Saugumo lyderiai pereina nuo „draudimo“ prie „valdymo“, nes nesankcionuotas dirbtinio intelekto naudojimas plinta tarp komandų ir įrankių.
Darbuotojai diegia generatyvinį dirbtinį intelektą į kasdienį darbą greičiau, nei dauguma organizacijų gali jį patvirtinti, audituoti ar apsaugoti. naujausia Technology.org analizėŠis reiškinys apibūdinamas kaip „šešėlinis dirbtinis intelektas“: šiuolaikinis šešėlinės IT pusbrolis, kai darbuotojai naudoja galingus įrankius už oficialių kanalų ribų. Skirtumas tas, kad dirbtinis intelektas ne tik saugo ar dalijasi informacija – jis gali ją transformuoti, daryti iš jos išvadas ir kartais nukreipti į sistemas, kurios niekada nebuvo sukurtos tokiai rizikai.
Europos saugumo ir atitikties komandoms iššūkis nebėra tai, ar dirbtinis intelektas turėtų būti naudojamas darbe, o tai, kaip atgauti matomumą ir kontrolę nesustabdant produktyvumo. Šis balansavimo veiksmas tampa pagrindine valdymo problema, susijusia su kibernetiniu saugumu, privatumu, viešaisiais pirkimais ir vis dažniau su pagrindinėmis teisėmis.
Kaip „šešėlinis DI“ atrodo ant žemės
Šešėlinis dirbtinis intelektas neapsiriboja teksto įklijavimu į viešą pokalbių robotą. Jis gali būti daug subtilesnis: bendradarbiavimo platformoje įjungtas „DI asistentas“; naršyklės plėtinys, kuris perrašo el. laiškus; papildinys, kuris apibendrina klientų skambučius; arba kūrėjas, naudojantis DI kodavimo asistentą, turintį prieigą prie patentuotų saugyklų. Daugelyje darboviečių DI dabar yra integruotas į jau patvirtintus įrankius, todėl DI sluoksnį sunkiau pastebėti nei klasikinę šešėlinę IT.
Taip pat keičiasi rizikos profilis. Šešėlinė IT paprastai sukurdavo akląsias zonas, susijusias su programinės įrangos versijomis, prieigos kontrole ir duomenų saugojimu. Šešėlinė dirbtinė intelektas prideda naujų gedimų režimų: raginimuose gali būti įtraukti jautrūs duomenys; išvestys gali būti klaidingos, bet įtikinamos; o automatizuotos „agento“ funkcijos gali atlikti veiksmus, kurie persiduoda į kitas sistemas. Dėl to saugumo komandos gali prarasti ne tik programų, bet ir sprendimų priežiūrą.
Kodėl draudimai linkę atsigręžti prieš save
Visuotiniai draudimai yra viliojantys, ypač po didelio atgarsio sulaukusių duomenų nutekėjimo. Tačiau jie dažnai skatina naudojimąsi slapta, menkina ataskaitų teikimo kultūrą ir palieka vadovybei klaidingą saugumo jausmą. Patvaresnis požiūris šešėlinį dirbtinį intelektą traktuoja kaip signalą: darbuotojai griebiasi naujų įrankių, nes esami procesai atrodo per lėti, per daug rankiniai arba per daug ribojantys.
Todėl daugelyje gairių dabar pabrėžiamas „atsakingas įgalinimas“ – aiškių saugaus naudojimo būdų, o ne tik draudimų, sukūrimas. Panašios pozicijos laikosi ir pačios ES kibernetinio saugumo subjektai. Savo gairėse dėl generatyvinio dirbtinio intelekto kibernetinio saugumo srityje CERT-EU pasisako už veiksmingą vidaus politiką, darbuotojų informuotumą ir kontrolės priemones, kurios apsaugotų neskelbtinus duomenis nuo viešųjų modelių, o organizacijos vis tiek gautų naudos iš produktyvumo padidėjimo.
