Sigurnost GenAI-a odnosi se na zaštitu poslovnih okruženja od novih rizika generativnih AI alata poput ChatGPT-a, Geminija i Claudea. Kako se ovi alati sve više usvajaju, oni uvode rizike curenja podataka, usklađenosti i shadow AI-a. Ovaj članak definira sigurnost GenAI-a i ocrtava poslovne strategije za osiguranje sigurne i odgovorne upotrebe AI-a.

Objašnjenje GenAI-a

GenAI sigurnost je praksa identificiranja i ublažavanja rizika koje uvode generativni AI alati poput ChatGPT-a, Copilota i Claudea unutar poslovnih tijekova rada. Ovi alati poboljšavaju učinkovitost i inovacije, ali također uvode novu i brzo razvijajuću površinu za napad umjetne inteligencije koju tradicionalna rješenja za kibernetičku sigurnost često ne uspijevaju pokriti. GenAI sigurnost rješava ovaj nedostatak upravljanjem izloženošću osjetljivih podataka, provođenjem politika korištenja umjetne inteligencije na razini cijele organizacije i otkrivanjem nesigurnog, neusklađenog ili zlonamjernog ponašanja umjetne inteligencije. Kombinira tehničke zaštitne mjere poput sprječavanja gubitka podataka (DLP), praćenja temeljenog na pregledniku i kontrola pristupa s robusnim okvirima upravljanja umjetnom inteligencijom usklađenim s politikama tvrtke i regulatornim standardima. Za razliku od sigurnosti razvoja umjetne inteligencije, koja se fokusira na osiguranje obuke modela i infrastrukture, GenAI sigurnost štiti sloj korištenja, gdje zaposlenici komuniciraju s vanjskim AI alatima, osiguravajući sigurnu, usklađenu s politikama i odgovornu zaštitu umjetne inteligencije poduzeća.

Primarni rizici GenAI-a u poduzeću

Kako organizacije ubrzavaju usvajanje generativnih alata umjetne inteligencije, moraju se pozabaviti i novom kategorijom prijetnji. Ti rizici ne proizlaze samo od zlonamjernih aktera, već i od načina na koji generativna umjetna inteligencija komunicira s podacima, korisnicima i vanjskim okruženjima. U nastavku su navedene najhitnije ranjivosti umjetne inteligencije i sigurnosni rizici kojima poduzeća moraju upravljati.

1. Intelektualno vlasništvo i izloženost povjerljivim podacima

Jedan od najneposrednijih i kritičnih rizika GenAI-a je Curenje podataka umjetne inteligencijeZaposlenici često u GenAI alate poput ChatGPT-a ubacuju povjerljive podatke poput osobnih podataka kupaca, izvornog koda, poslovnih planova ili financijskih projekcija, a da pritom ne shvaćaju implikacije. Ti se upiti mogu pohraniti, obraditi ili koristiti za daljnju obuku, stvarajući trajni gubitak kontrole nad tim podacima. Čak i kada dobavljači tvrde da ne obučavaju na ulaznim podacima, podaci i dalje mogu biti predmemorirani ili zabilježeni u povijesti sesije, ostavljajući vrata otvorenima za povrede ili zlouporabu.

PrimjerČlan financijskog tima koristi ChatGPT za generiranje sažetka i lijepi proračunsku tablicu s podacima o prihodima za četvrto tromjesečje u upit. Te financijske podatke sada može pohraniti pružatelj modela ili ih potencijalno otkriti u budućim upitima drugih korisnika.

2. Kršenje propisa i usklađenosti

Nenadzirano korištenje GenAI-a može lako dovesti do kršenja propisa o zaštiti podataka, kao što su GDPR, Hipaa, PCI-DSS, ili CCPATi zakoni zahtijevaju strogo rukovanje osobnim, zdravstvenim ili podacima o plaćanju, nešto što većina alata umjetne inteligencije trećih strana nije ugovorno ili arhitektonski pripremljena osigurati.

PrimjerPružatelj zdravstvene skrbi koristi pomoćnika za pisanje s umjetnom inteligencijom za izradu sažetka njege pacijenta, uključujući medicinsku povijest. Čak i jedan upit koji sadrži PHI (Zaštićene zdravstvene informacije) podijeljen s vanjskim alatom umjetne inteligencije mogao bi biti kršenje HIPAA-e koje se mora prijaviti, riskirajući regulatorne kazne i štetu ugledu. U visoko reguliranim sektorima, samo jedan takav incident može izazvati stalnu kontrolu regulatora i revizora.

Poduzeća moraju tretirati AI upute kao odlaznu komunikaciju i primjenjivati iste AI politika istodobno upravljanje podacima strogost kako bi se održala usklađenost.

3. Korištenje umjetne inteligencije u sjeni

Zaposlenici često koriste osobne račune ili neovlašteni alati umjetne inteligencije bez IT znanja stvarajući okruženja umjetne inteligencije u sjeni. Iako umjetna inteligencija u sjeni često ima dobre namjere i duboko je ugrađena u tijekove rada radi povećanja produktivnosti, na kraju ispadaju izvan sigurnosnih politika i nedostaje im nadzor ili evidentiranje, što ih čini plodnim tlom za kršenja usklađenosti i curenje podataka o umjetnoj inteligenciji te slijepom točkom za sigurnosne i timove za zaštitu podataka.

