Generativna umetna inteligenca je temeljito spremenila način delovanja organizacij. Ekipe v vseh oddelkih sprejemajo orodja, ki obljubljajo pospešitev kodiranja, ustvarjanja vsebin in analize podatkov. To hitro sprejemanje se pogosto zgodi brez formalnega nadzora. Zaposleni ne čakajo na dovoljenje. Prijavijo se na storitve z osebnimi poverilnicami in prilepijo občutljive poslovne podatke v javne modele. To ustvarja ogromen, nenadzorovan ekosistem »senčne umetne inteligence«, ki ga tradicionalni požarni zidovi ne morejo videti ali nadzorovati.

Vodje varnostnih oddelkov se soočajo s težkim izzivom. Popolna blokada umetne inteligence je pogosto nepraktična in duši inovacije. Omogočanje neomejenega dostopa vodi do uhajanja podatkov in kršitev skladnosti s predpisi. Rešitev je v dobro strukturirani politiki umetne inteligence v podjetju. Ta dokument služi kot temelj vaše strategije upravljanja. Določa pravila sodelovanja. Določa jasne meje za to, katere podatke je mogoče deliti in katera orodja so dovoljena. Brez tega okvira je vaša organizacija še vedno ranljiva za izterjavo podatkov, regulativne globe in krajo intelektualne lastnine.

Obseg problema senčne umetne inteligence

Razlika med tem, kaj odobrijo IT ekipe, in tem, kaj zaposleni dejansko uporabljajo, se povečuje. Večina organizacij verjame, da imajo nadzor nad svojo programsko opremo. Resničnost je pogosto precej drugačna. Razširitve in spletne aplikacije, ki temeljijo na brskalniku, zaobidejo nadzor omrežnega oboda. To omogoča, da podatki tečejo neposredno z uporabnikovega zaslona na strežnike tretjih oseb.

Senčna resničnost umetne inteligence: sankcionirana in nesankcionirana uporaba orodij 

Varnostne ekipe se morajo zavedati, da »senčna umetna inteligenca« ni le nadloga. Gre za kritično ranljivost. Neodobrena orodja pogosto nimajo varnostnih kontrol na ravni podjetja. Lahko zahtevajo pravice do uporabe vaših podatkov za učenje modelov. Celovita varnostna politika umetne inteligence je prvi korak k ponovni vzpostavitvi preglednosti in nadzora nad tem decentraliziranim okoljem.

Temeljni stebri predloge varnostne politike umetne inteligence

Ustvarjanje pravilnika iz nič je lahko zastrašujoče. Koristno je, če na dokument gledamo kot na niz modularnih komponent. Vsak modul obravnava določen vidik interakcije med uporabnikom in umetno inteligenco. Robustna predloga varnostnega pravilnika za umetno inteligenco ne sme biti statičen seznam stvari, ki jih »ne smemo«. Mora biti dinamičen okvir, ki se prilagaja novim orodjem in grožnjam. V enaki meri mora zajemati varnost identitete, podatkov in aplikacij.

Prvi steber je klasifikacija podatkov. Ne morete zaščititi tistega, česar ne definirate. Vaša politika mora izrecno navajati, katere kategorije podatkov so dovoljene za vnos z umetno inteligenco. Javna trženjska kopija je morda varna. Osebni podatki strank in neobjavljena izvorna koda zagotovo nista. Politika tukaj ne sme dopuščati dvoumnosti. Uporabniki morajo natančno vedeti, kje je meja, preden odprejo okno s pozivom.

Identiteta in dostop upravljanje

Drugi steber se osredotoča na to, kdo uporablja orodja. Anonimnost je sovražnik varnosti. Vaša predloga varnostne politike za umetno inteligenco mora predpisovati uporabo korporativnih identitet za vse poslovne naloge umetne inteligence. Osebni e-poštni računi morajo biti strogo prepovedani za delo v podjetju. To zagotavlja, da ko zaposleni zapusti podjetje, njegov dostop do podatkov in zgodovina njegovih interakcij ostane v organizaciji. Omogoča tudi integracijo enotne prijave (SSO). SSO zagotavlja centralizirano stikalo za zaustavitev, če je račun ogrožen.

