A biztonsági vezetők a „tiltásról” az „irányításra” helyezik át a hangsúlyt, mivel a mesterséges intelligencia nem engedélyezett használata terjed a csapatok és az eszközök között.
Az alkalmazottak gyorsabban alkalmazzák a generatív mesterséges intelligenciát a mindennapi munkájukban, mint ahogy azt a legtöbb szervezet jóváhagyni, auditálni vagy biztonságossá tenni tudja. a Technology.org friss elemzéseA jelenséget „árnyék MI”-ként keretezik be: az árnyék-IT modern unokatestvére, ahol a személyzet a hivatalos csatornákon kívül alkalmaz hatékony eszközöket. A különbség az, hogy a mesterséges intelligencia nem csak tárolja vagy megosztja az információkat – átalakítja azokat, következtetéseket von le belőlük, és néha olyan rendszerekbe is továbbítja, amelyeket soha nem erre a kockázatra terveztek.
Az európai biztonsági és megfelelőségi csapatok számára a kihívás már nem az, hogy a mesterséges intelligenciát használni kell-e a munkahelyen, hanem az, hogy hogyan lehet visszanyerni a láthatóságot és az irányítást a termelékenység befagyasztása nélkül. Ez az egyensúlyozás egyre inkább általános irányítási problémává válik – amely kihat a kiberbiztonságra, az adatvédelemre, a beszerzésre és egyre inkább az alapvető jogokra is.
Hogyan néz ki az „árnyék mesterséges intelligencia” a földön?
Az árnyék-MI nem korlátozódik arra, hogy valaki szöveget másol be egy nyilvános chatbotba. Sokkal kifinomultabb is lehet: egy „MI-asszisztens” bekapcsolva egy együttműködési platformon belül; egy böngészőbővítmény, amely átírja az e-maileket; egy bővítmény, amely összefoglalja az ügyfélhívásokat; vagy egy fejlesztő, aki egy MI-alapú kódolási asszisztenst használ, amely hozzáférést biztosít a saját fejlesztésű adattárakhoz. Sok munkahelyen a MI ma már beágyazódik a már jóváhagyott eszközökbe – így a MI-réteget nehezebb észrevenni, mint a klasszikus árnyék-IT-t.
A kockázati profil is változik. Az árnyék-IT jellemzően vakfoltokat hozott létre a szoftververziók, a hozzáférés-vezérlés és az adattárolás körül. Az árnyék-AI új hibamódokat ad hozzá: érzékeny adatok is szerepelhetnek a promptokban; a kimenetek lehetnek hibásak, de meggyőzőek; és az automatizált „ügynök” funkciók olyan műveleteket hajthatnak végre, amelyek más rendszerekre is átgyűrűznek. Ennek az a következménye, hogy a biztonsági csapatok elveszíthetik nemcsak az alkalmazások, hanem a döntések felügyeletét is.
Miért hajlamosak a tiltások visszafelé sülni el?
Az általános tiltások csábítóak, különösen nagy nyilvánosságot kapott adatszivárgások után. De gyakran a felszín alá helyezik a használatot, rontják a jelentéstételi kultúrát, és hamis biztonságérzetet hagynak a vezetőségben. Egy tartósabb megközelítés az árnyék-mesterséges intelligenciát jelzésként kezeli: az alkalmazottak azért nyúlnak új eszközökhöz, mert a meglévő folyamatok túl lassúnak, túl manuálisnak vagy túl korlátozónak tűnnek.
Ezért hangsúlyozza ma már számos útmutató dokumentum a „felelős engedélyezést” – a biztonságos használat egyértelmű útjainak megteremtését, nem csak a tiltásokat. Az EU saját kiberbiztonsági szereplői is hasonló irányt vettek. A kiberbiztonságban a generatív mesterséges intelligenciáról szóló útmutatójában a CERT-EU a hatékony belső szabályzatok, a személyzet tudatosságának és az olyan ellenőrzések mellett érvel, amelyek távol tartják az érzékeny adatokat a nyilvános modellektől, miközben a szervezetek továbbra is profitálnak a termelékenység növekedéséből.