Kontrolės atgavimas nesulėtinant inovacijų: praktinis vadovas
Apsaugos komandos, bandančios „pasivyti“ dirbtinį intelektą, dažnai pradeda nuo paprastos tiesos: negalima valdyti to, ko nematote. Tačiau vien matomumo nepakanka. Tikslas – sukurti saugesnę numatytąją aplinką, kurioje darbuotojams nereikėtų improvizuoti.
1) Sudarykite dirbtinio intelekto naudojimo inventorių, ypač „patvirtintų“ įrankių atveju
Pradėkite nuo šiandien egzistuojančių dirbtinio intelekto sričių nustatymo: pokalbių robotai, antriniai pilotai, susitikimų transkribuotojai, projektavimo įrankiai, kodavimo asistentai ir dirbtinio intelekto funkcijos įprastose SaaS platformose. Įtraukite tiek IT patvirtintus įrankius, tiek ir „atsinešk savo“ naudojimo būdus. Daugelis organizacijų pastebi, kad dirbtinio intelekto funkcijos jau yra įjungtos visuose prieš daugelį metų įsigytuose produktuose.
2) Apibrėžkite „saugius duomenis“ raginimams ir tada juos vykdykite
Dauguma dirbtinio intelekto valdymo atvejų žlunga ties parinkčių riba. Jei darbuotojai gali įklijuoti asmens duomenis, klientų įrašus ar konfidencialią verslo medžiagą į modelį su neaiškiomis saugojimo ar mokymo sąlygomis, organizacija gali prisiimti išvengiamą riziką. ES įstaigų rekomendacijose vis dažniau rekomenduojamos aiškios duomenų tvarkymo taisyklės – kuo galima dalytis, kuo ne ir kaip saugiai redaguoti ar apibendrinti.
Komandoms, ieškančioms struktūrizuoto rizikos mąstymo, NIST dirbtinio intelekto rizikos valdymo sistema (AI RMF 1.0) siūlo valdymo metodą, pagrįstą konteksto žemėlapių sudarymu, rizikos matavimu ir kontrolės mechanizmų valdymu – tai naudinga net ir organizacijoms, kurios nekuria savo modelių, o juos diegia.
3) Siūlyti patvirtintas alternatyvas, kurios iš tiesų yra tinkamos naudoti
Jei darbuotojai imsis šešėlinio dirbtinio intelekto, nes oficialus kelias užtruks savaites, valdymas pralaimės. Dabar daugelis organizacijų teikia patvirtintą „dirbtinio intelekto darbo erdvę“ (arba nedidelį sankcionuotų įrankių rinkinį) su aiškesnėmis sutarties sąlygomis, registravimu ir griežtesniais privatumo nustatymais. Svarbiausia yra naudojimo paprastumas: jei patvirtintas variantas bus lėtesnis, blokuojamas arba nepakankamai galingas, šešėlinis naudojimas sugrįš.
4) Apsaugokite integracijas ir „DI agentus“
Dirbtiniam intelektui pereinant nuo teksto generavimo prie veiksmų – susitikimų planavimo, kodo modifikavimo, el. laiškų siuntimo, bilietų atnaujinimo – rizika nebėra tik duomenų nutekėjimas. Tai tampa procesų vientisumu. Kontrolė turėtų būti sutelkta į mažiausių privilegijų, didelio poveikio veiksmų patvirtinimo etapus ir patikimus audito žurnalus. Pavyzdžiui, Prancūzijos nacionalinė kibernetinio saugumo agentūra ANSSI rekomenduoja generatyvinėms dirbtinio intelekto sistemoms taikyti atsekamumo ir projektavimo saugumo priemones, įskaitant aplinkų registravimą ir atskyrimą savo sistemose. saugumo rekomendacijos.
