Varnost GenAI se nanaša na zaščito poslovnih okolij pred nastajajočimi tveganji generativnih orodij umetne inteligence, kot so ChatGPT, Gemini in Claude. Ko se ta orodja vse bolj uvajajo, uvajajo tveganja za uhajanje podatkov, skladnost s predpisi in senčno umetno inteligenco. Ta članek opredeljuje varnost GenAI in opisuje poslovne strategije za zagotavljanje varne in odgovorne uporabe umetne inteligence.

Razlaga GenAI

Varnost GenAI je praksa prepoznavanja in zmanjševanja tveganj, ki jih v poslovne delovne procese prinašajo generativna orodja umetne inteligence, kot so ChatGPT, Copilot in Claude. Ta orodja izboljšujejo učinkovitost in inovativnost, hkrati pa uvajajo novo in hitro razvijajočo se površino za napade umetne inteligence, ki je tradicionalne rešitve za kibernetsko varnost pogosto ne pokrijejo. Varnost GenAI odpravlja to vrzel z upravljanjem izpostavljenosti občutljivih podatkov, uveljavljanjem politik uporabe umetne inteligence v celotni organizaciji in odkrivanjem nevarnega, neskladnega ali zlonamernega vedenja umetne inteligence. Združuje tehnične zaščitne ukrepe, kot so preprečevanje izgube podatkov (DLP), spremljanje v brskalniku in nadzor dostopa, z robustnimi okviri upravljanja umetne inteligence, ki so usklajeni s politikami podjetja in regulativnimi standardi. Za razliko od varnosti razvoja umetne inteligence, ki se osredotoča na zavarovanje usposabljanja modelov in infrastrukture, varnost GenAI ščiti plast uporabe, kjer zaposleni komunicirajo z zunanjimi orodji umetne inteligence, s čimer zagotavlja varno, s politikami usklajeno in odgovorno zaščito umetne inteligence v podjetju.

Primarna tveganja GenAI v podjetjih

Ko organizacije pospešujejo uvajanje generativnih orodij umetne inteligence, se morajo spopasti tudi z novo kategorijo groženj. Ta tveganja ne izvirajo zgolj iz zlonamernih akterjev, temveč iz načina, kako generativna umetna inteligenca komunicira s podatki, uporabniki in zunanjim okoljem. Spodaj so navedene najnujnejše ranljivosti in varnostna tveganja umetne inteligence, ki jih morajo podjetja obvladovati.

1. Intelektualna lastnina in izpostavljenost zaupnim podatkov

Eno najbolj neposrednih in kritičnih tveganj GenAI je Uhajanje podatkov o umetni inteligenciZaposleni pogosto v orodja GenAI, kot je ChatGPT, vstavijo zaupne podatke, kot so osebni podatki strank, izvorna koda, poslovni načrti ali finančne projekcije, ne da bi se zavedali posledic. Te pozive je mogoče shraniti, obdelati ali uporabiti za nadaljnje usposabljanje, kar povzroči trajno izgubo nadzora nad temi podatki. Tudi če prodajalci trdijo, da ne izvajajo usposabljanja na vhodnih podatkih, se lahko podatki še vedno shranijo v predpomnilnik ali zabeležijo v zgodovino sej, kar pušča odprta vrata za kršitve ali zlorabe.

PrimerČlan finančne ekipe uporablja ChatGPT za ustvarjanje povzetka in v poziv prilepi preglednico s podatki o prihodkih za četrto četrtletje. Te finančne podatke lahko zdaj shrani ponudnik modela ali pa jih drugi uporabniki potencialno razkrijejo v prihodnjih poizvedbah.

2. Kršitve predpisov in skladnosti

Nenadzorovana uporaba GenAI lahko zlahka povzroči kršitve predpisov o varstvu podatkov, kot so GDPR, HIPAA, PCI DSSali CCPATi zakoni zahtevajo strogo ravnanje z osebnimi, zdravstvenimi ali plačilnimi podatki, česar večina orodij umetne inteligence tretjih oseb ni pogodbeno ali arhitekturno pripravljena zagotoviti.

PrimerPonudnik zdravstvenega varstva uporablja pomočnika za pisanje z umetno inteligenco za pripravo povzetka oskrbe pacienta, vključno z zdravstveno anamnezo. Že en sam poziv, ki vsebuje zaščitene zdravstvene podatke (PHI), deljen z zunanjim orodjem umetne inteligence, bi lahko bil kršitev HIPAA, o kateri je treba poročati, kar tvega regulativne globe in škodo ugledu. V močno reguliranih sektorjih lahko že en tak incident pritegne pozornost regulatorjev in revizorjev.

Podjetja morajo pozive umetne inteligence obravnavati kot odhodno komunikacijo in uporabljati enaka politika AI in upravljanje podatkov strogost za ohranjanje skladnosti.

3. Uporaba senčne umetne inteligence

Zaposleni pogosto uporabljajo osebne račune oz. nepooblaščena orodja umetne inteligence brez znanja IT ustvarjanje senčnih okolij umetne inteligence. Čeprav je senčna umetna inteligenca pogosto dobronamerna in je globoko vgrajena v delovne procese za povečanje produktivnosti, na koncu ne spada pod varnostne politike in ji ni treba spremljati ali beležiti podatkov, zaradi česar je plodna tla za kršitve skladnosti in uhajanje podatkov o umetni inteligenci ter slepa pega za varnostne in varnostne ekipe.

PrimerProdajna ekipa začne uporabljati potrošniško različico ChatGPT za pripravo ponudb za stranke. Sčasoma začnejo vnašati cenovne strategije, pogodbene pogoje in interne meritve uspešnosti, od katerih nobena ni zaščitena z orodji za preprečevanje izgube podatkov za podjetja.

