在企业数字化转型的浪潮中,一股新的力量正悄然兴起,却也让安全领导者和CISO们头疼不已——那就是影子AI。这些并非来自外部攻击者的威胁,而是由本应值得信赖的员工,在没有IT和安全部门监督或批准的情况下,自行创建的AI应用。它们如同数字世界的“兴奋剂”,让使用者能在短时间内完成更细致的工作,却也让企业的安全边界变得岌岌可危。
影子AI的应用范围广泛,从自动化报告生成到营销自动化、数据可视化,再到高级数据分析,几乎无所不能。然而,这些应用大多未经任何防护措施,就像一颗颗“定时炸弹”,随时可能引发数据泄露、违规行为,甚至损害企业的声誉。
“我们每天都能发现50个新的AI应用,并且已经记录了超过12000个。”Prompt Security的首席执行官伊塔马尔·戈兰在接受采访时透露,“其中约40%默认使用你提供的任何数据进行训练,这意味着你的知识产权可能会成为它们模型的一部分。”
那么,为何影子AI会如此泛滥呢?原因其实很简单:员工们面临着日益增多且愈发复杂的工作、长期的时间短缺和更紧迫的截止日期。在巨大的压力下,他们选择了影子AI作为“救命稻草”,以在更少的时间内提高生产力。
然而,这场“无人预见的虚拟海啸”却给企业带来了前所未有的挑战。戈兰警告说:“假装AI不存在并不能保护你——这只会让你措手不及。”事实上,许多企业对自己的影子AI使用情况一无所知,直到发生了安全事件才恍然大悟。
影子AI之所以如此危险,是因为它们往往在处理企业数据时缺乏必要的合规和风险审查。一旦专有数据进入公共领域模型,任何组织都将面临更大的挑战,尤其是对于那些有重大合规和监管要求的上市公司来说。
那么,企业该如何应对影子AI的挑战呢?WinWire的首席技术官维尼特·阿罗拉提出了一套全面的监督和安全创新蓝图。他强调,企业不能简单地禁止AI的使用,而应该通过定义稳健的安全策略,引导员工安全地使用AI技术。
阿罗拉的蓝图包括以下几个关键见解:
1.影子AI肆虐的根源:现有的IT和安全框架并未设计为能够检测影子AI。传统的IT管理工具缺乏保持业务安全所需的合规性和治理可见性,从而让影子AI有机可乘。
2.目标设定:企业应在促进创新的同时,不失去对AI的控制。员工并非有意为恶,他们只是面临着巨大的压力。因此,企业应提供安全的AI选项,引导员工安全地使用AI技术。
3.集中化AI治理:与其他IT治理实践一样,集中化AI治理是管理影子AI应用泛滥的关键。统一监督有助于防止未知应用悄悄泄露敏感数据。
4.持续检测与管理:发现隐藏的影子AI应用是最大的挑战。企业需要通过网络流量监控、数据流分析、软件资产管理等多种手段,持续检测、监控和管理影子AI。
5.平衡灵活性与安全性:企业不能扼杀AI的采用,但应引导其安全发展。提供安全的AI选项可以确保员工不会受到诱惑而偷偷行事。
基于这些见解,阿罗拉和戈兰建议企业遵循以下七项影子AI治理指南:
1.进行正式的影子AI审计:以全面的AI审计为基础,建立初始基线,根除未经授权的AI使用。
2.设立负责AI的办公室:集中IT、安全、法律和合规部门的政策制定、供应商审查和风险评估,确保AI使用的合规性和安全性。
3.部署AI感知安全控制:传统工具会遗漏基于文本的漏洞利用。企业应采用针对AI的DLP、实时监控和自动化手段,标记可疑提示。
4.建立集中的AI清单和目录:经过审查的批准AI工具列表可以减少临时服务的吸引力。当IT和安全部门主动频繁更新列表时,创建影子AI应用的动机就会减少。
5.强制员工培训:教育员工安全使用AI以及潜在的数据处理不当风险。如果员工不理解政策,那么政策就毫无价值。
6.与治理、风险和合规(GRC)以及风险管理相集成:AI监督必须与受监管行业至关重要的治理、风险和合规流程相联系。
7.认识到一刀切的禁令会失败:企业应寻找快速提供合法AI应用的新方法,避免一刀切的禁令导致更多影子AI应用的创建和使用。
总之,影子AI是一把双刃剑。它既能提升企业的生产效率,也可能带来严重的安全风险。因此,企业需要采取全面的治理策略,结合集中化AI治理、用户培训和主动监控等手段,确保在保障安全的前提下充分释放AI的潜力。只有这样,企业才能在数字化转型的浪潮中乘风破浪,稳健前行。