Еще до того, как искусственный интеллект (ИИ) стал вездесущим термином, представленные им риски кибербезопасности создавали проблемы для организаций.
Это разрыв в безопасности, который расширяется не только как злоумышленники, которые вооружены вооруженными возможностями для запуска кибератак, но также в качестве сотрудников используют инструменты Genai на рабочем месте для оптимизации своих задач, чтобы сэкономить время и повысить эффективность. И ИИ – это не просто автоматизация рабочих процессов или создание контента; Это преобразует фундаментальные аспекты того, как работают организации, от управления данными до обеспечения их ИТ -сред.
Как и в первые дни облачных технологий или принести свое собственное устройство (BYOD), в некоторых случаях сотрудники движутся быстрее, чем их корпоративные лидеры, и вводят инструменты на рабочем месте без надзора за ИТ -командами.
Тем не менее, тенденция «Shadow AI» вызывает серьезные опасения. Он открыл совершенно новый, очень неконтролированный вектор, через который можно раскрыть наиболее конфиденциальные данные компании. Сотрудники, по сути, отказываются от контроля над этой информацией каждый раз, когда они добавляют данные в подсказку.
Создание контроля быстро становится стратегическим императивом, а блокировка данных требует сочетания технологии политики, процесса и кибербезопасности.
Тихая угроза теневого ИИ
Использование несанкционированных инструментов ИИ – это, по сути, проблема с тенью с новым поворотом, которая представляет собой серьезную проблему для CISO. Одно исследование поставило число сотрудников, использующих не одобренные генеративные технологии ИИ на работе на 55%, и организации теперь сталкиваются с непростой задачей защиты чувствительных данных при проведении этого быстро развивающегося ландшафта.
Одной из основных проблем безопасности с Shadow AI является экспозиция конфиденциальных данных, таких как интеллектуальная собственность, финансовая записи, личная информация и юридические документы, которые пользователи вводят через подсказки. По мере того, как системы ИИ собираются и обучают информацию, которая вписывается в них, пользователи ставят свои компании с большим риском того, что данные падают в чужие руки.
Это сценарий кошмаров, который CISO не хочет, но есть многочисленные случаи, когда сотрудники загружают конфиденциальную информацию, включая исходный код и HR -записи, в несанкционированные инструменты искусственного интеллекта, такие как CHATGPT. В одном из сообщений сотрудник Samsung случайно вызвал утечку конфиденциального исходного кода, загрузив его в CHATGPT, чтобы проверить ошибки.
Это является ярким примером закона непреднамеренных последствий: сотрудники в своих усилиях по повышению производительности и эффективности через Genai непреднамеренно подвергают свою организацию на гораздо большем риске.
Процесс, политика и образование
Сложности защиты конфиденциальной информации на рабочем месте с AI-это немалая задача. Хотя некоторые компании добились начальных шагов к управлению данными, включив политику для использования Геная, степень прогресса значительно варьируется. Это подчеркивает более широкую потребность в более четких руководящих принципах и более комплексных нормативных рамках для обеспечения согласованности в практике безопасности данных, связанных с ИИ.
В качестве отправной точки организации должны установить строгие руководящие принципы для приложений искусственного интеллекта и рассказать своим сотрудникам о важности использования только корпоративных инструментов искусственного интеллекта. Существуют значительные различия в безопасности приложений, поэтому убедитесь, что для обработки конфиденциальных данных используются только безопасные, проверенные, корпоративные решения используются для обработки конфиденциальных данных.
Регулярные проверки использования ИИ в рамках организации должны определить пробелы в политиках безопасности ИИ и предоставлять действенные рекомендации для улучшения. Дополнить эти аудиты комплексными программами обучения сотрудников и повышения осведомленности, не менее важно. Обучение сотрудников о рисках, связанных с теневым ИИ, наряду с четкой политикой в отношении типов данных, которые они могут поделиться в инструментах искусственного интеллекта, усиливает политику организации.
Предотвращение эксфильтрации данных
Также важны протоколы обработки данных, характерные для инструментов искусственного интеллекта, такие как инструменты мониторинга использования, которые отслеживают приложения и идентифицируют несанкционированные инструменты. Кроме того, управление доступом через решения идентификации и управления доступом (IAM) гарантирует, что только уполномоченный персонал может использовать приложения ИИ, значительно снижая риск воздействия данных и повышая общую безопасность.
Риск конфиденциальных корпоративных данных, включая интеллектуальную собственность, утечку за пределами периметра – это не только риск конфиденциальности, но также ставит организации под повышенную угрозу кибератак. Он предоставляет ценную информацию, которая может использоваться киберпреступниками для нацеливания на лиц или компаний в будущем. Чтобы свести к минимуму эти риски, организации должны реализовать меры безопасности, чтобы предотвратить предотвращение данных конечных точек, если они направлены на кибератаку с технологией антидат-эксфильтрации (ADX).
Благодаря быстрой эволюции принятия и регулирования ИИ организации должны адаптировать свои стратегии, чтобы опережать новые риски. Shadow AI представляет собой растущую проблему для CISO, но с правильной политикой и упреждающими мерами безопасности это угроза, которая может быть эффективно смягчена.
Компании должны расставлять приоритеты в регулировании использования ИИ, обеспечивая использование только утвержденных инструментов и внедряя надежные структуры мониторинга для защиты конфиденциальных данных. Таким образом, организации могут достичь лучшего баланса между производительности и повышением эффективности, которые предлагает ИИ, и дополнительными рисками безопасности, которые он вводит.