4. Tvegani vtičniki in razširitve tretjih oseb

Razširitve in vtičniki brskalnika, ki jih poganja umetna inteligenca, uvajajo resne Ranljivosti AI zaradi preveč permisivnih zasnov. Mnogi imajo dostop do vse dejavnosti brskanja, podatkov odložišča ali piškotkov seje za delovanje, zaradi česar so privlačne tarče za izkoriščanje. 

Tveganja vključujejo:

  • Napadi z vbrizgavanjem umetne inteligenceZlonamerna spletna mesta ali skripti manipulirajo s pozivi vtičnikov za pridobivanje ali puščanje podatkov.
  • Ugrabitev sejeVtičnike z dostopom do žetonov seje je mogoče izkoristiti za poosebljanje uporabnikov.
  • Tiho zbiranje podatkovRazširitve lahko berejo ali prenašajo podatke brez uporabnikovega zavedanja.

Večino vtičnikov ustvarijo tretje osebe in morda niso podvrženi enakemu varnostnemu pregledu kot notranja orodja. Nepreverjena uporaba vtičnikov lahko povzroči nenadzorovano uhajanje podatkov in razkrije regulirane informacije neznanim akterjem, kar predstavlja veliko tveganje za generativne podatke umetne inteligence za podjetje.

Primer: Razširitev za povzemanje z umetno inteligenco, ki jo je namestil uporabnik, ima dovoljenja za branje vseh zavihkov. Napadalec izkoristi napako v vtičniku za pridobivanje občutljivih podatkov CRM, ki si jih uporabnik ogleda, ne da bi sprožil tradicionalno opozorilo DLP ali protivirusno opozorilo.

5. Erozija notranje varnostne strukture

Nenadzorovana uporaba umetne inteligence slabi splošno varnostno stanje podjetja. Ko zaposleni uporabljajo javna orodja umetne inteligence prek neupravljanih brskalnikov ali osebnih računov, občutljivi podatki zaobidejo tradicionalne varnostne kontrole, kot so požarni zidovi, zaščita končnih točk ali zaščita pred izgubo podatkov v oblaku. Varnostne ekipe izgubijo vpogled v to, kako in kje se podatki obravnavajo. Sčasoma to zmanjša sposobnost organizacije za odkrivanje kršitev, vzdrževanje pripravljenosti na revizijo in uveljavljanje varnostnih politik, zaradi česar je podjetje ranljivo za notranje in zunanje grožnje. Te varnostne slepe pege dati napadalcem ali neprevidnim notranjim osebam pot do izkoriščanja podatkov, ne da bi sprožili standardne obrambne mehanizme – s čimer generativna umetna inteligenca, varnost nujna prednostna naloga.

Primer:

Zaposleni, ki uporabljajo orodja GenAI, kot je ChatGPT, na osebnih napravah, delijo podatke o strankah, ki se nikoli ne dotaknejo korporativne infrastrukture, zaradi česar so nevidni za IT in ekipe za skladnost s predpisi.

6. Operativne in pravne motnje

Razkritje podatkov prek orodij GenAI lahko sproži pravne postopke, revizije in notranje preiskave, kar preusmerja vire in moti vsakodnevno poslovanje z odlašanjem projektov ter ustvarja notranja trenja med ekipami, ki iščejo odgovornost in blažitev. Poleg finančnih izgub zaradi prekinjenega dogovora se lahko organizacija sooči tudi s pravnimi zahtevki, kazenskimi klavzulami ali arbitražnimi postopki. 

Primer:

Proizvodno podjetje odkrije, da so bili v ChatGPT vneseni občutljivi pogoji dobaviteljev in da so morda ušli v javnost. Nabavne ekipe so prisiljene ponovno pogajati o pogodbah, medtem ko pravna služba upravlja poizvedbe dobaviteljev in ocene odgovornosti.

Ta tveganja poudarjajo, zakaj tradicionalni varnostni mehanizmi v dobi generativne umetne inteligence niso več zadostni. Od uhajanja podatkov o umetni inteligenci in senčne umetne inteligence do kršitev predpisov in groženj, ki temeljijo na vtičnikih, morajo organizacije ponovno premisliti o tem, kako spremljajo, upravljajo in varujejo uporabo umetne inteligence v celotnem podjetju. Če želite podrobneje preučiti te razvijajoče se grožnje in kako se z njimi spopasti, preberite celoten članek na Generativna AI tveganja.

Kaj spodbuja širjenje napadov z umetno inteligenco v podjetjih

Hiter vzpon generativne umetne inteligence je temeljito preoblikoval krajino groženj v podjetjih. Kar je bilo nekoč jasno opredeljeno področje, je zdaj razdrobljeno z naraščajočo konstelacijo orodij, vtičnikov in delovnih procesov v oblaku, ki jih poganja umetna inteligenca. Te tehnologije povečujejo produktivnost, hkrati pa dramatično širijo Površina napada umetne inteligence, kar uvaja nove varnostne slepe pege, za katere tradicionalne obrambe niso bile nikoli zasnovane.

Eksplozija orodij umetne inteligence in aplikacij SaaS, integriranih z umetno inteligenco

GenAI ni enak ChatGPT. Pravzaprav se je od izdaje ChatGPT novembra 2022 veliko spremenilo. Od takrat se ekosistem GenAI razvija z izjemno hitrostjo. Novi modeli in orodja, ki jih poganja umetna inteligenca, se pojavljajo tedensko in mesečno, pri čemer vsak ponuja več zmogljivosti in napredka kot prejšnji. Inovacije se pospešujejo tako hitro, da po podatkih Gartnerja znatno prehitevajo tempo katere koli druge tehnologije. 

