警惕!那些隱藏在你業務中的AI風險
責編:gltian |2024-09-24 15:39:51如今,市場上有成千上萬的生成式人工智能(GenAI)工具,每個月都有數十個新的AI應用推出。
事實上,你的員工中可能有超過一半的人已經在工作場所使用這些工具來提高生產力,隨著更多AI應用為更多用例提供服務,這種采用趨勢預計將會增長。
問題在于,這些第三方GenAI應用大多數沒有經過審查或批準用于工作,這使公司面臨嚴重風險。
IT和信息安全團隊審查和批準在公司技術生態系統內使用的第三方應用程序是有原因的——他們需要了解正在使用哪些應用程序,它們是否安全,以及是否有敏感公司數據流入這些應用程序。
他們還會考慮應用程序開發者如何處理問題,比如漏洞,以及有哪些控制措施來限制或控制訪問,以確保員工僅能訪問完成工作所需的內容。
01?GenAI會導致哪些風險?
未經授權的GenAI應用程序的采用可能會導致一系列網絡安全問題,從數據泄露到惡意軟件。這是因為你的公司不知道誰在使用什么應用程序,哪些敏感信息被輸入進去,以及這些信息一旦進入后會發生什么。
而且,并非所有應用程序都符合企業安全標準,它們還可能提供惡意鏈接,成為攻擊者滲透公司網絡、訪問你的系統和數據的入口。所有這些問題都可能導致違反監管合規、敏感數據暴露、知識產權盜竊、運營中斷和財務損失。
雖然這些應用程序提供了巨大的生產力潛力,但如果不安全地采用,它們也伴隨著嚴重的風險和潛在后果。
以下是一些例子:
市場營銷團隊使用未經授權的App,該App用AI生成驚人的圖像和視頻內容。如果團隊將敏感信息加載到應用程序中,而你機密產品發布的細節泄露了怎么辦?這可不是你想要的那種“病毒式”傳播。
項目經理使用AI驅動的筆記App來轉錄會議并提供有用的摘要。但如果筆記中包含了財報發布前關于本季度財務結果的機密討論,會發生什么?
開發人員使用Copilot和代碼優化服務來更快地構建產品。但如果從受損應用程序返回的優化代碼包含惡意腳本怎么辦?
這些只是出于好意使用GenAI無意中增加風險的幾個方式。但遏制這些技術可能會限制你的企業獲得競爭優勢的能力,所以這也不是答案。
02?如何更安全地使用GenAI?
企業可以,也應該花時間考慮如何使他們的員工能夠安全地使用這些應用程序。以下是一些考慮因素:
可見性——你無法保護你不知道的東西。IT團隊面臨的最大挑戰之一是,未經授權的應用程序很難及時響應安全事件,增加了安全漏洞的潛在風險。每個企業都必須監控第三方GenAI應用程序的使用,并了解每種工具相關的特定風險。在了解哪些工具被使用的基礎上,IT團隊需要對流入和流出公司系統的數據有可見性。這種可見性也有助于檢測安全漏洞,以便能夠快速識別和糾正。
控制——IT團隊需要有能力做出明智的決定,是否阻止、允許或限制對第三方GenAI應用程序的訪問,無論是基于每個應用程序還是利用基于風險或分類的控制。例如,你可能想要阻止所有員工訪問所有代碼優化工具,但允許開發人員訪問你的信息安全團隊評估并批準內部使用的第三方優化工具。
數據安全——你的團隊是否與應用程序共享敏感數據?IT團隊需要阻止敏感數據泄露,以保護你的數據不被濫用和盜竊。如果你的公司受到監管或受數據主權法律的約束,這一點尤其重要。在實踐中,這意味著監控發送到GenAI應用程序的數據,然后利用技術控制確保敏感或受保護的數據,如個人身份信息或知識產權,不會被發送到這些應用程序。
威脅預防——被你的團隊使用的GenAI工具表面下可能潛伏著漏洞和漏洞的可能性。鑒于許多這些工具的開發和上市速度非常快,你通常不知道所使用的模型是否基于腐敗模型構建,是否在錯誤或惡意數據上訓練,或者是否受到廣泛的AI特定漏洞的影響。建議的最佳實踐是監控和控制從應用程序流向你組織的數據,以查找惡意或可疑活動。
雖然人工智能工具帶來了難以置信的潛力,可以最大化員工的生產力,并使組織在增加收入的同時改善利潤底線,但這些工具也帶來了前所未有的復雜風險。
企業領導者和他們的IT團隊的任務是,在確保員工在使用AI工具時受到意識、可見性、控制、數據保護和威脅預防的保護的同時,賦予他們信心。
一旦你的安全團隊知道正在使用什么以及如何使用,他們就可以防止敏感數據泄露,并保護企業免受不安全或受損AI平臺內部潛伏的威脅。
來源|Forbes
編譯|鄭惠敏
審核|張羽翔