趋势与观点 | 新兴技术的炒作和风险
随着组织不断加快数字化工作,那些喜欢尝试新鲜事物的人可能会因为好奇或炒作而急于进入下一个大事件。近年来,人工智能(AI)、云服务、区块链和物联网(IoT)等新兴技术应用激增,吸引了大量组织采用这些技术。其中一个因素可能是由于全球人口中更适应数字技术和采用新技术的数字原生代数量的增加。
从组织的角度来看,管理与新兴技术相关的安全和风险可能具有挑战性。组织为了保持领先,在没有进行详细和平衡的风险和收益评估的情况下采用这些新兴技术,可能会感到压力。但是,为了避免被潜在的威胁所蒙蔽,必须了解和考虑使用这些技术所涉及的风险。
生成式人工智能服务的炒作
最新流行的新兴技术之一是生成式人工智能。麦肯锡将生成人工智能描述为“可用于创建新内容的算法(如ChatGPT),包括音频、代码、图像、文本、模拟和视频。该领域的最新突破有可能彻底改变我们的内容创建方式。”生成式人工智能在全球引起轰动可能是因为ChatGPT于2022年11月推出供公众使用。在推出两个月后,它的月活跃用户达到了1亿。ChatGPT的推出创造了平台增长最快的记录。由于采用率如此之快,组织必须考虑到ChatGPT或其他生成式人工智能服务将被其员工以某种方式使用。
新兴技术为用户提供了独特的好处。例如,生成式人工智能服务使用户能够通过根据提示生成内容而无需人类专家或专业知识的参与的方式提高生产力。用户可以将各种生成式人工智能服务用于不同的目的,如创作艺术品、编写计算机代码、解释复杂主题或了解新领域。
然而,抛开炒作不谈,使用新兴技术并非没有风险。管理层应谨慎对待对组织潜在负面影响和风险。以OpenAI的ChatGPT为例,它的数据遭到泄露,在用户注意到他们可以看到其他用户聊天历史记录的标题后,该服务关闭了10个小时。此外,1.2%的ChatGPT Plus用户的个人数据也可能遭到泄露。
从监管和治理的角度看,意大利成为第一个因隐私问题禁止ChatGPT的国家,中国和美国正在研究对人工智能的监管。此外,技术领导者呼吁暂停生成式人工智能的开发和实施,理由是人工智能的快速发展和缺乏强大的人工智能治理是重大问题。
尽管许多组织信奉“小处着手,大处着眼,快速行动”的口号,但重要的是要在这一点与认真考虑所涉及的风险之间取得平衡。组织希望保持竞争力并跟上最新趋势是可以理解的,但谨慎对待新兴技术也很重要。如果没有适当的控制措施,组织在使用这些技术时可能会无意中超出其风险偏好。
将新兴技术的风险降至最低
关键是在利用技术的收益和管理风险之间找到平衡。实现这一平衡需要仔细评估每项技术的风险和收益,并实施适当的控制措施减轻风险。各组织还应进行持续监测,并随着新兴技术的发展调整其风险管理方法。
组织为了在采用新兴技术的同时最大限度地降低风险,可以考虑以下4个关键因素:
-
人员——如前所述,大多数组织可能无法阻止员工使用公开的新兴技术服务。工作人员可能会想方设法绕过技术控制措施,使用个人设备访问这些服务,从而导致数据泄露等潜在的负面后果。因此,各组织应就这些技术对工作人员进行教育,提高意识,发展安全文化并传达期望。组织还可以在工作人员使用这些技术时提供明确的指导作为防护栏。
-
数据——组织应审查并了解其数据政策,确定新兴技术服务方面的任何差距或危害。这将使组织能够评估适合上传到这些服务或与这些服务一起使用的数据类型。此外,各组织应实施技术控制措施,例如监测通过互联网浏览器和互联网流量的数据泄露,及时发现和防止潜在的数据泄露或违规行为。
-
监管——在技术领域,特别是新兴技术领域,监管并不总是积极主动的,可能导致覆盖范围不足。然而,当技术成熟,风险变得明显时,监管往往会迎头赶上。因此,组织应经常审查监管环境,避免违反任何监管要求,因为违规可能会导致严重的声誉或金钱损失。
-
敌对——尽管技术本身可以视作中立的,但可能会被敌对的行为者滥用。因此,各组织需要警惕新兴技术的敌对使用,将其作为威胁环境评估的一部分,并了解如果采取此类行动,安全态势将如何受到影响。此外,组织应针对这些潜在的敌对活动定期审查当前的安全控制措施,确保这些措施保持有效。在生成式人工智能的情况下,这些安全控制措施可以包括反钓鱼保护和内部威胁缓解。
结论
下一个新兴技术总是指日可待。组织必须适应接受这些技术,并管理采用这些技术带来的不确定性,以避免陷入炒作陷阱。这对首席信息安全官(CISO)等安全和风险专业人员尤其重要,因为他们通常负责评估可能影响组织的风险。通过采取风险知情的方法,安全和风险专业人员可以在前进的道路上平衡新兴技术的潜在收益及其可能带来的风险。
编者按: 本文于2023年5月25日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Meng Fai Chan, CISA, CDPSE, CISSP, GRID
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。