Podjetja integrirajo generativno umetno inteligenco na vseh ravneh sklada. Od kopilotov umetne inteligence, vgrajenih v razvijalska okolja, do avtomatiziranih asistentov v platformah CRM, lahko povprečen zaposleni zdaj dnevno komunicira z več sistemi umetne inteligence. Ponudniki SaaS, od Notion in Slack do Salesforce in Microsoft 365, so vsi predstavili Funkcije, integrirane z umetno inteligenco zasnovano za izboljšanje učinkovitosti delovnega procesa. Za uporabnike izboljšave, ki jih poganja umetna inteligenca, postajajo standardno pričakovanje in ne le priročen dodatek. GenAI je postala sestavni del delovnega mesta. Vendar te iste integracije pogosto prinašajo širok dostop do internih podatkov, dokumentov, koledarjev in pogovorov.

To širjenje SaaS AI orodja pomeni, da morajo organizacije zdaj zavarovati raznolik nabor zunanjih platform, ki pogosto sprejemajo občutljive podatke brez doslednega beleženja, nadzora dostopa ali vidnosti. Vsaka nova integracija ustvarja potencialni vektor za Izpostavljenost podatkom umetne inteligence, še posebej, če privzete nastavitve dajejo prednost uporabnosti pred varnostjo.

Brskalniki so nova delovna mesta umetne inteligence

Za razliko od tradicionalnih poslovnih aplikacij, ki delujejo kot namenske namizne aplikacije, večina interakcij z GenAI poteka prek spletnih brskalnikov. Do večine orodij umetne inteligence, kot so ChatGPT, Claude in Gemini, se dostopa prek brskalnika. Čeprav je ta model, ki temelji na brskalniku, priročen, uvaja edinstvene funkcije. tveganja umetne inteligence brskalnika kot Napadi tipa »človek v sredini« (MITM), Kraja žetonov ali celo izkoriščanje razširitev brskalnika postaneta mogoča, če seja ni pravilno izolirana.

Tradicionalna varnostna orodja, ki so bila zasnovana za starejše poslovne aplikacije in nadzorovana okolja, niso dovolj opremljena za pregledovanje ali nadzor interakcij umetne inteligence v dinamičnih sejah brskalnika. Ne morejo razlikovati med varnimi in nevarnimi vnosi, uporabo osebnih in poslovnih računov ali zaznati kopiranja in lepljenja občutljivih podatkov v pozive LLM. Uporabniki lahko na primer preprosto prilepijo občutljive podatke finančnih podjetij v ChatGPT ali naložijo lastniško izvorno kodo, ne da bi sprožili varnostna opozorila. To pomanjkanje vidnosti in nadzora v realnem času, ki se zaveda konteksta, na ravni brskalnika ustvarja znatna tveganja in sili podjetja, da ponovno premislijo o svojih varnostnih strategijah na delovnem mestu, ki je usmerjeno v umetno inteligenco.

Razširitve produktivnosti, ki jih poganja umetna inteligenca

Razširitve brskalnika, ki jih poganja generativna umetna inteligenca, kot so povzemalniki, pomočniki za pisanje ali zapisovalniki sestankov, pogosto zahtevajo pretirano dovoljenje. Ta vključujejo dostop do vsebine strani, piškotkov in včasih do pritiskov tipk. Številne so ustvarili razvijalci tretjih oseb z omejenim ali brez varnostnega nadzora.

Te razširitve odpirajo vrata do Napadi z vbrizgavanjem umetne inteligence, tiho strganje podatkovali ugrabitev seje, še posebej, če so nameščeni na neupravljanih končnih točkah. Ko so nameščeni, delujejo tiho, v realnem času komunicirajo z uporabniškimi podatki in jih prenašajo zunanjim API-jem, ki so pogosto zunaj dosega tradicionalnih varnostnih orodij.

Delovni tokovi, povezani z API-jem, v oblaku

V okoljih, ki temeljijo na oblaku, so zmogljivosti umetne inteligence vse bolj vgrajene v avtomatizirane delovne procese prek API-jev. Razvijalci lahko povežejo LLM-je s cevovodi CI/CD, tokovi storitev za stranke ali cevovodi za obdelavo podatkov, pri čemer pogosto posredujejo strukturirane ali nestrukturirane podatke modelom umetne inteligence tretjih oseb za povzemanje, prevajanje ali klasifikacijo.

To ustvarja večinoma nevidno Površina napada umetne inteligence, kjer občutljivi podatki tečejo v storitve umetne inteligence in iz njih, ne da bi bili ustrezno skenirani ali filtrirani. Končne točke API-ja je mogoče izkoristiti tudi za vnašanje sovražnih vhodnih podatkov, izsiljevanje notranjih podatkov ali izvajanje varnostnih izkoriščanj umetne inteligence, če niso pravilno potrjene.

Izziv opazovanja

Velik izziv pri zagotavljanju te nove, na umetni inteligenci temelječe pokrajine je pomanjkanje opazovanja v realnem časuTradicionalna varnostna orodja ne zaznavajo izvorno pozivov umetne inteligence, ne sledijo uporabi orodij umetne inteligence ali ne prepoznajo konteksta podatkovnih tokov znotraj sej brskalnika ali interakcij API-ja. Posledično organizacije ne vedo, kako, kje in kdaj podatki vstopajo ali izstopajo iz plasti umetne inteligence. 

 

Za zaščito pred sodobnimi Varnostna tveganja AIOrganizacije potrebujejo vpogled v vsako interakcijo med uporabniki in umetno inteligenco – ne glede na to, ali se dogaja v zavihku brskalnika, integraciji SaaS ali klicu oblačnega API-ja. Brez stalnega spremljanja, upravljanja in izvrševanja postane plast umetne inteligence nenadzorovana vrata za uhajanje, prenos ali izkoriščanje občutljivih podatkov.

