Використання генерації штучного інтелекту: розібрання кібербезпекових наслідків інструментів генерації штучного інтелекту

Це можна сказати, що генерація штучного інтелекту тепер привернула увагу кожного керівника компанії та бізнес-лідера в країні. Колись це була технологія, яку було важко використовувати, не кажучи вже про те, щоб оволодіти нею, але тепер двері генерації штучного інтелекту були широко відкриті завдяки застосункам, таким як ChatGPT або DALL-E. Ми зараз спостерігаємо масове прийняття генерації штучного інтелекту у всіх галузях та вікових групах, оскільки працівники знаходять способи використовувати цю технологію на свою користь.

Останнє дослідження показало, що 29% представників покоління Z, 28% представників покоління X і 27% представників покоління мілленіалів зараз використовують інструменти генерації штучного інтелекту як частина своєї щоденної роботи. У 2022 році масштабне використання генерації штучного інтелекту становило 23%, і очікується, що ця цифра подвоїться до 46% до 2025 року.

Генерація штучного інтелекту – це нова, але швидко розвивається технологія, яка використовує навчені моделі для генерації оригінального контенту у різних формах, від написаного тексту та зображень до відео, музики та навіть програмного коду. Використовуючи великі мовні моделі (LLM) та величезні набори даних, ця технологія може миттєво створювати унікальний контент, який майже не відрізняється від роботи людини, і в багатьох випадках є більш точним і привабливим.

Однак, хоча компанії все частіше використовують генерацію штучного інтелекту для підтримки своєї щоденної діяльності, а працівники швидко приймають цю технологію, темп її впровадження та відсутність регулювання викликають значні кібербезпекові та нормативні проблеми.

За даними одного дослідження серед населення, понад 80% людей турбуються про ризики безпеки, пов’язані з ChatGPT та генерацією штучного інтелекту, і 52% опитаних хочуть, щоб розвиток генерації штучного інтелекту був припинений, поки регулювання не наздожене. Ця ширша думка також була відображена самими компаніями, з 65% керівників ІТ-відділів, які не бажають схвалювати безперешкодний доступ до інструментів генерації штучного інтелекту через проблеми безпеки.

Генерація штучного інтелекту все ще є невідомим невідомим

Інструменти генерації штучного інтелекту живляться даними. Моделі, такі як ті, які використовуються в ChatGPT та DALL-E, тренуються на зовнішніх або вільно доступних даних в інтернеті, але щоб отримати максимум від цих інструментів, користувачам потрібно поділитися дуже конкретними даними. Часто, коли користувачі запитують інструменти, такі як ChatGPT, вони діляться конфіденційною бізнес-інформацією, щоб отримати точні та повні результати. Це створює багато невідомих для компаній. Ризик несанкціонованого доступу або ненавмисного розголошення конфіденційної інформації “вбудований” у використання вільно доступних інструментів генерації штучного інтелекту.

Ця ризик сам по собі не обов’язково є поганим. Проблема полягає в тому, що ці ризики ще не були належним чином досліджені. На сьогодні не було проведено жодного реального аналізу впливу використання широко доступних інструментів генерації штучного інтелекту, а глобальні юридичні та нормативні рамки щодо використання генерації штучного інтелекту ще не досягли жодної форми зрілості.

Регулювання все ще є роботою в процесі

Регулятори вже оцінюють інструменти генерації штучного інтелекту з точки зору конфіденційності, безпеки даних та цілісності даних, які вони виробляють. Однак, як часто буває з новими технологіями, нормативний апарат для підтримки та регулювання їх використання відстає на кілька кроків. Хоча технологія використовується компаніями та працівниками далеко та широко, нормативні рамки ще знаходяться на етапі розробки.

Це створює явну та поточну ризик для компаній, який на даний момент не сприймається досить серйозно. Керівники природно цікавляться тим, як ці платформи введуть матеріальні бізнес-переваги, такі як можливості автоматизації та зростання, але менеджери з ризиками запитують, як ця технологія буде регулюватися, які юридичні наслідки можуть бути, та як компанія може бути скомпрометована або розкрита. Багато з цих інструментів вільно доступні будь-якому користувачеві з браузером та інтернет-з’єднанням, тому поки регулювання не наздожене, компанії повинні почати дуже ретельно думати про свої власні “правила будинку” щодо використання генерації штучного інтелекту.

Роль CISO в управлінні генерацією штучного інтелекту

З огляду на відсутність нормативних рамок, начальники інформаційної безпеки (CISO) повинні зайняти ключову позицію в управлінні використанням генерації штучного інтелекту в своїх організаціях. їм потрібно зрозуміти, хто використовує цю технологію та з якою метою, як захистити корпоративну інформацію, коли працівники взаємодіють з інструментами генерації штучного інтелекту, як керувати ризиками безпеки основної технології та як балансувати ризики безпеки з цінністю, яку пропонує ця технологія.

Це не проста задача. Детальні оцінки ризиків повинні бути проведені для визначення як негативних, так і позитивних результатів унаслідок першого, розгортання технології в офіційному порядку, та другого, дозволу працівникам використовувати вільно доступні інструменти без нагляду. Враховуючи легкий доступ до інструментів генерації штучного інтелекту, CISO повинні ретельно подумати про компанійську політику щодо їх використання. Чи повинні працівники мати можливість використовувати інструменти, такі як ChatGPT або DALL-E, щоб полегшити свою роботу? Чи повинен доступ до цих інструментів бути обмежений або модерований якимось чином, з внутрішніми керівними принципами та рамками щодо того, як вони повинні бути використані? Одна очевидна проблема полягає в тому, що навіть якщо внутрішні керівні принци були створені, враховуючи швидкість, з якою розвивається технологія, вони можуть бути застарілими до того часу, коли вони будуть остаточно затверджені.

Одним з способів вирішення цієї проблеми може бути зміна фокусу від самих інструментів генерації штучного інтелекту до класифікації та захисту даних. Класифікація даних завжди була ключовим аспектом захисту даних від порушення або витоку, і це також справедливо в цьому конкретному випадку. Вона включає в себе призначення рівня чутливості даних, який визначає, як вони повинні бути оброблені. Чи повинні вони бути зашифровані? Чи повинні вони бути заблоковані, щоб бути обмеженими? Чи повинні вони бути повідомлені? Хто повинен мати доступ до них, і де вони можуть бути поділілися? Зосереджуючись на потоці даних, а не на самому інструменті, CISO та офіцери безпеки будуть мати значно більший шанс пом’якшити деякі з ризиків, згаданих вище.

Як і вся нова технологія, генерація штучного інтелекту є і благом, і ризиком для компаній. Хоча вона пропонує нові можливості, такі як автоматизація та творча концептуалізація, вона також вводить складні проблеми безпеки даних та захисту інтелектуальної власності. Хоча нормативні та юридичні рамки ще розробляються, компанії повинні самостійно балансувати між можливостями та ризиками, впроваджуючи自己的 політичні контролі, які відображають їх загальну позицію щодо безпеки. Генерація штучного інтелекту буде рухати бізнес вперед, але нам слід бути обережними, щоб тримати руку на кермі.