Az irányítás visszaszerzése az innováció lassítása nélkül: egy gyakorlati kézikönyv
Azok a biztonsági csapatok, amelyek megpróbálják „utolérni” a mesterséges intelligenciát, gyakran egy egyszerű igazsággal kezdik: nem irányíthatod azt, amit nem látsz. De a láthatóság önmagában nem elég. A cél egy biztonságosabb alapértelmezett környezet megteremtése, ahol az alkalmazottaknak nem kell improvizálniuk.
1) Készítsen leltárt a mesterséges intelligencia használatáról – különösen a „jóváhagyott” eszközökön belül
Kezdjük azzal, hogy feltérképezzük, hol létezik ma a mesterséges intelligencia: chatbotok, másodpilóták, megbeszélések leírói, tervezőeszközök, kódolási asszisztensek és a gyakori SaaS platformokon belüli mesterséges intelligencia funkciók. Tartalmazzon mind az IT által jóváhagyott eszközöket, mind a „saját használatú” eszközöket. Sok szervezet rájön, hogy már évekkel korábban megvásárolt termékeikben is engedélyezve vannak a mesterséges intelligencia funkciói.
2) Határozza meg a „biztonságos adatokat” a promptokhoz – majd érvényesítse azokat
A legtöbb mesterséges intelligencia általi irányítás a prompt határán kudarcot vall. Ha a személyzet személyes adatokat, ügyféladatokat vagy bizalmas üzleti anyagokat tud beilleszteni egy olyan modellbe, amelynek a megőrzési vagy képzési feltételei nem egyértelműek, a szervezet elkerülhető kockázatoknak teheti ki magát. Az uniós szervek iránymutatásai egyre inkább egyértelmű adatkezelési szabályokat javasolnak – mit lehet megosztani, mit nem, és hogyan lehet biztonságosan kitakarni vagy összefoglalni.
A strukturált kockázati gondolkodást kereső csapatok számára a NIST AI kockázatkezelési keretrendszer (AI RMF 1.0) egy olyan irányítási megközelítést kínál, amely a kontextus feltérképezésére, a kockázatok mérésére és az ellenőrzések kezelésére épül – még azoknak a szervezeteknek is hasznos, amelyek nem saját modelleket építenek, hanem bevezetnek.
3) Kínáljon jóváhagyott alternatívákat, amelyek valóban használhatók
Ha az alkalmazottak az árnyék-AI-hoz fordulnak, mert a hivatalos út hetekig tart, az irányítás veszíteni fog. Sok szervezet ma már jóváhagyott „AI-munkaterületet” (vagy egy kis jóváhagyott eszközkészletet) biztosít egyértelműbb szerződési feltételekkel, naplózással és szigorúbb adatvédelmi beállításokkal. A kulcs a használhatóság: ha a jóváhagyott opció lassabb, blokkolt vagy gyenge teljesítményű, az árnyékhasználat visszatér.
4) Helyezzen védőkorlátokat az integrációk és a „mesterséges intelligencia ügynökei” köré
Ahogy a mesterséges intelligencia a szöveggenerálástól a cselekvés felé halad – találkozók foglalása, kód módosítása, e-mailek küldése, jegyek frissítése –, a kockázat már nem csak az adatszivárgás. A kockázat a folyamatok integritásává válik. Az ellenőrzéseknek a minimális jogosultságokra, a nagy hatású műveletek jóváhagyási lépéseire és az erős auditnaplókra kell összpontosítaniuk. A francia nemzeti kiberbiztonsági ügynökség, az ANSSI például a generatív mesterséges intelligenciarendszerek nyomon követhetőségét és a beépített biztonságot javasolja, beleértve a környezetek naplózását és elkülönítését a rendszerében. biztonsági ajánlások.