Brskalniško zasnovano DLP in nevarno oblikovanje vtičnikov v ekosistemih GenAI

Ker se v podjetjih pospešuje sprejemanje generativne umetne inteligence, je brskalnik postal osrednja dostopna točka, kjer zaposleni komunicirajo z orodji, kot so ChatGPT, Microsoft Copilot in na stotine razširitev, ki jih poganja umetna inteligenca. Toda s tem premikom prihaja nujna potreba po ponovnem razmisleku o tradicionalnem preprečevanju izgube podatkov (DLP). DLP brskalnika se pojavlja kot ključna varnostna plast za spremljanje in nadzor uporabe umetne inteligence v okoljih, ki so vse bolj odvisna od razširitev za Chrome, aplikacij SaaS in spletnih vtičnikov.

Zakaj je DLP na ravni brskalnika pomemben v dobi umetne inteligence (GenAI)

Za razliko od tradicionalnih aplikacij so orodja GenAI večinoma spletna in do njih pogosto dostopajo zunaj odobrenih platform. Zaposleni pogosto uporabljajo razširitve brskalnika ali spletne aplikacije za ustvarjanje kode, vsebine ali vpogledov. Ta uporaba zaobide starejša orodja DLP, ki se osredotočajo na končne točke, e-pošto ali ustvarjanje omrežnega prometa. Slepe pege pri varstvu podatkov z umetno inteligenco.

Rešitve DLP, ki temeljijo na brskalniku, odpravljajo te vrzeli s pregledovanjem uporabniških interakcij v brskalniku v realnem času. To organizacijam omogoča, da zaznajo, kdaj se občutljivi podatki, kot so izvorna koda, zapisi strank ali finančni dokumenti, kopirajo, vtipkajo ali naložijo v pozive umetne inteligence. V kombinaciji z uveljavljanjem pravilnikov to organizacijam omogoča, da blokiranje, redigiranje ali opozarjanje na tvegano vedenje, preden so podatki razkriti.

Skrito tveganje nezanesljivih vtičnikov in razširitev umetne inteligence

Razširitve brskalnika z umetno inteligenco Še posebej problematične so tiste, ki omogočajo ali izboljšujejo funkcionalnost umetne inteligence. Številne so zasnovane s širokimi dovoljenji za dostop do podatkov iz odložišča, manipulacijo vsebine strani ali prestrezanje vnosov. Brez ustreznega preverjanja te razširitve uvajajo uhajanje podatkov prek vtičnikov in druga zelo resna tveganja, kot so:

  • Ugrabitev seje – Zlonamerni vtičniki lahko zbirajo piškotke za preverjanje pristnosti in napadalcem omogočajo dostop do aplikacij SaaS ali notranjih sistemov.
  • Napadi z vbrizgavanjem umetne inteligence – Razširitve lahko spremenijo vnose ali odgovore v pozive, vbrizgajo zlonamerne ukaze ali spremenijo izhod na načine, ki ostanejo neopaženi.
  • Tiho izbruhovanje podatkov – Nekateri vtičniki beležijo interakcije uporabnikov ali pozivajo k vsebini in jo pošiljajo na strežnike tretjih oseb brez uporabnikove vednosti.

Tveganje ni hipotetično. Leta 2023 so odkrili priljubljeno razširitev ChatGPT z več kot 10,000 namestitvami, ki krade žetone sej Facebooka, kar dokazuje, kako Tveganja razširitve GenAI lahko prerastejo v popolne varnostne incidente.

Uhajanje podatkov med vtičniki

Vtičniki brskalnika z umetno inteligenco pogosto zahtevajo široka dovoljenja za dostop do vsebine strani, vnosnih polj, odložišč ali procesov v ozadju. Ko se v istem brskalniku izvaja več razširitev, se ta dovoljenja lahko prekrivajo, kar ustvarja nenamerne poti za izpostavljenost podatkov.

Na primer, pomočnik za pisanje lahko obdeluje vnose dokumentov, medtem ko ločen vtičnik dostopa do istega DOM-a ali lokalnega pomnilnika. Brez stroge izolacije podatkov, Občutljiva vsebina se lahko nenamerno prenaša med vtičniki tudi če nobeno ni zlonamerno. 

To tveganje se povečuje s procesi v ozadju in deljenimi API-ji, kjer bi lahko en vtičnik deloval kot most za prenos podatkov iz drugega. Zato sočasno delujoče razširitve GenAI brišejo meje podatkov, zaradi česar sta izolacija vtičnikov in DLP v brskalniku bistvena.

Omejitve trgovin z aplikacijami za brskalnik

Trgovine z razširitvami za Chrome in Edge dajejo prednost dostopu potrošnikov, ne pa varnosti podjetij. Primanjkuje jim poglobljenih pregledov dovoljenj, varnih standardov razvoja in spremljanja po objavi. To omogoča zlonamerni ali preveč permisivni vtičniki GenAI da ostanejo aktivni, dokler jih uporabniki ali raziskovalci ne prijavijo. Številne so zgradili neznani razvijalci z nepreglednimi praksami obdelave podatkov, vendar imajo dostop do kritičnih delovnih procesov. Trgovine z aplikacijami brskalnika niso zaupanja vredni varuhi. Podjetja morajo predhodni veterinarski pregled, nadzor in spremljanje Sami vtičniki umetne inteligence.

Uporaba načel ničelnega zaupanja pri razširitvah umetne inteligence

Uporaba a Nič zaupanja Namenskost razširitev brskalnika je bistvena, zlasti v okoljih z intenzivno uporabo umetne inteligence. Tako kot podjetja natančno pregledujejo aplikacije, uporabnike in naprave, Vtičniki morajo biti privzeto obravnavani kot nezaupanja vredni.

