思想领袖

使用生成式 AI:解析生成式 AI 工具的网络安全影响

mm
发布于
更新于

可以说,生成式 AI 已经引起了每个董事会议室和商业领袖的关注。曾经是一种难以掌握的边缘技术,生成式 AI 的大门现在已经被广泛打开,得益于诸如 ChatGPT 和 DALL-E 之类的应用。我们现在正在见证生成式 AI 在所有行业和年龄段中被广泛采用,员工正在寻找方法来利用这项技术为自己带来优势。

最近的一项 调查 表明,29% 的 Z 世代、28% 的 X 世代和 27% 的千禧一代受访者现在使用生成式 AI 工具作为他们日常工作的一部分。2022 年,大规模生成式 AI 采用率为 23%,预计到 2025 年这一数字将增加到 46%。

生成式 AI 是一种新兴但迅速发展的技术,它利用训练模型生成各种形式的原始内容,从书面文本和图像到视频、音乐,甚至软件代码。使用大型语言模型 (LLM) 和大量数据集,这项技术可以瞬间创建几乎无法区分于人类工作的独特内容,并且在许多情况下更准确、更有说服力。

然而,虽然企业越来越多地使用生成式 AI 来支持他们的日常运营,员工也很快地接受了这项技术,但采用速度和缺乏监管已经引发了重大的网络安全和法规遵从问题。

根据一项针对普通民众的 调查,超过 80% 的人担心 ChatGPT 和生成式 AI 带来的安全风险,52% 的受访者希望生成式 AI 的开发能够暂停,以便法规能够赶上。这一更广泛的观点也得到了企业自身的回应,65% 的高级 IT 领导者不愿意允许无限制地访问生成式 AI 工具,因为担心安全问题。

生成式 AI 仍然是一个未知数

生成式 AI 工具依赖于数据。像 ChatGPT 和 DALL-E 这样的模型是使用外部或自由可用的互联网数据进行训练的,但为了充分利用这些工具,用户需要分享非常具体的数据。通常,当提示工具如 ChatGPT 时,用户会分享敏感的商业信息,以便获得准确、全面的结果。这为企业带来了很多未知数。未经授权的访问或意外泄露敏感信息的风险是“内置”的,当使用自由可用的生成式 AI 工具时。

这种风险本身并不是坏事。问题在于这些风险尚未被充分探索。到目前为止,还没有对使用广泛可用的生成式 AI 工具的商业影响进行过真正的分析,全球关于生成式 AI 使用的法律和监管框架尚未达到任何成熟度。

监管仍然是一个正在进行的工作

监管机构已经开始从隐私、数据安全和生成数据的完整性方面评估生成式 AI 工具。然而,正如往往与新兴技术相关的那样,支持和管理其使用的监管机制落后了几步。虽然这项技术被公司和员工广泛使用,但监管框架仍然处于起草阶段。

这为企业带来了明显和现实的风险,目前这种风险并没有被认真对待。高管们自然对这些平台将如何带来物质上的商业利益(如自动化和增长的机会)感兴趣,但风险管理者正在询问这项技术将如何被监管,可能的法律影响是什么,公司数据如何被泄露或暴露。由于这些工具对任何拥有浏览器和互联网连接的用户都是免费开放的,因此在等待监管赶上之前,企业需要开始认真思考他们自己的“内部规则”关于生成式 AI 的使用。

CISO 在管理生成式 AI 中的作用

由于监管框架仍然缺乏,首席信息安全官 (CISO) 必须站出来,在管理组织内生成式 AI 的使用方面发挥关键作用。他们需要了解谁在使用这项技术以及用于什么目的,如何在员工与生成式 AI 工具交互时保护企业信息,如何管理底层技术的安全风险,以及如何平衡安全权衡与这项技术提供的价值。

这并不是一项简单的任务。应该进行详细的风险评估,以确定使用这项技术的正面和负面结果,首先是在官方容量下部署这项技术,第二,允许员工在没有监督的情况下使用自由可用的工具。考虑到生成式 AI 应用的易访问性,CISO 需要认真思考公司关于使用这些工具的政策。是否应该允许员工使用诸如 ChatGPT 或 DALL-E 之类的工具来使他们的工作更容易?或者应该限制或以某种方式调节对这些工具的访问,并制定内部指南和框架关于如何使用它们?一个明显的问题是,即使内部使用指南被创建,由于这项技术的发展速度,到它们最终确定时可能已经过时。

解决这个问题的一种方法可能是将焦点从生成式 AI 工具本身转移到数据分类和保护上。数据分类一直是保护数据免受泄露或泄密的关键方面,这在这种情况下也成立。它涉及为数据分配一个敏感性级别,这决定了如何处理它。是否应该加密?是否应该被阻止或包含?是否应该被通知?谁应该可以访问它,哪里可以共享?通过关注数据流动而不是工具本身,CISO 和安全官员将有更大的机会减轻一些提到的风险。

像所有新兴技术一样,生成式 AI 既是商业的福音,也是风险。虽然它提供了令人兴奋的新功能,例如自动化和创造性概念化,但也引入了围绕数据安全和知识产权保护的复杂挑战。虽然监管和法律框架仍在被制定,企业必须自己在机会和风险之间找到平衡,实施反映其整体安全态势的政策控制。生成式 AI 将推动商业向前发展,但我们应该小心地保持控制。

mm

拥有超过25年的网络安全专家经验,Chris Hetner因将网络风险提升到C-Suite和董事会层级以保护全球各个行业、基础设施和经济而受到认可。

他曾担任美国证券交易委员会主席的高级网络安全顾问,以及证券交易委员会合规检查和审查办公室的网络安全负责人。

目前,Chris 是Panzura客户安全咨询委员会的主席,该委员会提供有关数据恢复力方面的教育和意识,旨在推进业务、运营和财务与网络安全风险治理的对齐。Panzura是一家领先的混合多云数据管理公司。

此外,他是国家公司董事协会的网络风险特别顾问,纳斯达克洞察委员会的网络安全和隐私主席,以及TCIG的董事会成员。