ISACA Journal | 护航未来:人工智能模型中数据安全隐忧的破局之道
自从ChatGPT和其他人工智能(AI)模型陆续推出以来,各行各业的专业人士已经开始使用它们来提高效率和生产力,并在执行研究、重新措辞电子邮件和创建PPT等任务时节省时间。然而,对AI模型的依赖,以及向连接互联网或暗网的AI模型中输入实时数据,对数据安全构成了重大威胁。
网络犯罪分子正在利用诸如ChatGPT之类的AI工具的可用性,创建FraudGPT这类没有伦理保障的对抗性变体,使新手网络攻击者能够大规模地发起复杂的网络钓鱼和商业电子邮件攻击。网络犯罪分子还利用这项技术制作名人的换脸视频或传播政治虚假信息。他们甚至在2019年欺骗了一家总部位于英国的能源公司向匈牙利银行账户转账22万欧元。此外,尽管一些密码破解算法已经存在,但网络犯罪分子现在可以使用机器学习(ML)和AI分析大量密码数据集并生成不同的密码变体。
AI算法还可以自动化并增强勒索软件的分发,勒索软件对关键的商业数据进行加密并要求赎金来解密代码。这些算法可以选择性地瞄准有价值的资产,增加网络犯罪分子的潜在收益。此外,针对企业的商业电子邮件的网络钓鱼攻击,试图窃取资金或关键信息。AI算法可以分析通信模式,并生成令人信服的网络钓鱼电子邮件,冒充高级主管或业务合作伙伴,旨在欺骗员工执行未经授权的操作,如发起欺诈性交易或泄露敏感信息。
尽管AI可以节省时间和精力,但许多用户仍然没有意识到对企业敏感数据可能造成的潜在风险。泄露或受损的实时数据可能会被利用并以高昂的价格出售给竞争对手,导致巨额罚款、诉讼、投资者信心丧失和长期的声誉损害。欧盟和美国都对数据安全实施了严格的规定,并可能会限制AI的使用,直到隐私法规被制定并遵守为止。
下图列出了在使用AI技术时一些数据安全问题及其缓解措施
不断演变的AI威胁为信息安全专业人士带来了挑战和机遇。在数据和研究的支持下,AI模型正在成为网络安全不可或缺的一部分,为防御者和攻击者提供服务。保持了解最新信息,采用AI进行防御并倡导道德实践,有助于驾驭这一动态格局,抵御新出现的威胁,并维护AI模型在数字领域的积极影响。
在AI模型的开发和部署过程中纳入缓释策略能够增强数据安全性,建立利益相关者的信任,降低数据泄露和隐私侵犯的风险。采用全面的数据安全措施,包括数据治理、风险评估、定期审计、加密、访问控制以及员工数据处理相关培训等,对于在充分利用AI模型的同时保护数据机密性至关重要,这些努力不仅加强了整体的数据安全性,还能为企业提供市场竞争优势。
编者注:本文出自ISACA Journal 2024年第1期。尾注略。文章内容仅代表作者本人观点。
作者:SHARAD VERMA,CISA, CRISC,安永全球交付服务高级经理,专注于为全球客户提供第三方网络风险管理的商业咨询。
翻译:吴梦庭(Tiffany Wu),ISACA微信公众号特邀通讯员。
校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长。