PrimjerProdajni tim počinje koristiti potrošačku verziju ChatGPT-a za izradu prijedloga za klijente. S vremenom počinju unositi strategije cijena, uvjete ugovora i interne metrike učinka, od kojih nijedna nije zaštićena DLP alatima poduzeća.

4. Riskantni dodaci i proširenja trećih strana

Proširenja i dodaci za preglednike pokretani umjetnom inteligencijom uvode ozbiljne AI ranjivosti zbog previše permisivnog dizajna. Mnogi imaju pristup svim aktivnostima pregledavanja, podacima međuspremnika ili kolačićima sesije kako bi funkcionirali, što ih čini atraktivnim metama za iskorištavanje. 

Rizici uključuju:

  • Napadi ubrizgavanjem umjetne inteligencijeZlonamjerne web-stranice ili skripte manipuliraju uputama dodataka kako bi izvukle ili procurile podatke.
  • Otmica sesijeDodaci s pristupom tokenima sesije mogu se iskoristiti za lažno predstavljanje korisnika.
  • Tiho prikupljanje podatakaProširenja mogu čitati ili prenositi podatke bez znanja korisnika.

Većinu dodataka kreiraju treće strane i možda ne prolaze istu sigurnosnu provjeru kao interni alati. Neprovjerena upotreba dodataka može rezultirati nekontroliranim curenjem podataka i izložiti regulirane informacije nepoznatim akterima, što predstavlja veliki rizik za generativne podatke umjetne inteligencije za poduzeće.

PrimjerAI proširenje za sažimanje koje je instalirao korisnik ima dopuštenja za čitanje svake kartice. Napadač iskorištava grešku u dodatku kako bi izdvojio osjetljive CRM podatke koje korisnik pregledava bez pokretanja tradicionalnog DLP-a ili antivirusnog upozorenja.

5. Erozija unutarnje sigurnosne strukture

Nenadzirana upotreba umjetne inteligencije slabi cjelokupnu sigurnosnu poziciju poduzeća. Kada zaposlenici koriste javne alate umjetne inteligencije putem neupravljanih preglednika ili osobnih računa, osjetljivi podaci zaobilaze tradicionalne sigurnosne kontrole poput vatrozida, zaštite krajnjih točaka ili DLP-a u oblaku. Sigurnosni timovi gube uvid u to kako i gdje se podaci obrađuju. S vremenom to narušava sposobnost organizacije da otkrije povrede, održi spremnost za reviziju i provede sigurnosne politike, ostavljajući poslovanje ranjivim na unutarnje i vanjske prijetnje. sigurnosne slijepe točke dati napadačima ili nepažljivim insajderima put do iskorištavanja podataka bez aktiviranja standardnih obrana - čineći generativna umjetna inteligencija sigurnost hitan prioritet.

Primjer:

Zaposlenici koji koriste GenAI alate poput ChatGPT-a na osobnim uređajima dijele podatke o korisnicima koji nikada ne dotiču korporativnu infrastrukturu, što ih čini nevidljivima IT timovima i timovima za usklađenost.

6. Operativni i pravni poremećaji

Izloženost podataka putem GenAI alata može pokrenuti pravne postupke, revizije i interne istrage, preusmjeravajući resurse i ometajući svakodnevno poslovanje odgađanjem projekata te stvarajući unutarnje trenje između timova koji traže odgovornost i ublažavanje. Osim financijskih gubitaka zbog raskida ugovora, organizacija se može suočiti i s pravnim zahtjevima, kaznenim klauzulama ili arbitražnim postupcima. 

Primjer:

Proizvodna tvrtka otkriva da su osjetljivi uvjeti dobavljača uneseni u ChatGPT i moguće procurili. Timovi za nabavu prisiljeni su ponovno pregovarati o ugovorima, dok pravni odjel upravlja upitima dobavljača i procjenama odgovornosti.

Ovi rizici ističu zašto tradicionalne sigurnosne kontrole više nisu dovoljne u doba generativne umjetne inteligencije. Od curenja podataka umjetne inteligencije i umjetne inteligencije u sjeni do kršenja propisa i prijetnji temeljenih na dodacima, organizacije moraju preispitati način na koji prate, upravljaju i osiguravaju korištenje umjetne inteligencije u cijelom poduzeću. Da biste dublje istražili ove prijetnje koje se razvijaju i kako ih riješiti, pročitajte cijeli članak o Generativni AI rizici.

Što potiče širenje površine za napad umjetne inteligencije u poduzećima

Brzi porast generativne umjetne inteligencije temeljno je promijenio krajolik prijetnji za poduzeća. Ono što je nekoć bio jasno definirani perimetar sada je prekinuto rastućom konstelacijom alata, dodataka i tijekova rada temeljenih na umjetnoj inteligenciji. Ove tehnologije povećavaju produktivnost, ali i dramatično proširuju Površina za napad umjetne inteligencije, uvodeći nove sigurnosne slijepe točke za koje tradicionalne obrane nikada nisu bile dizajnirane da se nose.

