Gen AI 战略使 CISO 陷入压力之中

尽管知道风险，但高管们仍在积极推动各种形式的新一代人工智能部署和实验，而首席信息安全官则负责风险管理。

事实证明，高级管理人员对生成式人工智能前景的看法对许多首席信息安全官来说是诱人的。

根据一个NTT Data 最近的调查，89% 的高级管理人员 – 非常担心与新一代人工智能部署相关的潜在安全风险。 – 但是，报告发现，这些高级管理人员认为 – 新一代人工智能的前景和投资回报率超过了风险——这种情况可能会让 CISO 成为风险管理原因的唯一代言人。

调查显示，这可能会造成损失，因为几乎一半的企业首席信息安全官对生成式人工智能“持有负面情绪”，感到“压力、威胁和不知所措”。

这种冲突是很熟悉的。高级管理人员向业务线负责人施压，要求其采用新技术，以提高效率并提高利润。但生成式人工智能是一项充满风险的业务——可以说比迄今为止的任何技术都更具风险。它产生幻觉,越过护栏，危害合规性，并且吞噬敏感的企业数据.并且它正在迅速被企业所接受没有适当的安全强化，同时受到强调功能而非安全性的供应商的推动。

– 这是狂野的西部，有大量的人工智能应用程序和大量的语言模型选择，因此很难审查哪些内容是安全的。还有一些应用程序被伪装成合法，但实际上是窃取数据和促进勒索软件的计划，”Moor Insights & Strategy 副总裁兼首席分析师 Will Townsend 表示。– 对数据泄露的担忧是真实存在的。我们已经看到这种情况随着引入恶意代码的即时注入攻击而发生。”

Townsend 表示，首席信息安全官面临的最棘手的新一代人工智能问题之一是，许多新一代人工智能供应商在选择用于训练模型的数据时非常随意。– 这会给组织带来安全风险。 –

曾在 Mass Mutual、CVS、Aetna、KPMG、American Express 和 JP Morgan Chase 担任 CISO 级别职务的资深安全领导者 Jim Routh 表示，生成式 AI 渗透到 SaaS 解决方案使这个问题变得更加严重。

– 第一代人工智能的攻击面已经改变。过去，企业用户使用最大提供商提供的基础模型。如今，数百个 SaaS 应用程序已经嵌入了在整个企业中使用的法学硕士，”如今担任安全供应商 Saviynt 首席信任官的 Routh 说道。– 软件工程师在 HuggingFace.com 上拥有超过 100 万个开源 LLM 供他们使用。 –

专门从事人工智能和网络安全法律策略的律师罗伯特·泰勒 (Robert Taylor) 是达拉斯一家知识产权律师事务所 Carstens, Allen & Gourley 的法律顾问，他表示，他在各种规模的组织内的各个层面都看到了一个共同的主题。

– 他们不知道自己不知道什么。至少首席信息安全官已经准备好思考风险并了解人工智能带来的安全风险，”泰勒说。– 但人工智能带来了许多新的安全风险，他们正试图解决这些风险。目前有一些项目正在尝试评估新一代人工智能带来的多种类型的安全风险。我听说过安全风险的类别有数百种甚至超过一千种。

Townsend 推测，所有这些都会对 CISO 造成心理伤害。“当他们感到不知所措时，他们就会封闭起来，”他说。“他们做他们认为自己能做的事情，而忽略他们认为自己无法控制的事情。”

一个加速问题

与此同时，随着高级管理人员的推进，让他们的 CISO 不知所措，攻击者正在迅速行动。

“不良行为者正疯狂地以恶意方式利用这些新技术，因此 CISO 们对如何利用这些新一代人工智能解决方案和系统的担忧是正确的，”Taylor 说。人工智能解决方案不是传统的软件和服务，并且存在一些其他技术不必处理的漏洞。”

更糟糕的是，泰勒认为，新一代人工智能风险更加无定形且不断变化与传统技术相比，风险更大。

泰勒说，“Gen AI 在部署后继续发生变化，这为安全风险创造了更多机会，例如提示注入、数据中毒以及从与 gen AI 共享的信息中提取机密信息或 PII”。 

Forrester 副总裁兼首席分析师杰夫·波拉德 (Jeff Pollard) 指出，如果组织有面向客户或面向员工但影响客户的提示，那么及时的安全尤其是立即且必要的。导致未经授权的数据访问或泄露。