top of page

人工智能與安全性:你的組織準備好了嗎?AI and Security: Is Your Organization Ready?


5 月下旬,一個著名的社交媒體平台上出現了一張圖片,顯示美國五角大樓附近的美國武裝部隊總部大樓冒出滾滾濃煙。地方和國家官員很快就證實這是假新聞,但該貼文仍是在國內外投資圈傳播,導致 S&P 500 指數在反彈前下跌,雖然只是短暫的下跌。根據調查,這圖片可能是用生成式人工智能所創造產生的影像。



幾天後,一封由 350 多名人工智能專家和公眾人物簽署的公開信中,產業領袖警告「減輕人工智能所帶來的毀滅性風險,應該等同於流行疾病和核武戰爭等其他社會規模風險,一起列為全球優先注意事項。」


這些並不是危言聳聽的論述,來嚇唬商界領袖,而是為了說明幾個關鍵重點:

  1. 生成式人工智能時代已經到來,而且沒有回頭路,即使要統治它也很困難。對於企業而言,創建人工智能意識文化,並讓團隊對於探索未知領域預先做好準備,更顯重要。

  2. 美國立法制定相關保障需要時間。企業不能等待立法完成,才來規劃人工智能的應用、實施、安控與災難應變。企業現在就要現實地評估各種可能的威脅,並建立防禦措施。

  3. 對於不良意圖的人來說,人工智能明顯讓他們更容易製作以假亂真的題材,來製造紛亂。


企業領導者應該抿心自問:「我的組織準備好了嗎?如果沒有,我該如何準備?」


企業人工智能安全應注意事項


生成式人工智能平台 Writer 最近透露,近一半的高層主管相信,企業資訊在無意時,已與使用最廣泛的生成式人工智能平台 ChatGPT 共享。這些擔憂並非毫無根據的。


事實上,網絡安全資深專家、The Mako Group執行長 David Lefever 也發現,現今愈來愈多企業領導者也在擔心可能造成的威脅。其中包括在未授權的情況下,無意與第三方系統共享資訊,所造成的「洩漏資訊」。這可能會導致隱私或機密資訊洩漏、無效和不正確的訊息傳遞、意外安控風險和其他各種威脅。


所有人工智能安全計劃至少應包括:

  • 漏洞管理

隨著人工智能普及,使得網絡攻擊更興盛,零日攻擊 (Zero-Day Attack) 可能會變得更普遍。也就是說當駭客從發現漏洞到發動攻擊,系統程式開發者無法立即解決或阻止。

  • 詐欺和威脅檢測

人工智能讓詐騙手法變得更先進。詐欺和威脅檢測是建立網路安全計劃的關鍵。如此可以降低攻擊風險,並且大幅減少攻擊發生時所造成的影響。

  • 持續性滲透測試

進行內外部各種安控滲透測試,並非一勞永逸。公司領導者必須意識到,即使是季度測試也是不夠的,必須要持續性監控。

  • 知識產權風險

在運用生成式人工智能時,企業資訊可能在不知情的情況下被洩漏。同時,當你要求人工智能工具創建一些內容並且應用時,你也有可能會無意中侵犯其他公司的商標或版權。

  • 監控與維護合規性

資訊保護不只是一種期望,它現在已經成為法律。監控和維護資訊合規性,亦是企業組織整體安全策略中的重要考量之一。


如何為人工智能安全影響做準備


應對人工智能安全影響的最佳方法,就是教育觀念、建立法規、保持警惕,並且預先做好計劃,當發生漏洞時要如何迅速復原。


在整個組織中培養安全意識


對於任何的風險或漏洞,都和軟體與人員有關。為了能以安全的方式,成功地運用人工智能,你必須在整體組織中提高安全意識,並且為員工提供全面和持續的教育訓練。讓他們理解傳播這些動態文檔的政策、指南與最佳實施方式,對於建立和維護安全意識觀念非常重要。


建立人工智能護欄與管理計劃


建立安全思維的關鍵,就是制定管理計劃。提倡在負責任且符合道德規範下,使用人工智能工具。同時在不斷發展的環境中,確保合規性與管理風險。

  • 指定一個跨功能的人工智能管理委員會

  • 定義人工智能指南和最佳實踐方法

  • 建立使用人工智能的決策流程

  • 審核人工智能工具的使用情況並監控性能


為團隊創新性提供安全的環境


每個公司和員工在開始運用人工智能工具時,都必須承擔一定程度的責任。企業組織在提倡創新的同時,更要確保其合乎安全性。


在網路安全中,有些企業會設置獨立網路測試環境,在系統正式上線前,來測試方案或特定程式,以避免可能的影響。


公司不僅應該提供一個安全的場所,讓員工來探索這些工具及其功能,還應該讓員工了解該空間用途,並鼓勵他們使用它。


持續進行人工智能風險評估


隨著人工智能使用率的攀升,公司應該經常進行滲透測試。領導者還必須為團隊提供工具,來幫助了解人類與人工智能生成內容的差異性。


密切關注企業的技術投資,並內置工具,來篩選與標記在電子郵件等傳遞訊息中,AI 生成網路釣魚和詐騙內容。許多創新與發展中的新技術,亦可幫助團隊捕獲和防範惡意軟體與不良代碼。


重新評估目前使用的技術也很重要,以確保它能夠支援人工智能帶來的複雜性。


建立人工智能事件與災難復原計劃


無論你在網絡安全方面多麼地積極主動,你都不可能 100% 安全。意圖不良者或人員的錯誤,都可能讓努力發展的企業造成傷害。企業領導者與技術長都必須針對人工智能災難事件,提前做好計劃,並制定適當的應對措施。


Lefever 建議可參加相關主題的論壇與會議,了解可能的事件場景與所造成的威脅性,從而用更好的方式來控制。與你的團隊思考各種可能的情況,經由共同精心計劃,當災難事件發生時,迅速執行應對措施。


人工智能對安全的影響是可避免的


「預防勝於治療」。雖然網路惡意攻擊與安全漏洞仍有發生的可能,只要能夠有效管理、明確政策、實施指南與最佳的實做、溝通、清楚明確的決策流程與定期績核,都能在運用人工智能工具時,大幅降低安全風險。



隨時更新安全政策與因應計劃,同時了解未來這些年將有更迅速的發展變化。尋求專業團隊的協助。經由齊心協力,相互支持,我們就可以創造一個創新蓬勃發展的安全商業環境。



(資料來源: Centric Consulting)

192 views0 comments

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page