Eksplozija AI alata i AI integriranih SaaS aplikacija

GenAI nije jednak ChatGPT-u. Zapravo, mnogo se toga promijenilo otkako je ChatGPT objavljen u studenom 2022. Od tada se ekosustav GenAI razvija neviđenom brzinom. Novi modeli i alati pokretani umjetnom inteligencijom pojavljuju se tjedno i mjesečno, a svaki nudi više mogućnosti i napredaka od prethodnog. Inovacija se ubrzava tako brzo da, prema Gartneru, značajno nadmašuje tempo bilo koje druge tehnologije. 

Poduzeća integriraju generativnu umjetnu inteligenciju u svaki sloj sustava. Od AI kopilota ugrađenih u razvojna okruženja do automatiziranih asistenata u CRM platformama, prosječni zaposlenik sada može svakodnevno komunicirati s više AI sustava. Pružatelji SaaS-a, od Notiona i Slacka do Salesforcea i Microsofta 365, svi su pokrenuli... Značajke integrirane s umjetnom inteligencijom dizajniran za poboljšanje učinkovitosti tijeka rada. Za korisnike, poboljšanja potaknuta umjetnom inteligencijom postaju standardno očekivanje, a ne prikladan dodatak. GenAI postao je sastavni dio radnog mjesta. Ali te iste integracije često dolaze sa širokim pristupom internim podacima, dokumentima, kalendarima i razgovorima.

Ovo širenje SaaS AI alati znači da organizacije sada moraju osigurati raznolik skup vanjskih platformi koje unose osjetljive informacije, često bez dosljednog evidentiranja, kontrole pristupa ili vidljivosti. Svaka nova integracija stvara potencijalni vektor za Izloženost podataka umjetne inteligencije, posebno kada zadane postavke daju prednost upotrebljivosti nad sigurnošću.

Preglednici su novi AI radni prostori

Za razliku od tradicionalnih poslovnih aplikacija koje funkcioniraju kao namjenske desktop aplikacije, većina GenAI interakcija odvija se putem web preglednika. Većini AI alata poput ChatGPT-a, Claudea i Geminija pristupa se putem preglednika. Iako je praktičan, ovaj model temeljen na pregledniku uvodi jedinstveno Rizici umjetne inteligencije u pregledniku kao što Napadi tipa "čovjek u sredini" (MITM), Krađa tokena ili čak iskorištavanje proširenja preglednika postaju mogući ako sesija nije pravilno izolirana.

Tradicionalni sigurnosni alati, koji su dizajnirani za naslijeđene poslovne aplikacije i kontrolirana okruženja, nisu dovoljno opremljeni za pregled ili kontrolu interakcija umjetne inteligencije u dinamičkim sesijama preglednika. Ne mogu razlikovati sigurne od nesigurnih unosa, korištenje osobnih i poslovnih računa ili otkriti kopiranje i lijepljenje osjetljivih podataka u LLM upite. Na primjer, korisnici mogu jednostavno zalijepiti osjetljive podatke financijskih tvrtki u ChatGPT ili prenijeti vlasnički izvorni kod bez pokretanja sigurnosnih upozorenja. Ovaj nedostatak vidljivosti i kontrole u stvarnom vremenu, svjesne konteksta, na razini preglednika stvara značajne rizike, prisiljavajući poduzeća da preispitaju svoje sigurnosne strategije u radnom mjestu koje je prvenstveno usmjereno na umjetnu inteligenciju.

Proširenja produktivnosti pokretana umjetnom inteligencijom

Proširenja preglednika pokretana generativnom umjetnom inteligencijom, kao što su sažimači, pomoćnici za pisanje ili bilješke sa sastanaka, često zahtijevaju prekomjerna dopuštenja. To uključuje pristup sadržaju stranice, kolačićima, a ponekad i pritiscima tipki. Mnoga su kreirana od strane neovisnih programera s ograničenim ili nikakvim sigurnosnim nadzorom.

Ova proširenja otvaraju vrata Napadi ubrizgavanjem umjetne inteligencije, tiho stružanje podataka, ili otmica sesije, posebno kada su instalirani na neupravljanim krajnjim točkama. Nakon instalacije, rade tiho, komunicirajući s korisničkim podacima u stvarnom vremenu i prenoseći ih vanjskim API-jima, često izvan dohvata tradicionalnih sigurnosnih alata.

API-povezani tijekovi rada u oblaku

U okruženjima izvorno zasnovanim na oblaku, mogućnosti umjetne inteligencije sve se više ugrađuju u automatizirane tijekove rada putem API-ja. Razvojni programeri mogu povezati LLM-ove s CI/CD cjevovodima, tokovima korisničke službe ili cjevovodima za obradu podataka, često prosljeđujući strukturirane ili nestrukturirane podatke modelima umjetne inteligencije trećih strana radi sažimanja, prevođenja ili klasifikacije.

To stvara uglavnom nevidljivu Površina za napad umjetne inteligencije, gdje osjetljivi podaci teku prema i od AI usluga bez pravilnog skeniranja ili filtriranja. API krajnje točke također se mogu iskoristiti za ubacivanje neprijateljskih unosa, izvlačenje internih podataka ili izvršavanje AI sigurnosnih iskorištavanja ako nisu pravilno validirana.

