An ninh mạng
Trí tuệ nhân tạo đã ở trong doanh nghiệp của bạn. Nếu bạn không bảo mật nó, bạn sẽ bị tụt lại phía sau
Dù bạn đã chính thức triển khai trí tuệ nhân tạo (AI) trên toàn tổ chức hay chưa, nó đã có mặt trong doanh nghiệp của bạn. Nhân viên đang sử dụng ChatGPT để soạn thảo tài liệu, có khả năng tải dữ liệu nhạy cảm lên các công cụ trực tuyến để tăng tốc phân tích và dựa vào các công cụ tạo ra để rút ngắn mọi thứ từ mã đến dịch vụ khách hàng. Trí tuệ nhân tạo đang diễn ra với hoặc không có bạn, và điều đó nên khiến các giám đốc an ninh thông tin (CISO) mất ngủ.
Sự phổ biến im lặng của các công cụ trí tuệ nhân tạo chưa được kiểm tra trên mọi phòng ban đã tạo ra một lớp shadow IT mới, đang phát triển nhanh. Nó phân cấp, hầu như vô hình và đầy rủi ro. Từ việc vi phạm tuân thủ đến rò rỉ dữ liệu và việc ra quyết định không thể theo dõi, hậu quả của việc bỏ qua làn sóng sử dụng trí tuệ nhân tạo này là có thật. Tuy nhiên, nhiều công ty vẫn nghĩ rằng họ có thể ngăn chặn nó bằng chính sách hoặc tường lửa.
Sự thật là trí tuệ nhân tạo không thể bị chặn. Nó chỉ có thể được bảo mật. Và càng sớm công ty chấp nhận điều đó, họ sẽ bắt đầu đóng các khoảng trống nguy hiểm mà trí tuệ nhân tạo đã mở ra.
Trí tuệ nhân tạo bóng tối đang xâm nhập vào các tổ chức, và đó là một điểm mù an ninh
Chúng ta đã thấy mẫu này trước đây. Việc áp dụng đám mây đã cất cánh vào đầu những năm 2010 chính xác như vậy, với các đội ngũ tiếp cận các công cụ giúp họ di chuyển nhanh hơn, thường không có sự chấp thuận của đội ngũ an ninh. Nhiều đội ngũ an ninh đã cố gắng chống lại sự thay đổi, chỉ để bị buộc phải dọn dẹp phản ứng một lần khi các vi phạm, cấu hình sai hoặc thất bại tuân thủ xảy ra.
Hôm nay, điều tương tự đang xảy ra với trí tuệ nhân tạo. Theo Báo cáo tình trạng an ninh trí tuệ nhân tạo năm 2024 của chúng tôi, hơn một nửa các tổ chức đang sử dụng trí tuệ nhân tạo để phát triển các ứng dụng tùy chỉnh của riêng họ, và yet ít tổ chức có cái nhìn tổng quan về nơi các mô hình đó sống, cách chúng được cấu hình hoặc liệu chúng có暴露 dữ liệu nhạy cảm hay không.
Điều này tạo ra hai rủi ro:
- Nhân viên sử dụng các công cụ công cộng để truy cập dữ liệu độc quyền hoặc nhạy cảm, điều này暴露 thông tin đó cho các hệ thống bên ngoài mà không có sự giám sát.
- Các đội ngũ nội bộ triển khai các mô hình trí tuệ nhân tạo mà không có các biện pháp bảo mật đầy đủ, dẫn đến các lỗ hổng mà có thể bị khai thác và các thực tiễn kém mà có thể thất bại trong các cuộc kiểm tra.