To pomeni:

  • Preverjanje pristnosti založnika pred namestitvijo
  • Spremljanje obsega dovoljenj za preprečevanje prekoračitve (npr. odložišče, DOM, dostop v ozadju)
  • Neprekinjeno spremljanje delovanja vtičnikov, tudi po odobritvi

V delovnih procesih GenAI, kjer vtičniki pogosto dostopajo do občutljivih besedilnih vnosov, ta pristop pomaga preprečiti tiho iztekanje podatkov in zlorabo privilegijev. Podjetja ne smejo implicitno zaupati nobenemu vtičniku. Namesto tega morajo vsakega obravnavati kot potencialno tveganje in uveljavljati dostop z najmanjšimi privilegiji, preverjena identitetaTa večplastni varnostni pristop zagotavlja, da lahko podjetja izkoristijo prednosti produktivnosti, ki jih ponuja GenAI, ne da bi pri tem odprla vrata vdorom prek vtičnikov ali nepooblaščenemu prenosu podatkov.

Zakaj je upravljanje umetne inteligence osrednjega pomena za varnost

Ker generativna orodja umetne inteligence postajajo del vsakodnevnih poslovnih delovnih procesov, izziv za varnostne vodje ni več, ali naj umetno inteligenco dovolijo, temveč kako jo odgovorno nadzorovati. Tukaj pride prav. Upravljanje umetne inteligence postane osrednjega pomena za varnost podjetja in zagotavlja okvir za zagotavljanje varna uporaba umetne inteligence, uravnoteženje inovacij z obvladovanjem tveganj in omogočanje produktivnosti brez ogrožanja integritete podatkov, skladnosti ali zaupanja.

V svojem bistvu upravljanje z umetno inteligenco usklajuje varnostne, pravne in skladnostne ekipe okoli skupnega politika AI ki zagotavlja strateški in operativni okvir, potreben za nadzor dostopa do orodij umetne inteligence, njihove uporabe in spremljanja, s čimer se zagotavlja pripravljenost podjetij, ko se uvajanje umetne inteligence širi. Okvir mora vključevati: 

1. Oblikovanje pravilnika za uporabo umetne inteligence

Učinkovito upravljanje umetne inteligence se začne z jasnim Pravilnik o uporabi umetne inteligence ki določa, katera orodja so odobrena, kateri podatki se lahko uporabljajo in kje je umetna inteligenca primerna ali omejena. Odpravlja dvoumnost, usklajuje deležnike in postavlja temelje za varno in skladno uvajanje umetne inteligence v vseh ekipah.

2. Dostop do orodij umetne inteligence na podlagi vlog

Nadzor dostopa na podlagi vlog (RBAC) zagotavlja, da zaposleni uporabljajo le orodja umetne inteligence, ki so ustrezna njihovim vlogam, kar omogoča produktivnost in hkrati ščiti občutljive podatke. Temelji na načelu, da vsi zaposleni ne potrebujejo ali ne bi smeli imeti dostopa do enakih zmogljivosti ali naborov podatkov umetne inteligence za svoje delovno področje. Razvijalci, tržniki in pravne ekipe itd. dobijo prilagojen dostop, kar zmanjšuje tveganje in preprečuje zlorabo. Ti nadzori preprečujejo nenamerno zlorabo, hkrati pa podpirajo legitimne potrebe po produktivnosti glede na poslovno funkcijo in profil tveganja.

3. Odobritve uporabe in obravnavanje izjem

Okviri upravljanja umetne inteligence bi morali vključevati tudi poteke dela za upravljanje izjem in posebnih primerov uporabe. Če zaposleni ali ekipa potrebuje dostop do omejenega orodja ali primera uporabe umetne inteligence:

  • Morali bi predložiti uradno zahtevo.
  • Zahteva mora iti skozi postopek pregleda tveganja, v katerega so vključeni deležniki na področju varnosti ali skladnosti.
  • Začasni dostop se lahko odobri pod posebnimi varovali, kot sta dodatno spremljanje ali ročni pregled izhodnih podatkov.

Ta sistem odobritve uporabe in obravnavanje izjem zagotavlja fleksibilnost brez žrtvovanja nadzora.

4. Centralizirano beleženje in pregled interakcij z umetno inteligenco

Upravljanje ni le opredeljevanje, kaj je dovoljeno, temveč tudi zagotavljanje preglednosti nad tem, kaj se dejansko dogaja. Centralizirano beleženje interakcij orodij umetne inteligence zagotavlja možnost revizije, potrebno tako za notranjo odgovornost kot za zunanjo skladnost.

To vključuje beleženje zgodovine pozivov in odgovorov, zajemanje metapodatkov, kot so ID uporabnika, čas seje in kontekst brskalnika itd. Ti zapisi pomagajo odkrivati zlorabe, preiskovati incidente in sčasoma izpopolnjevati pravilnike.

5. Spremljanje kršitev pravilnikov ali nenavadnega vedenja

Za sklenitev zanke med politiko in zaščito je treba upravljanje umetne inteligence združiti s spremljanjem v realnem času. Varnostne ekipe potrebujejo sisteme, ki lahko:

  • Zazna pozive, ki vsebujejo omejene podatke (npr. ključne besede, vzorce regularnih izrazov).
  • Označite ali blokirajte nepooblaščeno uporabo orodij umetne inteligence v brskalniku ali na neupravljanih napravah.
  • Prepoznajte nenormalno vedenje, kot so pretirana pogostost pozivov, nenavadni časi dostopa ali nepričakovana aktivnost vtičnikov.

