影子 IT 是网络安全行业中一个相当著名的 问题。员工使用未经批准的系统和软件作为一种变通方法来绕过官方 IT 流程和限制。同样,随着 AI 工具出现在几乎每个业务用例或功能中,员工越来越多地在未经 IT 或安全团队知情或批准的情况下使用未经批准或未经授权的 AI 工具和应用程序 —— 这种新现象被称为影子 AI。
研究表明,50%到75%的员工正在使用非公司发放的 AI 工具,而且此类应用程序的数量正在大幅增长。可见性问题出现了。公司是否知道自己的网络上发生了什么?根据我们的研究,除了流行的通用 AI 工具(如 ChatGPT、Copilot 和 Gemini)之外,组织正在使用的另一组更小众的 AI 应用程序包括:
- Bodygram(身体测量应用程序)
- Craiyon(图像生成工具)
- Otter.ai(语音转录和笔记工具)
- Writesonic(写作助手)
- Poe(Quora 推出的聊天机器人平台)
- HIX.AI(写作工具)
- Fireflies.ai(笔记记录员和会议助理)
- PeekYou(人物搜索引擎)
- Character.AI(创建虚拟角色)和
- Luma AI(3D 捕捉和重建)。
为什么影子人工智能是主要的网络安全风险
尽管人工智能带来了巨大的生产力,但影子人工智能也带来了不同的风险:
数据泄露:研究表明,员工经常与公共 AI 应用程序共享法律文件、人力资源数据、源代码、财务报表和其他敏感信息。AI 工具可能会无意中将这些敏感数据暴露给公众,导致数据泄露、声誉受损和隐私问题(例如三星)。
合规风险:将数据输入公共平台意味着组织几乎无法控制其数据的管理、存储或共享方式,也几乎不知道谁可以访问这些数据以及这些数据将来会如何使用。这可能导致不遵守行业和隐私法规,并可能导致罚款和法律纠纷。
易受网络攻击:第三方 AI 工具可能存在内置漏洞,威胁者可以利用这些漏洞访问网络。与组织的内部安全系统相比,这些工具可能缺乏安全标准。影子 AI 还可以引入新的攻击媒介,使恶意行为者更容易利用弱点。
缺乏监督:如果没有适当的治理或监督,AI 模型可能会产生有偏见、不完整或有缺陷的输出。这种有偏见和不准确的结果可能会给组织带来危害。使用未经批准的工具的员工可能会产生与公司官方系统产生的结果相矛盾的结果。这可能会导致错误、效率低下、混乱和延迟,从而给企业带来高昂的成本。
法律风险:未经批准的人工智能可能会获取其他企业的知识产权,从而使组织对由此造成的任何版权侵权行为承担责任。它可能会生成违反反歧视法律和政策的偏见性结果,或产生与客户和客户共享的错误结果。在所有这些情况下,组织都可能面临处罚,并被追究责任,并对由此造成的任何侵权行为和损害承担责任。
组织如何减轻影子人工智能的风险?
下面列出了一些可以帮助组织减轻影子人工智能风险的建议和最佳实践:
健全的 AI 治理政策:制定全面的 AI 政策,概述哪些 AI 工具和平台获准在组织内使用;解释员工如何申请使用新工具;明确哪些行为是应该做的,哪些行为是不应该做的,并包括数据隐私、安全和其他道德考虑方面的指导。ISACA 民意调查的数据显示,只有 15% 的组织制定了正式的 AI 政策。
对员工进行安全、负责任地使用人工智能的培训:提高员工对人工智能工具和使用未经授权平台的风险的认识。让他们意识到偏见、公平性和准确性的问题。提倡安全和负责任地使用,只使用组织批准的平台,确保敏感数据(如 PII、财务详细信息、源代码或其他专有信息)不会输入这些平台。
细粒度访问控制和策略实施:监控和跟踪 AI 应用程序的使用情况,部署细粒度访问控制并阻止对不必要的 AI 应用程序的访问。确保在设备、平台和网络上严格执行安全策略。分散的工具无济于事。组织需要一个统一的安全系统,如 单一供应商 SASE,该系统可以查看应用程序和网络流,可以检测未经授权的敏感数据共享,并防止员工部署可能存在风险的影子 AI 应用程序。
频繁的安全审计:通过定期进行安全审计,主动识别和解决风险。评估组织内人工智能工具的使用情况,确保只实施经过授权、安全、合规和合乎道德的平台。确保数据访问、存储和处理符合必要的安全和合规标准。审计将有助于验证人工智能模型是否正常运行、是否没有偏见以及是否遵守数据保护法。
OODA 循环:安全团队可以利用OODA 循环(观察、调整、决定和行动)美国军事思维模型来部署全面的影子人工智能治理。观察 - 获得整个组织内所有影子人工智能的可见性(IT 团队需要一个能够查看所有网络流的平台)。调整 - 了解上下文(即用户是谁、他们的位置、他们的设备、正在访问的应用程序类型)。决定 - 实施影子人工智能的政策(例如,无论用户、位置、设备如何,都阻止影子应用程序)。行动 - 对影子人工智能实施精细控制的能力。
影子人工智能应用的兴起给组织带来了独特的挑战。虽然这些工具可以让员工创新和高效,但使用这些工具可能会带来重大的数据隐私风险。组织可以通过制定强大的人工智能政策和治理、部署统一的安全系统、进行频繁的安全审计以及利用 OODA 循环来解决这一难题。通过这样做,他们可以释放人工智能的好处,同时最大限度地降低与未经授权使用相关的风险。
本文转自:河南等级保护测评,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
