思想领袖

如何应对即将到来的GenAI安全监管合规要求

mm mm
发布于

就在您认为管理GenAI的数据安全风险和控制日益增长的影子GenAI已经足够的时候,出现了一个新的问题。

监管和法律要求正在增加,组织很快需要证明他们如何处理与GenAI相关的风险。欧盟人工智能法(EU AI Act)是最明确的早期迹象。它明确将某些人工智能应用程序标记为“高风险”,并对透明度、问责制和人类监督施加了严格的要求。违反规定的处罚将是惩罚性的,按照全球收入的百分比计算,而不是固定罚款。对于跨国公司来说,这将人工智能治理从最佳实践转变为法律义务,违反规定将面临严重的后果。

在美国,联邦贸易委员会(FTC)已经明确表示,人工智能的使用将在其防止“不公平或欺骗性行为”的职责下受到审查。这意味着公司不能隐藏在技术复杂性后面。如果客户或员工被误导关于如何管理他们的数据,或者如果人工智能存在未披露的风险,高管可能会被追究责任。

早期的执法行动已经表明,监管机构愿意对那些没有适当控制就采取行动的公司进行处罚。例如,FTC对DoNotPay采取了行动,DoNotPay是一家公司,宣传了一种人工智能工具,称其为“机器人律师”,能够生成有效的法律文件和专家法律指导,发现该公司关于其人工智能能力的声明是虚假或误导性的,违反了FTC法第5节。在另一个例子中,FTC要求Everalbum公司销毁使用未经同意收集的消费者照片构建的AI模型和算法——这是对以违反用户同意和法律期望的方式使用数据的直接处罚。

在州一级,California和New York正在引领一波人工智能和隐私法的浪潮,这些法律建立在现有的框架之上,例如California消费者隐私法(CCPA)。这些法律符合更广泛的隐私要求,要求企业将人工智能治理和数据隐私视为一个单一的、集成的计划。

碰撞已经很明显。今天,消费者可以在GDPR或CCPA下要求将其个人信息从公司系统中删除。然而,没有类似的过程可以要求删除已经被GenAI模型摄取的数据。缺乏“从您的模型中删除我的数据”的选项很快将成为监管机构和企业之间的争议点。

为什么这次合规感觉更难

乍一看,监管人工智能似乎与以前的合规挑战没有太大的区别。然而,GenAI治理引入了一个新的复杂性——不可预测性。无害和有害之间的界限并不总是清晰。一个提示可以泄露专有信息,一个输出可以将机密内容带到不属于它的地方。传统的控制措施,例如DLP和权限审计,并不适用于这种速度或复杂性。

对于GDPR合规,重点是隐私。任务很简单——识别个人数据,实施控制,并记录合规。然而,GenAI使事情变得复杂,因为它不仅仅是关于数据本身,还关于数据如何转换、混搭和以意想不到的方式揭示。组织面临的风险包括Copilot暴露存储在SharePoint中的敏感电子表格,员工将专有代码粘贴到ChatGPT中进行调试脚本,以及AI生成的输出包含足够的上下文以泄露机密信息。

传统工具并非为处理GenAI安全风险和合规问题而设计。DLP规则忽略了细微差别。权限审计难以跟上协作。影子AI意味着活动发生在批准的工具之外。

安全领导者现在可以做什么

即将到来的监管挑战看起来令人生畏,但它不必让人感到不知所措。第一步是重新定义问题。GenAI不是一个新的、有风险的类别;它是一个助推器。它放大了现有的问题——例如过度的数据权限、糟糕的分类和有限的可见性——使它们更加危险。解决这些风险可以帮助满足GenAI合规要求。

CISO应该优先建立坚实的基础,而不是完美的政策,以更好地满足未来的监管要求。这包括获得对人工智能使用的可见性,应用上下文感知的数据分类,并创建适应性策略,以平衡安全性和生产力。

成功的组织将不是那些拥有最多规则书和命令的组织;而是那些拥有清晰的理解力,并具有满足合规要求的保护措施的组织。以下是需要遵循的关键步骤:

  1. 评估可见性。 确定GenAI的使用位置,包括影子GenAI。避免等到发生事件才发现财务已经将预测粘贴到ChatGPT中。
  2. 使用上下文进行分类。 超越正则表达式或文件名。语义分类可以帮助识别plan_final.docx是否无害或高度敏感。
  3. 收紧权限。 最小权限不应是可选的;它对于保持合规性和防止Copilot将敏感的董事会议程暴露给实习生至关重要。过度共享的文件夹是风险和未来合规违规的常见来源。
  4. 将输出视为输入。 人工智能生成的文本可以泄露的可能性与提示一样。审计和监控它如何在下游共享。
  5. 开发适应性合规策略。 今天编写的政策可能在六个月后变得无效。

对于高管来说,信息很明确。监管压力正在比许多人预期的更快地推进,等待标准稳定下来不是一个可行的计划。治理框架必须现在就建立,不仅要减少风险,还要向监管机构、客户和董事会展示人工智能的采用是故意和负责任的。

mm

沙尚卡博士是Concentric的首席科学家和联合创始人。在加入Concentric之前,沙尚卡博士曾担任Charles Schwab数据科学和机器学习团队的管理总监。他曾是PetaSecure的联合创始人和首席科学家,后来PetaSecure被Niara收购。

mm

Lane Sullivan serves as the Senior Vice President and Chief Information Security and Strategy Officer at Concentric AI, leading the company's global cybersecurity program and influencing product strategy to enhance enterprise data security and AI governance. Previously, Lane held the position of Senior Vice President and Chief Information Security Officer at Magellan Health, focusing on compliance within a highly regulated environment. Experience also includes directing a multi-million-dollar cybersecurity program at Ingram Content Group, and providing infrastructure leadership at C&S Wholesale Grocers. Lane's leadership roles span back to JT Investments, where operations and technology were managed, and Basin Home Health & Hospice Inc., where significant advancements in healthcare IT were achieved. Lane's educational background includes a Master's degree in Computer and Information Systems Security from Western Governors University, complementing a Bachelor's degree in IT Management from the same institution.