Z nenehnim spremljanjem kršitev politik se upravljanje iz statičnega dokumenta preoblikuje v aktivno, prilagodljivo varnostno plast.

Prilagajanje upravljanja hitro razvijajočemu se okolju umetne inteligence

Obstoječi okviri upravljanja, kot sta ISO/IEC 42001 (sistemi upravljanja umetne inteligence) in okvir za upravljanje tveganj umetne inteligence NIST, ponujajo koristna izhodišča, vendar jih je treba prilagoditi tako, da upoštevajo edinstven tempo in vedenje orodij GenAI. Ta orodja ne delujejo kot tradicionalna programska oprema; razvijajo se v realnem času, obdelujejo nepredvidljive vnose in se pogosto uporabljajo prek vmesnikov potrošniške ravni.

Zato mora biti upravljanje umetne inteligence iterativno in dinamično. Pogosto ga je treba pregledovati, odražati vzorce uporabe v resničnem svetu in se razvijati skupaj z zmogljivostmi umetne inteligence in obveščanjem o grožnjah. 

Upravljanje: Most med omogočanjem in zaščito

Skratka, upravljanje umetne inteligence je vezno tkivo med odgovornim omogočanjem umetne inteligence in zaščito na ravni podjetja. Zagotavlja, da orodja umetne inteligence niso le dovoljena, temveč se uporabljajo varno, etično in v celoti v skladu z notranjimi in zunanjimi mandati. Brez formalne strukture upravljanja se podjetja soočajo z razdrobljenim okoljem, kjer zaposleni prosto eksperimentirajo s ChatGPT, Copilot in drugimi orodji – pogosto prilepijo občutljive podatke v javne modele ali uporabljajo nepreverjene vtičnike. To odpira vrata kršitvam skladnosti, uhajanju podatkov in nenadzorovanemu odločanju z umetno inteligenco, ki bi lahko vplivalo na poslovanje ali pravni položaj. Zato mora upravljanje, medtem ko se GenAI še naprej razvija, ostati prilagodljivo, izvršljivo in globoko integrirano v širšo varnostno arhitekturo organizacije.

Najboljše prakse za varnost GenAI

  • Preslikajte vso uporabo umetne inteligence v organizaciji

Prvi korak pri obvladovanju tveganja GenAI je opredelitev, kako se uporablja v celotnem podjetju. Kot del tega procesa kartiranja morajo organizacije spremljati:

  • Katera orodja GenAI se uporabljajo? Ali do njih dostopate prek spletnih aplikacij, razširitev brskalnika ali samostojne programske opreme?
  • Kdo jih uporablja? Ali so v oddelkih za raziskave in razvoj, trženje, finance ali druge oddelke?
  • Za kaj uporabljajo GenAI? Naloge, kot so pregledi kode, analiza podatkov in ustvarjanje vsebin?
  • Kakšni podatki se vnašajo v ta orodja?  Ali zaposleni razkrivajo kodo, občutljive poslovne podatke ali osebne podatke?

Ko boste imeli odgovore na ta vprašanja, lahko začnete graditi jasen profil uporabe, prepoznati področja z visokim tveganjem in ustvariti načrt, ki omogoča produktivnost, hkrati pa zagotavlja varstvo podatkov.

  • Uvedite dostop na podlagi vlog in preprečite osebne račune

Uporabi nadzor dostopa na podlagi vlog za omejitev izpostavljenosti glede na delovno funkcijo in tveganje občutljivosti podatkov. Razvijalci bodo morda potrebovali dostop do pomočnikov za kodiranje umetne inteligence, medtem ko bodo pravne ali finančne ekipe morda potrebovale omejitve zaradi ravnanja z občutljivimi podatki. Za izjeme uporabite poteke dela za odobritev, ki omogočajo prilagodljivost pod nadzorom upravljanja. 

Da bi organizacije zaščitile občutljive podatke pred nezaščitenimi najemniki LLM, bi morale blokirati osebne prijave in naložiti dostop prek poslovnih računov, ki imajo varnostne funkcije, kot so zasebni najemniki, zaveze brez usposabljanja, strogi nadzor hrambe podatkov in močnejša varovanja zasebnosti.

  • Uvedba zaščite pred izgubo podatkov (DLP) na ravni brskalnika

Do generativnih orodij umetne inteligence se dostopa pretežno prek brskalnika, zaradi česar Umetna inteligenca za preprečevanje izgube vsebin (DLP) na ravni brskalnika, kritična kontrolna točka. Orodja za preprečevanje izgube podatkov v brskalniku lahko:

  • Zaznavanje vnosa občutljivih podatkov v pozive umetne inteligence
  • Blokirajte ali redigirajte regulirane informacije v realnem času
  • Zagotovite interakcije z dnevniki za skladnost s predpisi in pripravljenost na revizijo

Nadzor DLP v brskalniku je bistvenega pomena za spremljanje uporabe umetne inteligence, ki zaobide tradicionalna orodja za varnost končnih točk ali omrežja.

  • Spremljanje in upravljanje razširitev umetne inteligence

Razširitve brskalnika, ki jih poganja umetna inteligenca, predstavljajo tveganje zaradi pretirano permisivnega dostopa do spletnih strani, pritiskov tipk in podatkov seje. Uporabite pravilnike za nadzor razširitev z umetno inteligenco, ki:

  • Omeji namestitev neodobrenih ali neznanih vtičnikov
  • Preglejte uporabljene razširitve in ocenite njihova dovoljenja
  • Blokiraj razširitve s prekomernim dostopom do poslovnih aplikacij

Neprekinjeno pregledujte delovanje vtičnikov, da zaznate nenavadne dejavnosti ali tiho zajemanje podatkov.