5) Pardavėjus ir pirkimus traktuokite kaip saugumo perimetro dalį
Šešėlinis dirbtinis intelektas klesti, kai komandos gali tiesiogiai įsigyti įrankius arba kai dirbtinio intelekto funkcijos gaunamos nepastebimai per atnaujinimus. Įsigijimams ir saugumui reikalingi bendri kontroliniai sąrašai: duomenų saugojimas, modelių mokymo išimtys, regioninės talpinimo parinktys, prieigos kontrolė, audituojamumas ir incidentų reagavimo įsipareigojimai. Tai ypač aktualu Europoje, kur didėja reguliavimo lūkesčiai dėl atskaitomybės.
6) Mokymai turėtų būti praktiški, o ne abstraktūs
Mokymai yra veiksmingi, kai jie atitinka tai, kaip žmonės iš tikrųjų naudoja įrankius: „Štai ko neklijuoti“, „Štai kaip apibendrinti neskelbtiną turinį“, „Štai kaip patikrinti rezultatus“, „Štai kada naudoti patvirtintus įrankius“ ir „Štai su kuo susisiekti dėl greitos peržiūros“. Tikslas – paversti darbuotojus informuotais saugumo dalyviais, o ne atsitiktiniais pažeidėjais.
Europos kontekstas: valdymas dabar yra konkurencingumo klausimas
Europos reguliavimo kryptis aiški: didesnė atsakomybė už dirbtinio intelekto diegimą ir atidesnė duomenų bei teisių poveikio kontrolė. ES dirbtinio intelekto įstatymas nustato rizika pagrįstą dirbtinio intelekto sistemą, kurioje numatyti griežtesni įsipareigojimai tam tikriems didelės rizikos naudojimo atvejams ir aiškesnė atsakomybė visoje dirbtinio intelekto vertės grandinėje. Organizacijoms tai reiškia, kad šešėlinis dirbtinis intelektas yra ne tik techninė problema – jis gali tapti atitikties problema, jei nekontroliuojami įrankiai naudojami jautriose srityse, tokiose kaip įdarbinimas, kreditavimas, švietimas ar esminės paslaugos.
Tuo tarpu privatumo lūkesčiai griežtėja. Europos duomenų apsaugos priežiūros pareigūnas paskelbė atnaujintas generatyvinio dirbtinio intelekto ir duomenų apsaugos gaires, kuriose pabrėžiamas poreikis suderinti apsaugos priemones su sparčiai besivystančia ekosistema. Žr. EDAPP puslapį ir atsisiunčiamą dokumentą: Generatyviojo dirbtinio intelekto gairės (EDPS).
Platesnėje politikos aplinkoje „greitai veikti ir viską sugriauti“ yra brangi pozicija. Apsaugos komandoms iškyla užduotis sukurti kontroliuojamą inovacijų kelią: greitus patvirtinimus, aiškias saugaus naudojimo taisykles ir pritaikomas technines apsaugos priemones.
Ką žiūrėti toliau
Šešėlinis dirbtinis intelektas (DI) greičiausiai plėsis, nes DI tampa numatytąja funkcija visuose biuro programų paketuose, klientų platformose ir kūrėjų įrankiuose. Analitikai perspėjo, kad neteisėtas DI naudojimas tampa išmatuojama saugumo ir atitikties rizika įmonėse, todėl organizacijos patiria didesnį spaudimą šviesti darbuotojus ir formalizuoti politiką. Sparčiausiai prisitaikys tos organizacijos, kurios nustos vertinti valdymą kaip stabdį ir pradės jį vertinti kaip produkto kūrimą vidiniams vartotojams.
Tai yra pagrindinė žinutė, slypinti už Technology.org Įrėminimas: saugumo komandos gali atgauti kontrolę, bet tik tuo atveju, jei sukurs sistemas, kurios saugų kelią pavers lengvu keliu.
Susijusi informacija: The European Times anksčiau stebėjo ES reguliavimo trajektoriją, kai įsigalioja Europos dirbtinio intelekto įstatymas.