Trí tuệ nhân tạo bóng tối không chỉ là một vấn đề an ninh, mà còn là một cuộc khủng hoảng quản trị. Nếu bạn không thể nhìn thấy nơi trí tuệ nhân tạo đang được sử dụng, bạn không thể quản lý cách nó được đào tạo, dữ liệu nào nó có thể truy cập hoặc đầu ra nào nó tạo ra. Và nếu bạn không theo dõi các quyết định của trí tuệ nhân tạo, bạn sẽ mất khả năng giải thích hoặc bảo vệ chúng, khiến bạn dễ bị tổn thương bởi rủi ro quản lý, danh tiếng hoặc hoạt động.
Tại sao các công cụ an ninh truyền thống không đủ
Hầu hết các công cụ an ninh không được thiết kế để xử lý trí tuệ nhân tạo. Chúng không nhận ra các artifact của mô hình, không thể quét các đường dẫn dữ liệu cụ thể của trí tuệ nhân tạo và không biết cách theo dõi các tương tác của mô hình ngôn ngữ lớn (LLM) hoặc thực thi quản trị mô hình. Ngay cả các công cụ tồn tại cũng có xu hướng tập trung vào các mảnh nhỏ của câu đố, để lại các tổ chức phải vật lộn với các giải pháp điểm mà không có cái nhìn tổng quan.
Đó là một vấn đề. An ninh trí tuệ nhân tạo không thể là một ý nghĩ sau khi hoặc một giải pháp bổ sung. Nó phải được xây dựng vào cách bạn quản lý môi trường đám mây của mình, bảo vệ dữ liệu của mình và cấu trúc các đường ống DevSecOps của mình. Nếu không, bạn sẽ đánh giá thấp tầm quan trọng trung tâm của trí tuệ nhân tạo đối với hoạt động của mình và bỏ lỡ cơ hội bảo mật nó như một phần cốt lõi của cơ sở hạ tầng kinh doanh của mình.
Huyền thoại về “chỉ cần chặn nó” phải kết thúc
Có vẻ hấp dẫn khi nghĩ rằng bạn có thể giải quyết vấn đề này bằng cách cấm các công cụ trí tuệ nhân tạo của bên thứ ba hoặc thí nghiệm nội bộ. Nhưng đó là một suy nghĩ mong muốn. Đơn giản là, nhân viên ngày nay đang sử dụng các công cụ trí tuệ nhân tạo để hoàn thành công việc của mình nhanh hơn. Và họ không làm điều đó một cách độc hại, họ làm điều đó vì nó hiệu quả.
Trí tuệ nhân tạo là một nhân tố nhân lên và mọi người sẽ tiếp cận nó miễn là nó giúp họ đáp ứng thời hạn, giảm bớt công việc hoặc giải quyết vấn đề nhanh hơn.
Thử nghiệm để chặn hành vi đó một cách thẳng thừng sẽ không dừng lại. Nó sẽ chỉ đẩy nó sâu hơn vào地下. Và khi điều gì đó xảy ra sai, bạn sẽ ở trong vị trí tồi tệ nhất có thể với không có tầm nhìn, không có chính sách và không có kế hoạch phản ứng.
Chấp nhận trí tuệ nhân tạo một cách chiến lược, bảo mật và minh bạch
Cách tiếp cận thông minh hơn là chấp nhận trí tuệ nhân tạo một cách chủ động, nhưng theo điều kiện của bạn. Điều đó bắt đầu với ba điều:
-
Cung cấp cho nhân viên các lựa chọn an toàn và được chấp thuận. Nếu bạn muốn chuyển hướng sử dụng khỏi các công cụ rủi ro, bạn cần cung cấp các giải pháp thay thế bảo mật. Cho dù đó là các mô hình ngôn ngữ lớn nội bộ, các công cụ của bên thứ ba được kiểm tra hoặc các trợ lý trí tuệ nhân tạo tích hợp trong các hệ thống cốt lõi, thì chìa khóa là đáp ứng nhân viên ở nơi họ đang ở, với các công cụ vừa nhanh vừa bảo mật.
