关注我们.

思想领袖

使用生成式人工智能:揭示生成式人工智能工具对网络安全的影响

mm

发布时间

 on

可以公平地说,生成式人工智能现在已经引起了国内每个董事会和商界领袖的关注。 生成式人工智能曾经是一项难以运用、更不用说掌握的边缘技术,但如今,由于 ChatGPT 或 DALL-E 等应用程序的出现,生成式人工智能的大门已经敞开。 我们现在目睹了生成式人工智能在所有行业和年龄段的广泛接受,因为员工们找到了利用该技术发挥其优势的方法。

最近 表明 29% 的 Z 世代、28% 的 X 世代和 27% 的千禧一代受访者现在使用生成式人工智能工具作为日常工作的一部分。 2022 年,大规模生成式人工智能采用率为 23%,预计到 46 年该数字将翻一番,达到 2025%。

生成式人工智能是一项新兴但快速发展的技术,它利用训练有素的模型生成各种形式的原始内容,从书面文本和图像,一直到视频、音乐,甚至软件代码。 使用大型语言模型 (LLM) 和庞大的数据集,该技术可以立即创建与人类工作几乎无法区分的独特内容,并且在许多情况下更加准确和引人注目。

然而,尽管企业越来越多地使用生成式人工智能来支持其日常运营,并且员工也很快接受了它,但采用的速度和缺乏监管引发了严重的网络安全和监管合规问题。

据一个人说 在普通民众中,超过 80% 的人担心 ChatGPT 和生成式人工智能带来的安全风险,52% 的受访者希望暂停生成式人工智能的开发,以便监管能够跟上。 这种更广泛的情绪也得到了企业本身的回应 65% 的高级 IT 领导者 出于安全考虑,不愿容忍对生成式人工智能工具的无障碍访问。

生成式人工智能仍然是一个未知数

生成式人工智能工具以数据为基础。 ChatGPT 和 DALL-E 使用的模型是根据外部或互联网上免费提供的数据进行训练的,但为了充分利用这些工具,用户需要共享非常具体的数据。 通常,在使用 ChatGPT 等工具时,用户会共享敏感的业务信息,以获得准确、全面的结果。 这给企业带来了很多未知数。 在使用免费的生成式人工智能工具时,未经授权的访问或意外披露敏感信息的风险是“根深蒂固”的。

这种风险本身并不一定是坏事。 问题是这些风险尚未得到适当探讨。 迄今为止,还没有对使用广泛使用的生成式人工智能工具进行真正的业务影响分析,并且围绕生成式人工智能使用的全球法律和监管框架尚未达到任何形式的成熟。

监管工作仍在进行中

监管机构已经在评估生成式人工智能工具的隐私、数据安全及其生成数据的完整性。 然而,正如新兴技术经常出现的情况一样,支持和管理其使用的监管机构落后了几步。 尽管该技术已被广泛的公司和员工使用,但监管框架仍处于设计阶段。

这给企业带来了明显而现实的风险,但目前尚未得到应有的重视。 高管们自然感兴趣的是这些平台将如何带来实质性的业务收益,例如自动化和增长的机会,但风险经理们正在询问这项技术将如何监管,最终可能产生什么法律影响,以及公司数据如何可能受到损害或暴露。 其中许多工具都可供任何拥有浏览器和互联网连接的用户免费使用,因此在等待监管赶上的同时,企业需要开始非常仔细地考虑自己关于生成人工智能使用的“内部规则”。

CISO 在治理生成式人工智能中的作用

由于监管框架仍然缺乏,首席信息安全官 (CISO) 必须在管理组织内生成式人工智能的使用方面发挥关键作用。 他们需要了解谁在使用该技术以及出于什么目的,当员工与生成式人工智能工具交互时如何保护企业信息,如何管理底层技术的安全风险,以及如何平衡安全权衡与价值技术提供。

这不是一件容易的事。 应进行详细的风险评估,以确定首先以官方身份部署该技术的负面和正面结果,其次允许员工在不受监督的情况下免费使用可用的工具。 鉴于生成式人工智能应用程序易于访问的性质,首席信息安全官需要仔细考虑有关其使用的公司政策。 员工是否应该可以自由地利用 ChatGPT 或 DALL-E 等工具来让他们的工作变得更轻松? 或者是否应该以某种方式限制或调节对这些工具的访问,并制定关于如何使用这些工具的内部指南和框架? 一个明显的问题是,即使要创建内部使用指南,考虑到技术发展的速度,它们很可能在最终确定时就已经过时了。

解决这个问题的一种方法实际上可能是将注意力从生成式人工智能工具本身转移,而是专注于数据分类和保护。 数据分类一直是保护数据免遭破坏或泄露的一个关键方面,在这个特定的用例中也是如此。 它涉及分配数据的敏感度级别,这决定了如何处理数据。 应该加密吗? 是否应该阻止并收容? 是否应该通知? 谁应该有权访问它,以及允许在哪里共享? 通过关注数据流而不是工具本身,首席信息安全官和安全官员将有更大的机会减轻所提到的一些风险。

与所有新兴技术一样,生成式人工智能对企业来说既是福音,也是风险。 虽然它提供了自动化和创意概念化等令人兴奋的新功能,但它也带来了一些围绕数据安全和知识产权保护的复杂挑战。 虽然监管和法律框架仍在讨论中,但企业必须自己承担起把握机会和风险之间的界限,实施反映其整体安全态势的自己的政策控制。 生成式人工智能将推动业务向前发展,但我们应该小心地把一只手放在方向盘上。

Chris Hetner 拥有超过 25 年的网络安全专家经验,因将网络风险提升至最高管理层和董事会级别以保护全球工业、基础设施和经济而受到认可。

他曾担任美国证券交易委员会主席的高级网络安全顾问以及美国证券交易委员会合规检查和审查办公室的网络安全主管。

目前,Chris 是 Panzura 客户安全咨询委员会的主席,该委员会提供有关数据弹性的教育和意识,其使命是推动业务、运营和财务与网络安全风险治理的协调。 Panzura 是一家领先的混合多云数据管理公司。

此外,他还是全国公司董事协会网络风险特别顾问、纳斯达克洞察委员会网络安全和隐私主席以及 TCIG 董事会成员。