Preverjanje in odobritev vloge

Tretji steber se ukvarja s samimi orodji. Vse aplikacije umetne inteligence niso enake. Nekatere se držijo strogih varnostnih standardov podjetij. Druge so le malo več kot operacije zbiranja podatkov, zavite v elegantni vmesnik. Vaša politika mora vzpostaviti postopek preverjanja. Ta postopek bi moral oceniti prakse ravnanja s podatki prodajalca. Preveriti bi moral, ali uporabljajo podatke strank za usposabljanje. Preveriti bi moral njihovo skladnost s standardi, kot sta SOC 2 ali ISO 27001. Status »odobrenih« bi moral dobiti le orodja, ki prestanejo ta preizkus.

Vzpostavitev standardov sprejemljive uporabe umetne inteligence

Razdelek o sprejemljivi uporabi umetne inteligence prevaja načela visoke ravni v vsakodnevna dejanja. To je del politike, ki ga zaposleni najpogosteje berejo. Biti mora jasen, jedrnat in brez pravnega žargona. Osredotočiti se mora na vedenje. Opisovati mora specifične scenarije, s katerimi se uporabniki srečujejo pri svojih vsakodnevnih delovnih procesih.

Razvijalci na primer pogosto uporabljajo umetno inteligenco za odpravljanje napak v kodi. Politika sprejemljive uporabe umetne inteligence bi lahko dovoljevala lepljenje delčkov generične logike. Strogo bi prepovedala lepljenje lastniških algoritmov ali trdo kodiranih ključev API-ja. Trženjske ekipe bi lahko uporabljale umetno inteligenco za pripravo e-poštnih sporočil. Politika bi to dovoljevala, vendar bi zahtevala človeški pregled končnega izpisa, da se preveri natančnost in ton. Ti praktični primeri pomagajo zaposlenim razumeti, kako uporabljati pravila v svojem specifičnem kontekstu.

Protokol »semaforja«

Za poenostavitev odločanja številne organizacije v svojih smernicah za sprejemljivo uporabo umetne inteligence sprejmejo sistem semaforjev.

  •       Zelena (Sancirano): Ta orodja imajo poslovne licence. Podpisani so sporazumi o varstvu podatkov. Zaposleni jih lahko prosto uporabljajo za večino vrst podatkov, razen za strogo zaupne informacije.
  •       Rumena (tolerirana): To so javna orodja, ki so uporabna, vendar nimajo nadzora za podjetja. Uporaba je dovoljena samo za neobčutljive naloge. Prijava ni potrebna. Vnos notranjih podatkov ni mogoč.
  •       Rdeča (blokirano): Ta orodja predstavljajo nesprejemljiva tveganja. Morda imajo zgodovino varnostnih kršitev ali agresivnih politik strganja podatkov. Dostop je tehnično blokiran na ravni brskalnika ali omrežja.

Krmarjenje po tveganjih varnostne politike generativne umetne inteligence

GenAI uvaja edinstvena tveganja, ki jih tradicionalne politike programske opreme ne pokrivajo. Interaktivna narava velikih jezikovnih modelov (LLM) ustvarja nove vektorje napadov. Specializirana varnostna politika generativne umetne inteligence mora obravnavati te specifične grožnje. Ni dovolj zavarovati dostop; zavarovati morate samo interakcijo.

Ena glavnih skrbi je takojšnje vbrizgavanje. Do tega pride, ko so zlonamerna navodila skrita v bloku besedila. Če zaposleni prilepi to besedilo v LLM, se lahko model prelisiči, da prezre varnostne ukrepe. Vaša politika mora uporabnike opozoriti pred lepljenjem nezanesljive vsebine s spleta neposredno v notranja orodja umetne inteligence. Zunanje besedilo mora obravnavati z enakim sumom kot e-poštno prilogo neznanega pošiljatelja.

Obvladovanje halucinacij in integriteta izhodnih podatkov

Drug kritičen vidik generativne varnostne politike umetne inteligence je potrjevanje rezultatov. Modeli umetne inteligence so verjetnostni, ne deterministični. Lahko samozavestno predstavijo lažne informacije kot dejstva. Ta pojav je znan kot halucinacija. Uporaba nepreverjenih rezultatov umetne inteligence pri ključnih poslovnih odločitvah lahko povzroči finančno izgubo in škodo ugledu. Politika mora za vse visokovredljive rezultate zahtevati »človeško vključenost«. Kodo, ki jo ustvari umetna inteligenca, mora pregledati višji inženir. Pravne dokumente, ki jih pripravi umetna inteligenca, mora preveriti odvetnik.

Pogoste kršitve varnostnih politik umetne inteligence v podjetniških okoljih

Okviri politike varnosti in upravljanja umetne inteligence

Ad hoc pravila so dober začetek, vendar dolgoročna odpornost zahteva strukturiran pristop. Usklajevanje z mednarodnimi standardi dvigne vašo varnostno politiko umetne inteligence iz niza pravil v sistem upravljanja. To regulatorjem, strankam in članom upravnega odbora dokazuje skrbnost. Poudarek se preusmeri z reaktivnega gašenja požarov na proaktivno upravljanje tveganj.

