本文來自微信公眾號“網(wǎng)絡(luò)研究院”。
每天的業(yè)務(wù)用戶都在嘗試使用ChatGPT和其他生成式AI工具。事實上,Gartner預(yù)測,到2025年,30%的營銷內(nèi)容將由生成式人工智能創(chuàng)建并由人類增強。
然而,像三星這樣的公司已經(jīng)發(fā)現(xiàn),不了解新技術(shù)風(fēng)險的用戶正在成為不知情的內(nèi)部威脅。因此,在沒有建立護欄的情況下匆匆忙忙可能會導(dǎo)致數(shù)據(jù)泄露和其他安全事件。
毫無疑問,生成式AI將成為企業(yè)的有用工具,但需要謹(jǐn)慎實施。
隨著非結(jié)構(gòu)化數(shù)據(jù)的激增并被納入新算法和使用它們的應(yīng)用程序中,企業(yè)必須制定能夠承受這個新時代的負(fù)責(zé)任的AI使用和數(shù)據(jù)保護戰(zhàn)略。
內(nèi)部威脅比以往任何時候都大
三星數(shù)據(jù)泄露并非孤立事件。研究表明,內(nèi)部威脅事件在過去兩年中上升了44%。
雖然總會有一定程度的人為錯誤,但這種前所未有的風(fēng)險是可以降低的。
許多CIO一直不愿為生成式AI制定規(guī)則,擔(dān)心員工會感到不信任;但是,寬松的方法會使組織容易受到暴露。
最終,IT需要在允許員工訪問他們所需的工具和數(shù)據(jù)與人們犯錯的可能性之間取得平衡。
人為錯誤是最大的安全風(fēng)險之一。保護數(shù)據(jù)的最佳方式是確保所有用戶都感到有責(zé)任并知道如何去做。
公司應(yīng)該根據(jù)員工的角色和訪問級別培訓(xùn)員工成為數(shù)據(jù)管理員。
CMO、開發(fā)人員、數(shù)據(jù)庫管理員和HR助理都將與他們處理的數(shù)據(jù)有不同的關(guān)系。
每個員工都需要了解他們帶來的風(fēng)險以及如何更好地保護數(shù)據(jù)。如果我們都是社區(qū)中活躍的公民,遵守交通法規(guī)等法規(guī)以確保安全,那么員工也需要這樣做,將數(shù)據(jù)安全和安全態(tài)度帶到他們所做的每一件事中。
根除影子IT
在某些組織中,生成式人工智能可能只是IT部門應(yīng)該監(jiān)控但并不總是具有完全可見性的數(shù)據(jù)流入和流出的無數(shù)應(yīng)用程序之一。
現(xiàn)實情況是,大多數(shù)公司都有“影子IT”設(shè)備,它允許非結(jié)構(gòu)化數(shù)據(jù)在IT環(huán)境中傳遞,既沒有說明也沒有保護。
令人震驚的是,研究發(fā)現(xiàn),42%的IT領(lǐng)導(dǎo)者表示他們至少有一半的數(shù)據(jù)處于陰影中,這意味著無法定位、管理或保護這些數(shù)據(jù)。
使用未經(jīng)批準(zhǔn)的應(yīng)用程序(例如生成式AI工具)的員工可能會在不知不覺中添加流氓IT和暗數(shù)據(jù)資產(chǎn),從而導(dǎo)致企業(yè)缺乏洞察力來防止意外數(shù)據(jù)泄露。
訪問數(shù)據(jù)和應(yīng)用程序仍然非常重要,但確保對這些資產(chǎn)有適當(dāng)?shù)目梢娦圆⒅?jǐn)慎管理訪問可以幫助企業(yè)保持平衡。
這可以在幾個不同的層面上完成:
訪問權(quán)限:IT部門應(yīng)定期更新和監(jiān)控真正需要訪問數(shù)據(jù)集或應(yīng)用程序的人員,并在角色或就業(yè)狀態(tài)發(fā)生變化時進行更新。
防止數(shù)據(jù)抓取:生成式AI工具在互聯(lián)網(wǎng)數(shù)據(jù)上進行訓(xùn)練。如果員工將敏感的公司數(shù)據(jù)放入聊天機器人中,它可能會暴露這些信息,并且它會無意中成為公共領(lǐng)域的一部分。OpenAI和Anthropic等供應(yīng)商正在努力實施隱私控制,但企業(yè)不應(yīng)等待,也不應(yīng)依賴外部人員來保護其資產(chǎn)。他們需要創(chuàng)建自己的控件。
主動可觀察性:定期掃描數(shù)據(jù)環(huán)境將有助于更好地了解威脅,從發(fā)現(xiàn)影子數(shù)據(jù)和第三方應(yīng)用程序到衡量數(shù)據(jù)如何在整個組織中流動。例如,IT專業(yè)人員可以在過度興奮的員工將數(shù)據(jù)放入第三方擴展時發(fā)現(xiàn),并采取措施補救第三方訪問并教育該員工了解他們在數(shù)據(jù)保護中的角色。
全組織的努力
防止由生成式AI引起的專有數(shù)據(jù)泄露的最佳方法是負(fù)責(zé)任地使用AI。實施平衡安全性和訪問的有意數(shù)據(jù)策略對每個組織來說都是必要的。
企業(yè)可以保護自己免受當(dāng)今的安全威脅,同時利用AI的最佳方面,但前提是數(shù)據(jù)安全成為優(yōu)先事項:協(xié)調(diào)一致的努力,包括技術(shù)護欄和問責(zé)制流程,以及在整個組織中定制的員工教育。
只有這樣,企業(yè)才能真正抵御當(dāng)今的安全威脅,同時能夠利用AI的最佳方面。