與產業中頂尖安全主管和意見領袖之一的 Patricia Titus 進行一場 Q&A。
文/Rick Grinnell·譯/酷魯
在我最近的一篇專欄中,深入探討了企業在將 AI 整合到工作場所時所面臨的挑戰,並概述了資安長應如何有效監控或控制 AI 使用的策略。重點是確保組織內部安全的生成式 AI 實踐。以下是我提出的重點建議:
l 實施 AI 訓練:導入符合公司政策和流程的 AI 訓練,使員工具備必要的技能和認知。
l 沙盒中的公共大型語言模型:在與生產環境分離的沙盒環境中安全地測試公開可用的大型語言模型(LLM),以評估其影響,而不會造成營運中斷的風險。
l 企業 AI 流量監控:密切監控企業內部的 AI 活動,以識別異常或潛在的安全威脅,並允許及時介入。
l 確保 AI 安全的防火牆功能:透過提供防火牆功能來增強安全措施,以防範潛在與人 AI 有關的漏洞。
有鑑於生成式 AI 在組織中的實施尚處於初期階段,我特地向 Patricia Titus 尋求了進一步的見解,他是我們產業裡頂尖的安全主管和思想領袖(thought leader)之一。Patricia 曾在保險公司 Markel Insurance、房屋抵押貸款公司房地美(Freddie Mac)、網路安全方案商賽門鐵克(Symantec)和 IT 解決方案商優利系統(Unisys)擔任資安長,她的見解在其同行界裡一直極具價值。我們的討論探索了資安長在這個不斷演變的環境中應該優先考慮的各個面向。
歡迎在你的社交管道上分享我們的對話,以便引起人們對於有關生成式 AI 整合至企業環境中的挑戰和機遇有所反應並進行討論。
AI 如何滲透到典型的企業中?
根據所使用的 AI 類型,許多人都仍處於探索階段,只是剛剛觸及了使用 AI 之「可能用途」的皮毛而已。一些組織將機器學習納入該範疇,這使得 AI 對話更具包容性。請記住, AI 已經存在很長的時間了,所以如何定義它便很重要。
[ 推薦文章:企業如何挖掘 AI 應用需求? ]
對於一些產業來說, AI 的好處將推動重大的策略變革,其影響將十分巨大。記錄這些計畫和使用案例將至關重要,因為這樣可以減少將來如果監管機構到訪(而他們肯定會來)時可能面臨的工作量。
有多少 AI 應用已納入公司正式計畫並獲得預算支持?
這是一個很好的問題,在回答這個問題的過程中有很多東西需要解決。如果它是某計畫的一部分,那麼批准的用途可能比許多人認為的要遠得多。我們要了解已獲批准的部分有可能含糊不清。如果你有一個數位轉型辦公室,你可能已經在計畫中的幾個方面使用了 AI 。
例如,在一般自動化中,CDO 數位長將探索使用機器人流程自動化連同現在的 AI 和機器學習來提高生產力的方法。然而,那些尚未開始數位轉型之旅的產業可能遠遠落後於當前潮流與形勢,並且可能會受到競爭對手所實施 AI 的嚴重財務衝擊。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
圍繞政策的討論是最棒的討論。我聽說有些公司為每一項轉型技術都制定了一套單獨的政策。這意味著你缺乏控制框架。對於雲端運算或 AI ,你的政策和控制是一樣的。但是,你對這些控制的實施可能會有所不同。但前提是:透過轉型技術來保護這些敏感資料。
你的隱私主管或資安長應該從一開始就參與這些投資,以確保他們提醒公司員工其有責任成為客戶、市民或企業敏感資訊的良好管理者。要實施像 AI 這樣的新功能,好的經驗法則莫過於是與 IT、法律和資安長組織合作制定指導方針。
非法使用 AI 有多少?
如果你的公司存在 shadow IT 問題,那麼私底下使用 AI 的情形也不會有什麼不同。然而,這更表明了一個更大的文化問題,但技術上是能夠解決的。一些公司即將或已經開發出方法來發現你的 AI 使用情況,並幫助你進行盤點,然後再協助你做出明智決策。
一種常見的情況是,你原本已擁有一個能解決業務問題的軟體或平台功能,突然,供應商說:「嘿,我們現在也支援 AI 。」在沒有進行風險評估的情況下加以使用聽起來很誘人,因為安全辦公室總是只會說「不」的單位,他們會阻止一切。這種情況會發生的頻率遠比我們願意承認的還要高。
許多資安長對於 AI 愛好者的回應就只是一味的阻止。我們都知道,即使心懷良善意圖的員工也會找到規避企業防火牆而使用 AI 的方法。擁抱 AI 正逢其時!
哪些領域正在使用 AI ?