Trenutno razpravo v panogi oblikujeta dva glavna okvira: standard ISO 42001 in okvir za upravljanje tveganj umetne inteligence (RMF) NIST-a. Sprejem elementov iz teh standardov zagotavlja, da sta vaša politika varnosti in strategija upravljanja umetne inteligence celovita in utemeljena. Zagotavlja skupni jezik za razpravo o tveganjih umetne inteligence v celotni organizaciji.

Izvajanje ISO 42001

ISO 42001 je globalni standard za sisteme upravljanja umetne inteligence. Sledi znanemu ciklu Načrtuj-Izvedi-Preveri-Ukrepaj, ki ga najdemo v drugih standardih ISO. Za varnostno politiko in program upravljanja umetne inteligence sta najpomembnejši določbi pogosto Vodenje in Delovanje.

  •       Vodstvo: Ta klavzula od višjega vodstva zahteva, da prevzame odgovornost za učinkovitost sistema upravljanja umetne inteligence. Zagotavlja, da so viri na voljo in da je politika usklajena s strateškimi poslovnimi cilji.
  •       Delovanje: Ta klavzula se osredotoča na oceno in obravnavo tveganj, povezanih z umetno inteligenco. Nalaga organizacijam, da prepoznajo morebitne nenamerne posledice sistemov umetne inteligence in uvedejo nadzorne ukrepe za njihovo ublažitev.

Uporaba NIST AI RMF

Okvir NIST AI RMF je prostovoljni okvir, ki je zelo cenjen v javnem in zasebnem sektorju ZDA. Organiziran je okoli štirih ključnih funkcij: upravljanje, kartiranje, merjenje in upravljanje.

  •       Upravljanje: Ta funkcija spodbuja kulturo upravljanja tveganj. Vključuje vzpostavitev politik in postopkov, ki vodijo razvoj in uporabo umetne inteligence.
  •       Zemljevid: Ta funkcija vzpostavlja kontekst. Opredeljuje specifične sisteme umetne inteligence, ki so v uporabi, in morebitna tveganja, povezana z njimi.
  •       Merjenje: Ta funkcija uporablja kvantitativne in kvalitativne metode za analizo tveganj. Odgovarja na vprašanje: »Koliko tveganja dejansko nosimo?«
  •       Upravljanje: Ta funkcija določa prioritete in obravnava tveganja. Vključuje uvedbo posebnih kontrol, kot je sama politika sprejemljive uporabe umetne inteligence, za zmanjšanje tveganja na sprejemljivo raven.

Vloga varnosti brskalnika pri izvrševanju

Pisanje pravilnika za umetno inteligenco v podjetju je le polovica uspeha. Njegovo uveljavljanje je druga polovica. Tradicionalna orodja za omrežno varnost se težko spopadajo s sodobno uporabo umetne inteligence. Lahko blokirajo domeno, vendar ne morejo videti, kaj se dogaja znotraj seje. Ne morejo ločiti med uporabnikom, ki od ChatGPT zahteva recept za piškotke, in uporabnikom, ki prilepi podatkovno bazo strank. To pomanjkanje podrobnosti vodi do prekomernega blokiranja ali nevarnih mrtvih peg.

Brskalnik je novi obod. Je vmesnik, prek katerega poteka skoraj vse sodobno delo. Za učinkovito uveljavljanje varnostne politike umetne inteligence potrebujete kontrole, ki so v samem brskalniku. To omogoča analizo uporabniških dejanj v realnem času. Omogoča sprejemanje odločitev, ki upoštevajo kontekst in uravnotežijo varnost s produktivnostjo. Namesto binarnega »blokiraj ali dovoli« lahko varnost brskalnika ponudi niansirane kontrole, kot sta »dovoli samo branje« ali »dovoli, vendar redigiraj občutljive podatke«.

Avtomatizacija pravilnikov s LayerX

LayerX zagotavlja tehnične zmogljivosti za uresničitev vaše varnostne politike umetne inteligence. Deluje kot razširitev za brskalnik v podjetju. Ta edinstven položaj mu omogoča spremljanje in nadzor interakcij uporabnikov s katero koli spletno aplikacijo, vključno s odobrenimi in neodobrenimi orodji umetne inteligence. LayerX deluje kot izvrševalska veja vaše strategije upravljanja.