  • Izobražujte zaposlene o varni uporabi umetne inteligence

Programi ozaveščanja o varnosti v podjetjih morajo vključevati tudi usposabljanja za varno uporabo GenAI. Organizacije morajo zaposlene usposobiti za:

  • Prepoznajte, katerih podatkov nikoli ne smete deliti z orodji umetne inteligence.
  • Uporabljajte odobrene platforme in upoštevajte smernice pravilnikov.
  • Prijavite sum zlorabe ali nepooblaščenih orodij.

Vključite varnost umetne inteligence v redne cikle usposabljanja, da bi okrepili odgovorno vedenje, ko se orodja umetne inteligence razvijajo.

Vplivi slabe varnosti GenAI v resničnem svetu

Čeprav lahko orodja GenAI, kot je ChatGPT, pospešijo produktivnost, je njihova zloraba ali nezaščitena uporaba že privedla do znatnih kršitev, kršitev skladnosti in škode za ugled. Šibko upravljanje umetne inteligence, preveč permisivne razširitve in nedovoljena uporaba orodij so se izkazale za glavne dejavnike varnostnih napak v resničnem svetu, kar poudarja, zakaj upravljanje tveganj GenAI ni več neobvezno.

1. Izpostavljenost izvorne kode pri Samsungu

V začetku leta 2023 je Samsung prišel na naslovnice, potem ko so inženirji v ChatGPT prilepili lastniško izvorno kodo za odpravljanje napak. Čeprav je bil namen izboljšati produktivnost, je bil vpliv takojšen: zelo zaupna koda je bila potencialno izpostavljena modelom in sistemom za shranjevanje OpenAI. Ta incident je sprožil notranjo prepoved ChatGPT in spodbudil revizijo uporabe orodij umetne inteligence v celotnem podjetju.

Takeaway: Tudi dobronamerna uporaba GenAI lahko povzroči nepopravljivo izgubo podatkov, če niso opredeljene in uveljavljene ustrezne meje uporabe.

2. Zloraba ChatGPT vodi do preiskave skladnosti v skupini DWS

Skupina DWS, hčerinska družba za upravljanje premoženja Deutsche Bank, je bila preiskana, potem ko so zaposleni uporabljali ChatGPT za investicijske raziskave in komunikacijo s strankami. Regulatorji so to označili za kršitev skladnosti in opozorili, da morajo finančne institucije preveriti orodja umetne inteligence in zagotoviti, da rezultati ustrezajo regulativnim standardom točnosti in ravnanja s podatki.

Učinek: Regulativni nadzor, tveganje ugleda, zaostrovanje politike skladnosti.

3. Teleperformance – pomisleki glede zasebnosti podatkov pri orodjih za spremljanje umetne inteligence

Teleperformance, globalni ponudnik storitev za stranke, se je soočil z nadzorom zaradi uporabe orodij za nadzor, ki jih poganja umetna inteligenca, za spremljanje zaposlenih od doma. Ugotovljeno je bilo, da orodja zajemajo osebne in občutljive podatke, vključno z videoposnetki, brez ustreznega soglasja uporabnika ali zaščitnih ukrepov. Regulatorji za varstvo podatkov so sprožili vprašanja. Zloraba AI in etičnih pomislekov.

Učinek: Javne reakcije, revizije varstva podatkov in operativne spremembe pri uvajanju orodij umetne inteligence.

4. Halucinacije umetne inteligence vodijo do pravnega tveganja

Mednarodno svetovalno podjetje se je soočilo z izgubo ugleda, ko je generativno orodje umetne inteligence, ki se uporablja za interne raziskave, v dokumentu, namenjenem strankam, vrnilo netočne informacije. Halucinirana vsebina, predstavljena kot dejanska, je privedla do poškodovanega odnosa s strankami in izgube pogodbe.

Takeaway: Generativni vpliv umetne inteligence sega onkraj varnosti, saj lahko orodja, ki ustvarjajo napačne ali zavajajoče rezultate, povzročijo škodo ugledu, operativno in pravno škodo, če se uporabljajo brez ustreznega pregleda.

5. Povečana obremenitev IT zaradi širjenja orodij Shadow AI

Zaradi odsotnosti centraliziranih kontrol zaposleni pogosto uporabljajo nepooblaščena orodja in vtičnike umetne inteligence za povečanje produktivnosti. Zaradi tega širjenja IT-ekipe je treba slediti, ocenjevati in zmanjševati neznana tveganja.

primer: Podjetje s seznama Fortune 500 je odkrilo več kot 40 neodobrenih orodij umetne inteligence, ki so se aktivno uporabljala v različnih oddelkih, vsako z različnimi ravnmi dostopa in nejasnimi praksami ravnanja s podatki.

Učinek: Povečani stroški IT, razdrobljena krajina tveganj, nujna potreba po upravljanju.

6. Varnostni incidenti zaradi zlonamernih razširitev ali vtičnikov

Razširitve brskalnika GenAI lahko povzročijo vbrizgavanje umetne inteligence, tihi dostop do podatkov ali tveganja ugrabitve sej, zlasti če so preveč permisivne ali jih varnostne ekipe ne preverijo.

primer: V spletni trgovini Chrome je bila najdena razširitev ChatGPT, ki krade piškotke seje Facebooka in napadalcem omogoča poln dostop do računa.

Učinek: Prevzemi računov, kršitve na ravni brskalnika, erozija zaupanja uporabnikov.

Brez močne varnosti in upravljanja GenAI podjetja tvegajo več kot le tehnične ranljivosti. Soočajo se s pravnimi, uglednimi in operativnimi posledicami. Proaktivno obravnavanje teh tveganj s kontrolami na ravni uporabe, DLP in upravljanjem na podlagi vlog je bistvenega pomena za omogočanje varne in produktivne uvedbe umetne inteligence.