Izazov uočljivosti

Glavni izazov u osiguravanju ovog novog krajolika vođenog umjetnom inteligencijom je nedostatak mogućnosti promatranja u stvarnom vremenuTradicionalni sigurnosni alati ne otkrivaju izvorno AI upute, ne prate korištenje AI alata niti identificiraju kontekst tokova podataka unutar sesija preglednika ili API interakcija. Kao rezultat toga, organizacije ne znaju kako, gdje i kada podaci ulaze ili izlaze iz AI sloja. 

 

Za zaštitu od modernog Sigurnosni rizici umjetne inteligencijeOrganizacijama je potreban uvid u svaku interakciju između korisnika i umjetne inteligencije - bilo da se događa u kartici preglednika, SaaS integraciji ili pozivu API-ja u oblaku. Bez kontinuiranog praćenja, upravljanja i provedbe, sloj umjetne inteligencije postaje nenadzirani prolaz za curenje, premještanje ili iskorištavanje osjetljivih podataka.

DLP temeljen na pregledniku i dizajn nesigurnih dodataka u GenAI ekosustavima

Kako se ubrzava usvajanje generativne umjetne inteligencije u poduzećima, preglednik je postao središnja pristupna točka gdje zaposlenici komuniciraju s alatima poput ChatGPT-a, Microsoft Copilota i stotinama proširenja pokretanih umjetnom inteligencijom. No s ovom promjenom dolazi i hitna potreba za preispitivanjem tradicionalne prevencije gubitka podataka (DLP). DLP preglednika se pojavljuje kao ključni sigurnosni sloj za praćenje i kontrolu korištenja umjetne inteligencije u okruženjima koja se sve više oslanjaju na Chromeova proširenja, SaaS aplikacije i web-integrirane dodatke.

Zašto je DLP na razini preglednika važan u eri GenAI-a

Za razliku od tradicionalnih aplikacija, GenAI alati su uglavnom web-bazirani i često im se pristupa izvan odobrenih platformi. Zaposlenici često koriste proširenja preglednika ili web-aplikacije za generiranje koda, sadržaja ili uvida. Ova upotreba zaobilazi naslijeđene DLP alate koji se fokusiraju na krajnje točke, e-poštu ili stvaranje mrežnog prometa. Slijepe točke u zaštiti podataka umjetne inteligencije.

DLP rješenja temeljena na pregledniku rješavaju te nedostatke pregledom korisničkih interakcija unutar preglednika u stvarnom vremenu. To omogućuje organizacijama da otkriju kada se osjetljivi podaci poput izvornog koda, zapisa klijenata ili financijskih dokumenata kopiraju, upisuju ili prenose u AI upite. U kombinaciji s provođenjem pravila, to omogućuje organizacijama da blokirati, redigirati ili upozoriti na rizično ponašanje prije nego što se podaci otkriju.

Skriveni rizik nesigurnih dodataka i proširenja umjetne inteligencije

AI proširenja preglednika koje omogućuju ili poboljšavaju funkcionalnost umjetne inteligencije posebno su problematične. Mnoge su dizajnirane sa širokim dopuštenjima za pristup podacima međuspremnika, manipuliranje sadržajem stranice ili presretanje unosa. Bez odgovarajuće provjere, ova proširenja uvode curenje podataka temeljeno na dodacima i druge vrlo ozbiljne rizike, kao što su:

  • Otmica sesije – Zlonamjerni dodaci mogu prikupljati kolačiće za autentifikaciju, dajući napadačima pristup SaaS aplikacijama ili internim sustavima.
  • Napadi ubrizgavanjem umjetne inteligencije – Proširenja mogu mijenjati unose ili odgovore u upitima, ubrizgavati zlonamjerne naredbe ili mijenjati izlaz na načine koji prolaze nezapaženo.
  • Tiho izbacivanje podataka – Neki dodaci bilježe interakcije korisnika ili traže sadržaj te ga šalju na poslužitelje trećih strana bez znanja korisnika.

Rizik nije hipotetski. Godine 2023. otkriveno je da popularno ChatGPT proširenje s preko 10,000 XNUMX instalacija krade tokene Facebook sesije, pokazujući kako Rizici proširenja GenAI-a mogu eskalirati u potpune sigurnosne incidente.

Curenje podataka između dodataka

Dodaci za preglednike s umjetnom inteligencijom često zahtijevaju široka dopuštenja za pristup sadržaju stranice, poljima za unos, međuspremnicima ili pozadinskim procesima. Kada se više proširenja izvodi u istom pregledniku, ta dopuštenja se mogu preklapati, stvarajući nenamjerni putevi izlaganja podataka.

Na primjer, pomoćnik za pisanje može obrađivati unose dokumenata dok zasebni dodatak pristupa istom DOM-u ili lokalnoj pohrani. Bez stroge izolacije podataka, Osjetljivi sadržaj može nenamjerno teći između dodataka čak i kada nijedno nije zlonamjerno. 

Ovaj rizik raste s pozadinskim procesima i dijeljenim API-jima, gdje jedan dodatak može djelovati kao most za preusmjeravanje podataka iz drugog. Stoga, koegzistirajuća GenAI proširenja zamagljuju granice podataka, čineći izolaciju dodataka i DLP temeljen na pregledniku bitnima.