Ena ključnih zmogljivosti LayerX je odkritje »senčne umetne inteligence«. Samodejno katalogizira vsako spletno mesto umetne inteligence, do katerega dostopajo vaši zaposleni. Zagotavlja celovit popis, ki vam omogoča, da natančno vidite, katera orodja so v uporabi. Ta preglednost je bistvena za posodabljanje predloge varnostne politike umetne inteligence in njeno ohranjanje ustreznosti. Ne morete upravljati tistega, za kar ne veste, da obstaja. LayerX osvetljuje temne kotičke vašega ekosistema SaaS.

Zaščita pred izgubo podatkov v realnem času in izobraževanje

LayerX presega preprosto odkrivanje. Ponuja aktivne zmogljivosti preprečevanja izgube podatkov (DLP), prilagojene za GenAI. Ko uporabnik poskuša prilepiti podatke, ki kršijo pravilnik o sprejemljivi uporabi umetne inteligence, LayerX posreduje. Dejanje lepljenja lahko v celoti blokira. Prav tako lahko selektivno redigira občutljive nize, kot so številke kreditnih kartic ali osebni podatki, hkrati pa omogoči nadaljevanje preostalega poziva. To zaposlenim omogoča varno uporabo orodja, ne da bi pri tem organizacijo izpostavili tveganju. Poleg tega lahko LayerX prikaže pojavno okno po meri, ki pojasnjuje kršitev. To vsako blokirano dejanje spremeni v trenutek mikro usposabljanja, ki v realnem času krepi varnostni pravilnik umetne inteligence.

Kontrolni seznam za izvajanje varnostne politike umetne inteligence

S pomočjo naslednjega kontrolnega seznama zagotovite, da vaša politika zajema vsa kritična področja. Ta tabela prikazuje specifične komponente politike glede na tehnične kontrole, potrebne za njihovo uveljavljanje.

Komponenta politike Ključna zahteva Zmogljivost uveljavljanja LayerX
Popis orodij Vzdržujte aktiven seznam odobrenih in blokiranih orodij. Odkrivanje aplikacij Shadow SaaS in umetne inteligence v realnem času v celotnem podjetju.
Zaščita pred izgubo podatkov (DLP) Določite posebne vrste podatkov, ki jih umetna inteligenca ne sme vnašati. Prepreči lepljenje ali nalaganje določenih občutljivih vrst podatkov 
Upravljanje identitete Za vse račune umetne inteligence uvedite obvezno enotno prijavo v podjetju. Zaznavanje in blokiranje uporabe osebnih e-poštnih računov za poslovne aplikacije.
Nadzor razširitev Preveri vse vtičnike brskalnika, ki dostopajo do podatkov umetne inteligence. Točkovanje tveganja in blokiranje zlonamernih ali tveganih razširitev.
Revizijska sled Za skladnost z navodili beležite vse pozive in interakcije z umetno inteligenco. Podrobni forenzični dnevniki interakcij uporabnikov in umetne inteligence za namene revizije 
Dostop na podlagi vlog Določite, kdo lahko uporablja katero orodje in kako. Uveljavite pravilnike dostopa na podlagi uporabniških skupin in imenika Active Directory.

 

Veselimo se uporabe umetne inteligence v varnosti podjetij

Sprejemanje generativne umetne inteligence ni trend, ki bo minil. Gre za temeljno spremembo v načinu poslovanja. Vaša politika umetne inteligence v podjetju je mehanizem, ki vaši organizaciji omogoča varno krmarjenje po tej spremembi. Ne gre za ustvarjanje ovir. Gre za gradnjo varovalnih ograj. Z opredelitvijo jasnih smernic za sprejemljivo uporabo umetne inteligence in njihovo podporo z močnimi tehničnimi kontrolami opolnomočite svojo delovno silo za inovacije.

Varnost v dobi umetne inteligence zahteva kombinacijo jasnega upravljanja in aktivnega izvrševanja. Predloga statične varnostne politike za umetno inteligenco je dobro izhodišče, vendar jo je treba operacionalizirati. LayerX zagotavlja vidnost in nadzor na ravni brskalnika, ki je potreben za učinkovitost vaše politike. Premosti vrzel med dokumentom in uporabnikom. Zagotavlja, da vaša varnostna politika in prizadevanja za upravljanje umetne inteligence dejansko zmanjšajo tveganje. Začnite s vidnostjo, opredelite svoja pravila in jih uveljavite na robu. To je pot do varnega sprejetja umetne inteligence.