Kako LayerX varuje uporabo GenAI

Ko podjetja sprejemajo orodja GenAI, postaja izziv zaščite občutljivih podatkov pred nenamernim razkritjem nujen. Tradicionalna varnostna orodja niso bila zasnovana za dinamično, v brskalniku temelječo naravo interakcij GenAI. Tukaj nastopi LayerX – zagotavlja namensko vgrajene, brskalniku prijazne obrambne mehanizme, ki zagotavljajo preglednost, nadzor in zaščito pred nenamernim uhajanjem podatkov v realnem času, ne da bi pri tem ogrozili produktivnost.

  • Brskalnik DLP v realnem času za pozive umetne inteligence

Jedro rešitve LayerX je njena zmogljivost DLP (preprečevanje izgube podatkov). Za razliko od starejših orodij DLP, ki delujejo na ravni omrežja ali končnih točk, se LayerX integrira neposredno v brskalnik – primarni vmesnik za orodja umetne inteligence, kot je ChatGPT. To mu omogoča pregled in nadzor uporabniškega vnosa v realnem času, še preden podatki zapustijo območje podjetja. LayerX zazna občutljive podatke, kot so osebni podatki, izvorna koda, finančni podatki ali zaupni dokumenti, ko jih uporabniki poskušajo prilepiti ali vnesti v ChatGPT. Nato uveljavi ukrepe, ki temeljijo na pravilnikih, kot so brisanje, opozorila ali popolna blokada.

RezultatObčutljivi podatki se ustavijo pri viru, kar preprečuje nenamerno ali nepooblaščeno razkritje brez prekinitve uporabnikovega delovnega procesa.

  • Generativno spremljanje umetne inteligence in vidnost senčne umetne inteligence

LayerX zagotavlja popoln vpogled v vsa orodja GenAI, spletna mesta in aplikacije SaaS, do katerih dostopajo uporabniki, ne glede na to, ali so odobreni ali v senci. Z nenehnim spremljanjem dejavnosti brskalnika prepozna, kdo uporablja katera orodja umetne inteligence in prek katerih računov – korporativnih, SSO ali osebnih. Prav tako zazna, kakšne vrste podatkov se vnašajo, ne glede na to, ali pišejo pozive, lepijo podatke o strankah ali nalagajo občutljive datoteke. 

Izid: To varnostnim ekipam omogoča, da odkrijejo nepooblaščeno uporabo, odpravijo senčno umetno inteligenco, spremljajo interakcije z občutljivimi podatki, prepoznajo vedenje z visokim tveganjem in sprejmejo korektivne ukrepe, preden pride do incidenta s podatki.

  • Podrobno, kontekstualno upoštevanje izvrševanja politik

Z LayerX lahko podjetja opredelijo kontekstno ozaveščene pravilnike, prilagojene primerom uporabe umetne inteligence. Pravilnike je mogoče uveljavljati na ravni brskalnika glede na uporabniško vlogo, kontekst aplikacije, vrsto podatkov in atribute seje. Pravilniki lahko na primer marketinškim ekipam omogočijo uporabo ChatGPT za ustvarjanje vsebine, hkrati pa blokirajo pošiljanje podatkov o strankah ali internih dokumentov. Razvijalcem je mogoče dovoliti testiranje delčkov kode, vendar ne deljenje repozitorijev izvorne kode. LayerX uveljavlja dejanja, ki temeljijo na pravilnikih, kot so redigiranje, opozorila, ki uporabnike opozorijo, ko bodo kršili pravilnik, ali popolno blokiranje.

RezultatOmogočanje umetne inteligence in zaščita podjetij z umetno inteligenco, kar zagotavlja odgovorno uporabo brez omejevanja inovacij.

  • Upravljanje vtičnikov in razširitev

LayerX ščiti tudi pred tveganimi interakcijami vtičnikov umetne inteligence, ki lahko neopazno preusmerijo vsebino pozivov v API-je tretjih oseb. Prepozna in kategorizira razširitve in vtičnike brskalnika umetne inteligence glede na stopnjo tveganja, vir in funkcionalnost. Prav tako spremlja in upravlja vedenje vtičnikov, kar administratorjem omogoča odobritev, blokiranje ali omejitev vtičnikov na podlagi njihovih praks ravnanja s podatki. 

RezultatPodjetja zmanjšujejo izpostavljenost ranljivostim, ki temeljijo na vtičnikih, in uveljavljajo močnejše upravljanje podatkov umetne inteligence v celotni organizaciji.

Zaključek: Omogočanje varne in prilagodljive umetne inteligence v celotnem podjetju z LayerX

Generativna umetna inteligenca bo ostala in spreminja način dela v vsaki organizaciji. Toda brez ustreznih zaščitnih ukrepov se lahko orodja GenAI, kot je ChatGPT, hitro spremenijo iz spodbujevalnikov produktivnosti v tveganja za uhajanje podatkov. LayerX podjetjem omogoča, da samozavestno sprejmejo umetno inteligenco, s preglednostjo, nadzorom in zaščito, ki so potrebni za varnost občutljivih podatkov, skladnost uporabe in nadzor nad tveganji. Ne glede na to, ali se borite proti senčni umetni inteligenci, uveljavljate pravilnike o uporabi umetne inteligence ali preprečujete uhajanje podatkov v realnem času, LayerX zagotavlja varnostno osnovo za varno in prilagodljivo uvajanje umetne inteligence. 

Ne dovolite, da inovacije umetne inteligence prehitijo vašo varnostno strategijo. Uvedite LayerX še danes in spremenite umetno inteligenco iz tveganja v konkurenčno prednost.

Zahtevajte predstavitev da vidite LayerX v akciji.