Ograničenja trgovina aplikacijama u pregledniku

Trgovine ekstenzija za Chrome i Edge daju prioritet pristupu potrošača, a ne sigurnosti poduzeća. Nedostaju im dubinske revizije dozvola, sigurni standardi razvoja i praćenje nakon objavljivanja. To omogućuje zlonamjerni ili previše dopuštajući GenAI dodaci ostaju aktivni dok ih ne prijave korisnici ili istraživači. Mnoge su izgradili nepoznati programeri s neprozirnim praksama podataka, ali ipak dobivaju pristup ključnim tijekovima rada. Trgovine aplikacija preglednika nisu pouzdani čuvari. Poduzeća moraju prethodna veterinarska provjera, kontrola i praćenje Sami AI dodaci.

Primjena principa nultog povjerenja na AI ekstenzije

Primjena a Nula povjerenja Stav prema proširenjima preglednika je ključan, posebno u okruženjima s intenzivnom upotrebom GenAI-a. Baš kao što poduzeća pomno proučavaju aplikacije, korisnike i uređaje, Dodaci se moraju prema zadanim postavkama tretirati kao nepouzdani.

To znači:

  • Provjera autentičnosti izdavača prije instalacije
  • Revizija opsega dopuštenja kako bi se izbjeglo prekoračenje (npr. međuspremnik, DOM, pristup u pozadini)
  • Kontinuirano praćenje ponašanja dodataka, čak i nakon odobrenja

U GenAI tijekovima rada, gdje dodaci često pristupaju osjetljivim tekstualnim unosima, ovaj pristup pomaže u sprječavanju tihog izbacivanja podataka i zlouporabe privilegija. Poduzeća ne bi trebala implicitno vjerovati nijednom dodatku. Umjesto toga, moraju svaki tretirati kao potencijalni rizik i provoditi pristup s najmanjim privilegijama i provjerom identitetaOvaj slojeviti sigurnosni pristup osigurava da poduzeća mogu prihvatiti dobitke produktivnosti GenAI-a bez otvaranja vrata kompromitiranju temeljenom na dodacima ili neovlaštenom prijenosu podataka.

Zašto je upravljanje umjetnom inteligencijom ključno za sigurnost

Kako se generativni alati umjetne inteligencije ugrađuju u svakodnevne poslovne tijekove rada, izazov za sigurnosne lidere više nije hoće li dopustiti umjetnu inteligenciju, već kako je odgovorno kontrolirati. Tu se pojavljuje... AI upravljanje postaje središnji dio sigurnosti poduzeća i pruža okvir za osiguranje sigurna upotreba umjetne inteligencije, balansirajući inovacije s upravljanjem rizicima i omogućujući produktivnost bez ugrožavanja integriteta podataka, usklađenosti ili povjerenja.

U svojoj srži, upravljanje umjetnom inteligencijom usklađuje sigurnosne, pravne i timove za usklađenost oko zajedničkog AI politika koji pruža strateški i operativni okvir potreban za kontrolu pristupa, korištenja i praćenja alata umjetne inteligencije, osiguravajući spremnost poduzeća kako se usvajanje umjetne inteligencije bude širilo. Okvir mora uključivati: 

1. Izrada pravila za korištenje umjetne inteligencije

Učinkovito upravljanje umjetnom inteligencijom započinje jasnim Pravila korištenja umjetne inteligencije koji definira koji su alati odobreni, koji se podaci mogu koristiti i gdje je umjetna inteligencija prikladna ili ograničena. Uklanja dvosmislenost, usklađuje dionike i postavlja temelje za sigurno i usklađeno usvajanje umjetne inteligencije u svim timovima.

2. Pristup AI alatima temeljen na ulogama

Kontrole pristupa temeljene na ulogama (RBAC) osiguravaju da zaposlenici koriste samo alate umjetne inteligencije koji su prikladni za njihove uloge, omogućujući produktivnost i istovremeno štiteći osjetljive podatke. Oslanja se na načelo da ne trebaju svi zaposlenici ili ne bi trebali imati pristup istim mogućnostima umjetne inteligencije ili skupovima podataka za svoj opseg rada. Razvojni programeri, marketinški stručnjaci i pravni timovi itd. dobivaju prilagođen pristup, smanjujući rizik i sprječavajući zlouporabu. Ove kontrole sprječavaju slučajnu zlouporabu, a istovremeno podržavaju legitimne potrebe za produktivnošću na temelju poslovne funkcije i profila rizika.

3. Odobrenja korištenja i rukovanje iznimkama

Okviri za upravljanje umjetnom inteligencijom trebali bi uključivati i tijekove rada za upravljanje iznimkama i posebnim slučajevima upotrebe. Ako zaposlenik ili tim treba pristup ograničenom alatu umjetne inteligencije ili slučaju upotrebe:

  • Trebali bi podnijeti formalni zahtjev.
  • Zahtjev bi trebao proći kroz proces procjene rizika u koji su uključeni dionici za sigurnost ili usklađenost.
  • Privremeni pristup može se odobriti uz određene zaštitne mjere, kao što su dodatni nadzor ili ručni pregled rezultata.

Ovaj sustav od odobrenja korištenja i rukovanje iznimkama osigurava fleksibilnost bez žrtvovanja nadzora.

4. Centralizirano evidentiranje i pregled interakcija umjetne inteligencije

Upravljanje nije samo definiranje što je dopušteno, već i osiguravanje vidljivosti onoga što se zapravo događa. Centralizirano evidentiranje interakcija alata umjetne inteligencije pruža mogućnost revizije potrebnu za internu odgovornost i vanjsku usklađenost.