在大多數公司裡, AI 主要用來讓事情變得更便利,例如撰寫績效評估或研究特定主題。許多企業不是處於探索階段,就是在創建獨特的業務使用案例並測試這些案例在應用上的理論。
有趣的是,許多人認為如果企業不跟上 AI 的潮流,它們將會關門大吉。我不確定我是否同意這一點,因為有很多企業並未正確採行數位轉型和資料分析,所以它們的底線可能會遭受打擊,但倒閉說法只是一種恐嚇手段。出於許多原因,我知道企業都在謹慎面對這個問題,尤其是在 AI 的道德使用方面為然。
[ 推薦文章:生成式 AI 企業應用與導入現況 ]
我也知道,企業必須擁有高品質的資料或經過篩選的資料來為 AI 模型提供資料,否則你的輸出將毫無價值。這意味著在這方面可能有很多工作要做。而且還存在使用資料的問題。你的隱私政策可能清楚地聲明你的資料將以一種方式使用,而使用 AI 是否構成某種差異,需要重新思考使用消費者或隱私資料(又稱之為 PII 個人身分識別資訊)所需的同意?然後,當資料變得過時或開始以不道德的方式使用時,你必須弄清楚 AI 模型何時需要重新訓練。此外,監督和非監督 AI 實施之間也存在差異。如果存在 AI 失控的風險,大多數公司將非常謹慎地讓 AI 運行取代人類的模型。
如果我用我的水晶球預測,無監督的 AI 將會執行一些粗活等級的人類任務,例如為服務中心代理分類電子郵件,以增加應急能力,這使得 AI 採用會達到鐘形曲線的頂端(亦即成為常態)。但是,當涉及到基於 AI 能做出重大財務決策而不需要人來反覆檢查時,我認為(或許希望)這還需要幾年的時間,甚至無法實現。請看看所有人都開始加入加密貨幣的行列後發生了什麼,然後再看看一度成為全球第二大加貨幣交易平台 FTX 於 2022 年因為涉及重大欺詐事件倒閉。
在安全團隊中以及大多數組織中,有多少已部署 AI ?
許多安全公司已經將機器學習和機器人流程自動化( Robotic Process Automation,RPA)整合到其工具中。當 AI 登上主流媒體頭條時,突然之間,機器學習和 RPA 都成了 AI 。許多治理機構將機器學習和 AI 混為一談,這讓我們的安全防護變得有點複雜。
究竟有多少呢?比我們想像的多,但比供應商說的少。我們將透過軟體物料清單(SBOM)的命令來解決這個問題,這將使我們從虛構轉變為事實。在所有 AI 的雜音中,我們不能忽視的是,如果我們使用它,那麼威脅行動者也會使用它。
在社交工程中使用 AI 將顛覆我們的授權和身分驗證方法。如果威脅行動者繼續以這樣的速度行動,那麼投入再多銀彈的「零信任(ZTNA)」也將毫無意義。
[ 推薦文章:產業資安聚焦、採購項目,以及零信任導入趨勢 ]
大多數安全團隊對於違背公司規定的非法使用持懷疑態度。因此,在未經適當批准和思考的情況下使用 AI 就應該不是問題。然而,這是一個與在設計合作夥伴關係中的新創公司達成合作的機會,可以更快地透過 AI 能力來解決實際問題。
再就管理 AI 使用的資安長而言,資安長需要成為公司跨職能領導團隊的一員,為員工提供指引。應制定一個治理框架和現有 AI 使用的清單。你若不希望扼殺創新,那麼你就必須為創新者打造一個安全的工作環境。資安長不應該是使用 AI 的唯一決策者。
我也不贊成為技術的採用制定不同的政策。如果你的政策和控制框架確實遵循產業標準,那麼採用什麼技術都無關緊要了。像NIST這樣的監控標準機構對於資安長來說是必需的,以確保他們的組織遵循某些框架。
資安長缺少了什麼?
許多資安長缺乏創新思維。由於他們的工作已經負擔過重,所以 AI 的複雜性攀升似乎已勢不可擋。因此,對於這樣的趨勢的快速反應就是扼殺創新。我已看到許多資安長因而封鎖和禁止使用 AI 。但這是讓他們最快被迫離開那個職位的方式。請擁抱它吧!因為 AI 不會消失。
我希望你從以上 Patricia 所分享的內容中獲得洞察和知識。作為安全領域的代言人,Patricia 的發言極具權威性。她身處於資料、雲端和安全領域的最前線,並且在理解 AI 影響力方面處於領先地位。她深深了解現況,並深知資安長們每天要處理的工作為何。正如你所看到的,在任何組織中實施 AI 都存在障礙,但也有可行的常識性策略。底線是既迅速但又要謹慎地行動,保持專注,並實施一個深思熟慮的計畫。
(本文授權非營利轉載,請註明出處:CIO Taiwan)