-
Thiết lập các chính sách rõ ràng và thực thi chúng. Quản trị trí tuệ nhân tạo cần phải cụ thể, có thể thực hiện và dễ dàng theo dõi. Loại dữ liệu nào có thể được chia sẻ với các công cụ trí tuệ nhân tạo? Những ranh giới đỏ là gì? Ai chịu trách nhiệm xem xét và phê duyệt các dự án trí tuệ nhân tạo nội bộ? Xuất bản các chính sách của bạn và đảm bảo các cơ chế thực thi, cả kỹ thuật và thủ tục, đã được thiết lập.
-
Đầu tư vào khả năng hiển thị và giám sát. Bạn không thể bảo mật những gì bạn không thể nhìn thấy. Bạn cần các công cụ có thể phát hiện việc sử dụng trí tuệ nhân tạo bóng tối, xác định các khóa truy cập bị lộ, đánh dấu các mô hình bị cấu hình sai và nhấn mạnh nơi dữ liệu nhạy cảm có thể bị rò rỉ vào các tập dữ liệu đào tạo hoặc đầu ra. Quản lý tư thế trí tuệ nhân tạo đang trở nên quan trọng như quản lý tư thế bảo mật đám mây.
Các CISO cần dẫn đầu sự chuyển đổi này
Dù bạn có thích hay không, đây là một khoảnh khắc định hình cho lãnh đạo an ninh. Vai trò của CISO không chỉ là bảo vệ cơ sở hạ tầng nữa. Nó đang trở thành việc cho phép đổi mới một cách an toàn, điều đó có nghĩa là giúp tổ chức sử dụng trí tuệ nhân tạo để di chuyển nhanh hơn trong khi đảm bảo rằng an ninh, quyền riêng tư và tuân thủ được tích hợp vào mọi bước.
Điều đó có nghĩa là:
- Giáo dục hội đồng quản trị và các giám đốc điều hành về các rủi ro thực sự và rủi ro nhận thức của trí tuệ nhân tạo
- Tạo quan hệ đối tác với các đội ngũ kỹ thuật và sản phẩm để nhúng an ninh vào các triển khai trí tuệ nhân tạo sớm hơn
- Đầu tư vào các công cụ hiện đại hiểu cách các hệ thống trí tuệ nhân tạo hoạt động
- Xây dựng một văn hóa nơi sử dụng trí tuệ nhân tạo có trách nhiệm là công việc của mọi người
Các CISO không cần phải là chuyên gia trí tuệ nhân tạo trong phòng, nhưng họ cần phải là những người đặt câu hỏi đúng. Mô hình nào chúng ta đang sử dụng? Dữ liệu nào đang nuôi chúng? Các rào cản nào đang được đặt ra? Chúng ta có thể chứng minh được không?
Kết luận: Việc không làm gì cả là rủi ro lớn nhất
Trí tuệ nhân tạo đã thay đổi cách các doanh nghiệp của chúng ta hoạt động. Cho dù đó là các đội ngũ dịch vụ khách hàng soạn thảo trả lời nhanh hơn, các đội ngũ tài chính phân tích dự báo hoặc các nhà phát triển tăng tốc luồng làm việc, trí tuệ nhân tạo đã được tích hợp vào công việc hàng ngày. Bỏ qua thực tế đó không làm chậm việc áp dụng, nó chỉ mời gọi các điểm mù, rò rỉ dữ liệu và thất bại quản lý.
Con đường nguy hiểm nhất là không hành động. Các CISO và các lãnh đạo an ninh phải chấp nhận điều đã rõ ràng: Trí tuệ nhân tạo đã có mặt. Nó đang trong hệ thống của bạn, trong các quy trình làm việc của bạn và nó sẽ không biến mất. Câu hỏi là liệu bạn sẽ bảo mật nó trước khi nó gây ra thiệt hại mà bạn không thể khắc phục.
Chấp nhận trí tuệ nhân tạo, nhưng không bao giờ mà không có tư duy an ninh trước. Đó là cách duy nhất để ở phía trước những gì đang đến tiếp theo.