5) A szállítókat és a beszerzést a biztonsági keret részeként kell kezelni
Az árnyék-mesterséges intelligencia akkor virágzik, ha a csapatok közvetlenül vásárolhatnak eszközöket, vagy ha a mesterséges intelligencia funkciói frissítéseken keresztül, észrevétlenül érkeznek. A beszerzéshez és a biztonsághoz közös ellenőrzőlistákra van szükség: adatmegőrzés, modellképzési kizárások, regionális tárhelylehetőségek, hozzáférés-vezérlés, auditálhatóság és incidensekre adott válaszok. Ez különösen fontos Európában, ahol az elszámoltathatósággal kapcsolatos szabályozási elvárások emelkednek.
6) A képzés legyen gyakorlatias, ne elvont
A képzés akkor működik, ha megfelel annak, hogyan használják az emberek a tényleges eszközöket: „Íme, mit ne illesszünk be”, „Így összegezzük a bizalmas tartalmakat”, „Így ellenőrizzük a kimeneteket”, „Mikor használjunk jóváhagyott eszközöket”, és „Kivel kell kapcsolatba lépni a gyors felülvizsgálat érdekében”. A cél az, hogy az alkalmazottak a biztonság tájékozott résztvevőivé váljanak, ne pedig véletlen szabálysértőkké.
Az európai kontextus: a kormányzás ma már versenyképességi kérdés
Európa szabályozási iránya egyértelmű: nagyobb elszámoltathatóság a mesterséges intelligencia telepítésének módjáért, valamint fokozottabb ellenőrzés az adatokra és a jogokra gyakorolt hatások felett. Az EU mesterséges intelligenciáról szóló törvénye kockázatalapú keretrendszert hoz létre a mesterséges intelligencia számára, szigorúbb kötelezettségekkel bizonyos magas kockázatú felhasználási módok esetén, valamint egyértelműbb felelősségi körökkel a teljes MI-értékláncban. A szervezetek számára ez azt jelenti, hogy az árnyék-MI nem csupán technikai probléma – megfelelési problémává válhat, ha ellenőrizetlen eszközöket használnak olyan érzékeny helyzetekben, mint a felvétel, a hitelezés, az oktatás vagy az alapvető szolgáltatások.
Eközben az adatvédelemmel kapcsolatos elvárások is fokozódnak. Az európai adatvédelmi biztos közzétette a generatív mesterséges intelligenciáról és az adatvédelemről szóló frissített útmutatóját, kiemelve, hogy a biztosítékokat összhangban kell tartani a gyorsan fejlődő ökoszisztémával. Lásd az európai adatvédelmi biztos oldalát és a letölthető dokumentumot: Útmutató a generatív mesterséges intelligenciához (EDPS).
Ebben a tágabb szabályozási környezetben a „gyors cselekvés és a törés” elve költséges. A biztonsági csapatok számára az új feladat egy ellenőrzött innovációs kifutópálya létrehozása: gyors jóváhagyások, egyértelmű biztonságos használati szabályok és skálázható műszaki védőkorlátok.
Mit nézzünk ezután
Az árnyék-mesterséges intelligencia valószínűleg növekedni fog, mivel a mesterséges intelligencia alapértelmezett funkcióvá válik az irodai programcsomagokban, az ügyfélplatformokon és a fejlesztői eszközökben. Az elemzők arra figyelmeztetnek, hogy a mesterséges intelligencia jogosulatlan használata mérhető biztonsági és megfelelőségi kockázatot jelent a vállalatoknál, ami növeli a szervezetekre nehezedő nyomást a személyzet képzése és a szabályzatok formalizálása terén. Azok a szervezetek alkalmazkodhatnak a leggyorsabban, amelyek már nem fékként kezelik az irányítást, hanem belső felhasználók számára készült terméktervezésként kezdik kezelni.
Ez a fő üzenet a mögötte rejlő Technology.org keretezés: a biztonsági csapatok visszaszerezhetik az irányítást, de csak akkor, ha olyan rendszereket építenek, amelyek a biztonságos utat a könnyű úttá teszik.
Kapcsolódó háttér: The European Times korábban nyomon követte az EU szabályozási pályáját, mivel a Hatályba lép a mesterséges intelligenciáról szóló európai törvény.
