สูท เบราว์เซอร์ เครื่องมือแชท และแพลตฟอร์ม SaaS พนักงานสามารถนำ GenAI มาใช้ได้ทันทีโดยไม่ต้องผ่านการกำกับดูแล ทำให้เกิด “shadow AI” และการใช้ GenAI ที่ไม่ได้รับอนุญาตทุกครั้งเป็นเหตุการณ์การส่งออกข้อมูลที่อาจเกิดขึ้นอย่างลับๆ ในระดับใหญ่และนอกเหนือการควบคุมขององค์กร

ความเสี่ยงของห่วงโซ่อุปทานระดับที่สอง – ผู้ขายอาจดูเหมือนปลอดภัย แต่พวกเขามักจะพึ่งพาผู้รับเหมาช่วง เช่น ผู้ให้บริการคลาวด์ บริการการบันทึกข้อมูล หรือห้องปฏิบัติการ AI ของบุคคลที่สาม แต่ละรายจะนำสัญญาอนุญาตใช้งาน (EULA) และนโยบายของตนเองมาใช้ ข้อมูลที่มีความละเอียดอ่อนขององค์กรสามารถส่งผ่านมือที่ไม่เห็นได้หลายมือ แต่ความรับผิดชอบยังคงอยู่กับองค์กรเท่านั้น ตัวอย่างเช่น องค์กรอาจมีผู้ขายที่ผ่านกระบวนการอนุมัติแล้ว แต่ผู้ขายนั้นใช้เครื่องมือ GenAI ที่อาจทำให้ข้อมูลขององค์กรมีการใช้เป็นข้อมูลฝึกอบรม ซึ่งมีผลกระทบอย่างมากต่อกระบวนการหลัง

ช่องว่างในการกำกับดูแลข้อมูลฝึกอบรม – เมื่อข้อมูลเข้าไปในโมเดล AI แล้ว การควบคุมจะสิ้นสุดลง องค์กรไม่สามารถดึงข้อมูลหรือกำกับดูแลการใช้ข้อมูลได้อย่างง่ายดาย ความรู้ที่เป็นเจ้าของอาจยังคงอยู่และปรากฏในผลลัพธ์หลังจากที่แหล่งที่มาถูกลืมไปแล้ว เรายังไม่พบเครื่องมือ GenAI ที่ใดที่ให้ความสามารถในการขอถอดข้อมูลที่ดูดซับเข้าไปในโมเดลออกไป เช่นเดียวกับที่เห็นในกฎระเบียบความเป็นส่วนตัว เช่น GDPR หรือ CCPA การนำกระบวนการดังกล่าวมาใช้น่าจะไม่เกิดขึ้นจนกว่าการกำกับดูแลจะผลักดันการเปลี่ยนแปลง

ความเสี่ยงของโค้ดแอปพลิเคชัน – AI กำลังเขียนโค้ดที่เป็นพื้นฐานของระบบธุรกิจ นักพัฒนาที่ใช้เครื่องมือ GenAI เช่น Microsoft Copilot เพื่อสร้างโค้ดอาจไม่รู้ตัวว่าได้นำความไม่ปลอดภัยหรือโค้ดที่มีใบอนุญาตที่ขัดแย้งกันเข้ามาในระบบ เมื่อโค้ดถูกใช้งานแล้ว ความไม่ปลอดภัยเหล่านี้จะกลายเป็นส่วนหนึ่งของห่วงโซ่อุปทานซอฟต์แวร์

การจัดการความเสี่ยงของ GenAI

GenAI ได้ถูกฝังอยู่ในกระบวนการทำงานขององค์กรแล้ว ดังนั้นคำถามสำหรับองค์กรไม่ใช่ว่าจะนำ GenAI มาใช้หรือไม่ แต่ว่าจะนำมาใช้อย่างรับผิดชอบ การนำ GenAI มาใช้โดยไม่มีการกำกับดูแลมีความเสี่ยงต่อการละเมิดความปลอดภัยที่มีค่าใช้จ่ายสูง การถูกปรับตามกฎระเบียบ และความเสียหายต่อชื่อเสียง แต่การห้ามใช้ GenAI จะทำให้พนักงานหันไปใช้เครื่องมือที่ไม่ได้รับอนุญาต วิธีเดียวที่จะไปข้างหน้าคือการให้ความสามารถในการใช้ GenAI ที่มีการควบคุมและตรวจสอบ

การกำกับดูแล GenAI ต้องการการมองเห็นด้วยบริบทไม่เพียงแต่ข้อมูลที่องค์กรมี ที่อยู่ และใครที่สามารถเข้าถึงได้ แต่ยังรวมถึงวิธีการใช้ GenAI ด้วย องค์กรต้องการเห็นว่าเครื่องมือใดที่ถูกใช้ ข้อมูลเข้าใดที่ถูกป้อน และข้อมูลที่มีความละเอียดอ่อนออกไปนอกสภาพแวดล้อมหรือไม่ จากนั้นจึงสามารถใช้การควบคุมที่เหมาะสมเพื่อตรวจสอบข้อมูลเข้าและออกในเวลาจริง ระบุเซสชันที่มีความเสี่ยงหรือการไหลของข้อมูลที่ผิดปกติ ปิดการเข้าถึงเครื่องมือที่ไม่ได้รับอนุญาต ตัดข้อมูลเข้าที่มีความละเอียดอ่อนออกก่อนที่จะออกไป และบังคับใช้การจำกัดสิทธิ์ตามบทบาทสำหรับข้อมูลเชิงลึกที่ได้มาจาก AI

GenAI คือชั้นใหม่ของความเสี่ยงและโอกาสสำหรับองค์กร การจัดการมันต้องการทัศนคติที่ว่าความปลอดภัยไม่ใช่การห้ามนวัตกรรม แต่เป็นพื้นฐานที่ทำให้การนวัตกรรมปลอดภัย

mm

ดร. Shashanka เป็น Chief Scientist และ Co-Founder ของ Concentric ก่อนที่จะเข้าร่วม Concentric ดร. Shashanka曾任 Managing Director สำหรับทีม Data Science และ Machine Learning ของ Charles Schwab เขาเป็นผู้ร่วมก่อตั้งและเป็น Chief Scientist ของ PetaSecure ก่อนที่จะถูกซื้อโดย Niara

mm

Lane Sullivan serves as the Senior Vice President and Chief Information Security and Strategy Officer at Concentric AI, leading the company's global cybersecurity program and influencing product strategy to enhance enterprise data security and AI governance. Previously, Lane held the position of Senior Vice President and Chief Information Security Officer at Magellan Health, focusing on compliance within a highly regulated environment. Experience also includes directing a multi-million-dollar cybersecurity program at Ingram Content Group, and providing infrastructure leadership at C&S Wholesale Grocers. Lane's leadership roles span back to JT Investments, where operations and technology were managed, and Basin Home Health & Hospice Inc., where significant advancements in healthcare IT were achieved. Lane's educational background includes a Master's degree in Computer and Information Systems Security from Western Governors University, complementing a Bachelor's degree in IT Management from the same institution.