To uključuje snimanje povijesti upita i odgovora, prikupljanje metapodataka poput korisničkog ID-a, vremena sesije i konteksta preglednika itd. Ovi zapisi pomažu u otkrivanju zlouporaba, istraživanju incidenata i usavršavanju pravila tijekom vremena.

5. Praćenje kršenja pravila ili anomalnog ponašanja

Kako bi se zatvorila petlja između politike i zaštite, upravljanje umjetnom inteligencijom mora biti upareno s praćenjem u stvarnom vremenu. Sigurnosnim timovima potrebni su sustavi koji mogu:

  • Otkrivanje upita koji sadrže ograničene podatke (npr. ključne riječi, uzorke regularnih izraza).
  • Označite ili blokirajte neovlaštenu upotrebu AI alata u pregledniku ili na neupravljanim uređajima.
  • Identificirati anomalno ponašanje, kao što su pretjerana učestalost upita, neuobičajena vremena pristupa ili neočekivana aktivnost dodataka.

Kontinuiranim praćenjem kršenja pravila, upravljanje se transformira iz statičkog dokumenta u aktivni, prilagodljivi sigurnosni sloj.

Prilagođavanje upravljanja brzo razvijajućem okruženju umjetne inteligencije

Postojeći okviri upravljanja poput ISO/IEC 42001 (Sustavi upravljanja umjetnom inteligencijom) i NIST-ovog okvira za upravljanje rizicima umjetne inteligencije pružaju korisne početne točke, ali ih je potrebno prilagoditi kako bi se uzeli u obzir jedinstveni tempo i ponašanje GenAI alata. Ovi alati ne rade kao tradicionalni softver; razvijaju se u stvarnom vremenu, obrađuju nepredvidive ulaze i često se konzumiraju putem korisničkih sučelja.

Stoga upravljanje umjetnom inteligencijom mora biti iterativno i dinamično. Trebalo bi ga često preispitivati, odražavati obrasce korištenja u stvarnom svijetu i razvijati se zajedno s mogućnostima umjetne inteligencije i obavještajnim podacima o prijetnjama. 

Upravljanje: Most između osposobljavanja i zaštite

Ukratko, upravljanje umjetnom inteligencijom je vezivno tkivo između odgovornog omogućavanja umjetne inteligencije i zaštite na razini poduzeća. Osigurava da alati umjetne inteligencije nisu samo dopušteni, već se koriste sigurno, etički i u potpunosti u skladu s internim i eksternim mandatima. Bez formalne strukture upravljanja, poduzeća se suočavaju s fragmentiranim okruženjem u kojem zaposlenici slobodno eksperimentiraju s ChatGPT-om, Copilotom i drugim alatima - često lijepeći osjetljive podatke u javne modele ili koristeći neprovjerene dodatke. To otvara vrata kršenjima usklađenosti, curenju podataka i nekontroliranom donošenju odluka umjetne inteligencije koje bi moglo utjecati na poslovanje ili pravni status. Stoga, kako se GenAI nastavlja razvijati, upravljanje mora ostati fleksibilno, provedivo i duboko integrirano u širu sigurnosnu arhitekturu organizacije.

Najbolje prakse za GenAI sigurnost

  • Mapirajte svu upotrebu umjetne inteligencije u organizaciji

Prvi korak u upravljanju rizikom GenAI-a je mapiranje načina na koji se koristi u cijeloj tvrtki. Kao dio ovog procesa mapiranja, organizacije moraju pratiti:

  • Koji se GenAI alati koriste? Pristupa li im se putem web aplikacija, proširenja preglednika ili samostalnog softvera?
  • Tko ih koristi? Jesu li u odjelima za istraživanje i razvoj, marketing, financije ili neke druge?
  • Za što koriste GenAI? Zadaci poput pregleda koda, analize podataka i generiranja sadržaja?
  • Kakvi se podaci unose u ove alate?  Otkrivaju li zaposlenici kod, osjetljive poslovne podatke ili osobne podatke?

Nakon što dobijete odgovore na ova pitanja, možete početi graditi jasan profil korištenja, uočiti područja visokog rizika i stvoriti plan koji omogućuje produktivnost uz osiguranje zaštite podataka.

  • Implementirajte pristup temeljen na ulogama i spriječite osobne račune

Korak po korak do prijave kontrole pristupa temeljene na ulogama ograničiti izloženost na temelju radnog mjesta i rizika osjetljivosti podataka. Razvojnim programerima može biti potreban pristup asistentima za umjetnu inteligenciju, dok pravnim ili financijskim timovima mogu biti potrebna ograničenja zbog rukovanja osjetljivim podacima. Koristite tijekove rada za odobravanje za iznimke, omogućujući fleksibilnost pod nadzorom upravljanja. 

Kako bi osjetljive informacije ostale podalje od neosiguranih LLM korisnika, organizacije bi trebale blokirati osobne prijave i naložiti pristup putem korporativnih računa koji dolaze sa sigurnosnim značajkama kao što su privatni korisnici, obveze nulte obuke, stroge kontrole zadržavanja podataka i jače mjere zaštite privatnosti.

