本文來自微信公眾號“GoUpSec”。
影子IT,即員工使用未授權IT工具的現(xiàn)象,在職場中已經(jīng)存在了幾十年?,F(xiàn)在,隨著生成式AI的野蠻生長,CISO開始意識到,他們正面臨比影子IT更加可怕的內(nèi)部威脅:影子AI。
對于企業(yè)來說,員工使用的影子AI(尤其是生成式AI)雖然可帶來生產(chǎn)力的大幅提升,但由于生成式AI自身正面臨提示注入等多種攻擊,很可能給企業(yè)帶來數(shù)據(jù)泄露、內(nèi)容安全等新興威脅。
此外,國內(nèi)外的大語言模型正在大量IT系統(tǒng)中飛速普及,很多與應用程序集成的大語言模型可以訪問外部資源(例如從其它網(wǎng)站檢索內(nèi)容),并且可能通過API調(diào)用與其他應用程序進行交互,攝入不受信任的、甚至惡意的輸入,后者可用于操縱輸出結果。因此,如果企業(yè)員工使用未經(jīng)安全評估、審核的生成式AI工具,很有可能給企業(yè)帶來意想不到的災難性后果。
影子AI已成頭號難題
根據(jù)Gartner的報告,2022年82%的數(shù)據(jù)泄露是“員工不安全或疏忽行為造成的”,而影子AI正在加速放大這種“人為因素”產(chǎn)生的威脅。
根據(jù)The Conference Board的一項調(diào)查,56%的北美企業(yè)員工在工作中使用生成式AI,但只有26%的企業(yè)制定了明確的生成式AI使用政策。在沒有制訂AI政策的企業(yè)中,使用影子AI的員工中只有40%向主管如實匯報。
很多公司都在嘗試限制或規(guī)范員工在工作中使用生成式AI的行為。但是,在提高生產(chǎn)力的“第一性”需求刺激下,多達30%的員工在沒有IT部門的許可,不計后果地使用生成式AI,也就是所謂的影子AI。
影子AI的治理難題
根據(jù)Gartner的報告,三分之一的成功網(wǎng)絡攻擊來自影子IT,給企業(yè)造成數(shù)百萬美元的損失。此外,91%的IT專業(yè)人員表示在壓力迫使下犧牲安全性來加快業(yè)務運營,83%的IT團隊認為不可能強制執(zhí)行(完全清除影子IT的)網(wǎng)絡安全策略。
Gartner指出,盡管市場上有無數(shù)管控影子IT的安全解決方案(讓員工更難訪問未經(jīng)批準的工具和平臺),但去年仍有超過30%的員工報告使用了未經(jīng)授權的通信和協(xié)作工具。
如今,影子AI的治理也面臨同樣的難題。
為了對付如雨后春筍且無處不在的影子AI,企業(yè)IT和安全主管可以實施一些經(jīng)過驗證的策略,找出未經(jīng)授權的生成式AI工具,并在它們開始產(chǎn)生威脅之前將其拒之門外。CISO可以考慮采取的六大應對措施如下:
●發(fā)現(xiàn)。找出企業(yè)內(nèi)未授權使用的生成式AI工具(尤其是研發(fā)和營銷部門)。
●風險評估。對發(fā)現(xiàn)的影子IT和影子AI進行風險評估,確定它們可能帶來的風險。
●意識培訓。對員工進行生成式AI的專項安全意識培訓,宣貫生成式AI的潛在風險以及合規(guī)性和安全性的重要性。
●制訂生成式AI使用指南和規(guī)范,明確哪些技術和工具是被允許的,以及使用范圍和方式。
●持續(xù)監(jiān)控并定期審核評估企業(yè)中包括生成式AI在內(nèi)的新技術和應用。
●優(yōu)化與改進。不斷改進預防和治理策略,以減少未來出現(xiàn)影子AI的可能性。