本文来自微信公众号“网络研究院”。
每天的业务用户都在尝试使用ChatGPT和其他生成式AI工具。事实上,Gartner预测,到2025年,30%的营销内容将由生成式人工智能创建并由人类增强。
然而,像三星这样的公司已经发现,不了解新技术风险的用户正在成为不知情的内部威胁。因此,在没有建立护栏的情况下匆匆忙忙可能会导致数据泄露和其他安全事件。
毫无疑问,生成式AI将成为企业的有用工具,但需要谨慎实施。
随着非结构化数据的激增并被纳入新算法和使用它们的应用程序中,企业必须制定能够承受这个新时代的负责任的AI使用和数据保护战略。
内部威胁比以往任何时候都大
三星数据泄露并非孤立事件。研究表明,内部威胁事件在过去两年中上升了44%。
虽然总会有一定程度的人为错误,但这种前所未有的风险是可以降低的。
许多CIO一直不愿为生成式AI制定规则,担心员工会感到不信任;但是,宽松的方法会使组织容易受到暴露。
最终,IT需要在允许员工访问他们所需的工具和数据与人们犯错的可能性之间取得平衡。
人为错误是最大的安全风险之一。保护数据的最佳方式是确保所有用户都感到有责任并知道如何去做。
公司应该根据员工的角色和访问级别培训员工成为数据管理员。
CMO、开发人员、数据库管理员和HR助理都将与他们处理的数据有不同的关系。
每个员工都需要了解他们带来的风险以及如何更好地保护数据。如果我们都是社区中活跃的公民,遵守交通法规等法规以确保安全,那么员工也需要这样做,将数据安全和安全态度带到他们所做的每一件事中。
根除影子IT
在某些组织中,生成式人工智能可能只是IT部门应该监控但并不总是具有完全可见性的数据流入和流出的无数应用程序之一。
现实情况是,大多数公司都有“影子IT”设备,它允许非结构化数据在IT环境中传递,既没有说明也没有保护。
令人震惊的是,研究发现,42%的IT领导者表示他们至少有一半的数据处于阴影中,这意味着无法定位、管理或保护这些数据。
使用未经批准的应用程序(例如生成式AI工具)的员工可能会在不知不觉中添加流氓IT和暗数据资产,从而导致企业缺乏洞察力来防止意外数据泄露。
访问数据和应用程序仍然非常重要,但确保对这些资产有适当的可见性并谨慎管理访问可以帮助企业保持平衡。
这可以在几个不同的层面上完成:
访问权限:IT部门应定期更新和监控真正需要访问数据集或应用程序的人员,并在角色或就业状态发生变化时进行更新。
防止数据抓取:生成式AI工具在互联网数据上进行训练。如果员工将敏感的公司数据放入聊天机器人中,它可能会暴露这些信息,并且它会无意中成为公共领域的一部分。OpenAI和Anthropic等供应商正在努力实施隐私控制,但企业不应等待,也不应依赖外部人员来保护其资产。他们需要创建自己的控件。
主动可观察性:定期扫描数据环境将有助于更好地了解威胁,从发现影子数据和第三方应用程序到衡量数据如何在整个组织中流动。例如,IT专业人员可以在过度兴奋的员工将数据放入第三方扩展时发现,并采取措施补救第三方访问并教育该员工了解他们在数据保护中的角色。
全组织的努力
防止由生成式AI引起的专有数据泄露的最佳方法是负责任地使用AI。实施平衡安全性和访问的有意数据策略对每个组织来说都是必要的。
企业可以保护自己免受当今的安全威胁,同时利用AI的最佳方面,但前提是数据安全成为优先事项:协调一致的努力,包括技术护栏和问责制流程,以及在整个组织中定制的员工教育。
只有这样,企业才能真正抵御当今的安全威胁,同时能够利用AI的最佳方面。