  • Implementirajte AI DLP na razini preglednika

Generativnim AI alatima se pretežno pristupa putem preglednika, što čini AI DLP na razini preglednika kritična kontrolna točka. Alati za sprječavanje gubitka podataka temeljeni na pregledniku mogu:

  • Otkrivanje unosa osjetljivih podataka u AI upite
  • Blokirajte ili uredite regulirane informacije u stvarnom vremenu
  • Omogućite interakcije zapisnika za usklađenost i spremnost za reviziju

DLP kontrole temeljene na pregledniku ključne su za praćenje korištenja umjetne inteligencije koje zaobilazi tradicionalne alate za sigurnost krajnjih točaka ili mreže.

  • Praćenje i upravljanje AI ekstenzijama

Proširenja preglednika pokretana umjetnom inteligencijom uvode rizik putem previše dopuštajućeg pristupa web stranicama, pritiscima tipki i podacima sesije. Primijenite pravila kontrole proširenja umjetne inteligencije koja:

  • Ograniči instalaciju neodobrenih ili nepoznatih dodataka
  • Revizija proširenja koja se koriste i procjena njihovih dopuštenja
  • Blokirajte ekstenzije s prekomjernim pristupom poslovnim aplikacijama

Neprestano pregledavajte ponašanje dodataka kako biste otkrili anomalne aktivnosti ili tiho prikupljanje podataka.

  • Educirajte zaposlenike o sigurnom korištenju umjetne inteligencije

Programi osvješćivanja o sigurnosti u poduzećima moraju uključivati i obuke za sigurnu upotrebu GenAI-a. Organizacije moraju osposobiti zaposlenike za:

  • Prepoznajte koje podatke nikada ne biste smjeli dijeliti s alatima umjetne inteligencije.
  • Koristite odobrene platforme i slijedite smjernice pravila.
  • Prijavite sumnju na zlouporabu ili neovlaštene alate.

Uključite sigurnost umjetne inteligencije u redovite cikluse obuke kako biste pojačali odgovorno ponašanje dok se alati umjetne inteligencije razvijaju.

Utjecaji loše sigurnosti GenAI-a na stvarni svijet

Iako GenAI alati poput ChatGPT-a mogu ubrzati produktivnost, njihova zlouporaba ili nezaštićena primjena već je dovela do značajnih kršenja propisa, kršenja usklađenosti i štete na ugledu. Slabo upravljanje umjetnom inteligencijom, previše dopustiva proširenja i nesankcionirana upotreba alata pokazali su se glavnim uzrocima sigurnosnih propusta u stvarnom svijetu, što naglašava zašto upravljanje rizicima GenAI-a više nije opcionalno.

1. Izloženost izvornog koda u Samsungu

Početkom 2023. godine, Samsung je dospio na naslovnice nakon što su inženjeri zalijepili vlasnički izvorni kod u ChatGPT kako bi otklonili pogreške. Iako je namjera bila poboljšati produktivnost, utjecaj je bio trenutan: vrlo povjerljiv kod potencijalno je bio izložen OpenAI-jevim modelima i sustavima za pohranu. Ovaj incident pokrenuo je internu zabranu ChatGPT-a i potaknuo reviziju korištenja AI alata u cijeloj tvrtki.

Oduzeti: Čak i dobronamjerna upotreba GenAI-a može dovesti do nepovratnog gubitka podataka ako se ne definiraju i ne provode odgovarajuće granice korištenja.

2. Zlouporaba ChatGPT-a dovodi do istrage o usklađenosti u DWS Grupi

DWS Group, podružnica za upravljanje imovinom Deutsche Bank, bila je pod istragom nakon što su zaposlenici koristili ChatGPT za investicijska istraživanja i komunikaciju s klijentima. Regulatori su to označili kao propust u usklađivanju, napominjući da financijske institucije moraju provjeravati alate umjetne inteligencije i osigurati da rezultati zadovoljavaju regulatorne standarde točnosti i rukovanja podacima.

Udarac: Regulatorni nadzor, reputacijski rizik, pooštravanje politike usklađenosti.

3. Teleperformance – Zabrinutost zbog privatnosti podataka u vezi s alatima za nadzor umjetne inteligencije

Teleperformance, globalni pružatelj korisničke podrške, suočio se s kritičkom kontrolom zbog korištenja alata za nadzor temeljenih na umjetnoj inteligenciji za praćenje zaposlenika koji rade kod kuće. Utvrđeno je da alati prikupljaju osobne i osjetljive podatke, uključujući video snimke, bez odgovarajućeg pristanka korisnika ili zaštitnih mjera. Regulatori zaštite podataka pokrenuli su Zlouporaba umjetne inteligencije i etička pitanja.

Udarac: Javne reakcije, revizije zaštite podataka i operativne promjene u implementaciji alata umjetne inteligencije.

4. Halucinacije umjetne inteligencije vode do pravnog rizika

Međunarodna konzultantska tvrtka suočila se s reputacijskim problemima kada je generativni alat umjetne inteligencije korišten za interna istraživanja vratio netočne informacije u dokumentu namijenjenom klijentima. Halucinirani sadržaj, predstavljen kao činjenica, doveo je do narušenog odnosa s klijentima i gubitka ugovora.

Oduzeti: Generativni utjecaj umjetne inteligencije proteže se izvan sigurnosti jer alati koji generiraju pogrešne ili obmanjujuće rezultate mogu uzrokovati reputacijsku, operativnu i pravnu štetu ako se koriste bez odgovarajućeg pregleda.

5. Povećano IT opterećenje zbog širenja Shadow AI alata

U nedostatku centraliziranih kontrola, zaposlenici često usvajaju neovlaštene AI alate i dodatke kako bi povećali produktivnost. To širenje opterećuje IT timove praćenjem, procjenjivanjem i ublažavanjem nepoznatih rizika.

Primjer: Tvrtka s Fortune 500 liste otkrila je preko 40 neodobrenih alata umjetne inteligencije koji se aktivno koriste u raznim odjelima, svaki s različitim razinama pristupa i nejasnim praksama rukovanja podacima.

Udarac: Povećani IT troškovi, fragmentirano okruženje rizika, hitna potreba za upravljanjem.

6. Sigurnosni incidenti putem zlonamjernih proširenja ili dodataka

GenAI proširenja preglednika mogu uvesti AI injekciju, tihi pristup podacima ili rizike od otmice sesije, posebno kada su previše permisivna ili ih sigurnosni timovi ne provjeravaju.

Primjer: Otkriveno je da ChatGPT proširenje u Chrome web trgovini krade kolačiće Facebook sesije, dajući napadačima potpuni pristup računu.

Udarac: Preuzimanje računa, povrede na razini preglednika, erozija povjerenja korisnika.

Bez snažne sigurnosti i upravljanja GenAI-om, poduzeća riskiraju više od samo tehničkih ranjivosti. Suočavaju se s pravnim, reputacijskim i operativnim posljedicama. Proaktivno rješavanje tih rizika kontrolama na razini korištenja, DLP-om i upravljanjem temeljenim na ulogama ključno je za omogućavanje sigurnog i produktivnog usvajanja umjetne inteligencije.

Kako LayerX osigurava korištenje GenAI-a

Kako poduzeća prihvaćaju GenAI alate, izazov zaštite osjetljivih podataka od nenamjernog izlaganja postaje hitan. Tradicionalni sigurnosni alati nisu izgrađeni za dinamičnu prirodu GenAI interakcija temeljenu na pregledniku. Tu nastupa LayerX - pružajući namjenski izgrađene obrane prilagođene pregledniku koje pružaju vidljivost, kontrolu i zaštitu u stvarnom vremenu od nenamjernog curenja podataka bez ugrožavanja produktivnosti.

  • DLP preglednika u stvarnom vremenu za AI upute

U središtu LayerX-ovog rješenja je njegova DLP (Data Loss Prevention - sprječavanje gubitka podataka). Za razliku od naslijeđenih DLP alata koji rade na razini mreže ili krajnjih točaka, LayerX se integrira izravno u preglednik - primarno sučelje za AI alate poput ChatGPT-a. To mu omogućuje pregled i kontrolu korisničkog unosa u stvarnom vremenu, prije nego što podaci uopće napuste područje poduzeća. LayerX detektira osjetljive podatke poput PII-a, izvornog koda, financijskih detalja ili povjerljivih dokumenata kada ih korisnici pokušaju zalijepiti ili upisati u ChatGPT. Zatim provodi radnje temeljene na pravilima, kao što su brisanje, upozorenja ili izravno blokiranje.

IshodOsjetljivi podaci se zaustavljaju na izvoru, sprječavajući slučajno ili neovlašteno izlaganje bez prekidanja korisničkog tijeka rada.

  • Generativno praćenje umjetne inteligencije i vidljivost umjetne inteligencije u sjeni

LayerX pruža potpuni uvid u sve GenAI alate, web-stranice i SaaS aplikacije kojima korisnici pristupaju, bez obzira jesu li odobreni ili ne. Kontinuiranim praćenjem aktivnosti preglednika identificira tko koristi koje AI alate i putem kojih računa - korporativnih, SSO ili osobnih. Također otkriva koje se vrste podataka unose, pišu li upite, lijepe li podatke o korisnicima ili prenose osjetljive datoteke. 

Ishod: To omogućuje sigurnosnim timovima da otkriju neovlaštenu upotrebu, eliminiraju shadow AI, prate interakcije s osjetljivim podacima, identificiraju visokorizično ponašanje i poduzmu korektivne mjere prije nego što dođe do incidenta s podacima.

  • Precizna, kontekstualno svjesna provedba pravila

Pomoću LayerX-a, poduzeća mogu definirati kontekstualne politike prilagođene slučajevima korištenja umjetne inteligencije. Politike se mogu provoditi na razini preglednika na temelju korisničke uloge, konteksta aplikacije, vrste podataka i atributa sesije. Na primjer, politike mogu omogućiti marketinškim timovima korištenje ChatGPT-a za generiranje sadržaja, a istovremeno blokirati slanje podataka o korisnicima ili internih dokumenata. Razvojnim programerima može se dopustiti testiranje isječaka koda, ali ne i dijeljenje repozitorija izvornog koda. LayerX provodi radnje temeljene na politikama, kao što su redigiranje, upozorenja kako bi se korisnici obavijestili kada su na rubu kršenja politike ili izravno blokiranje.

IshodOmogućavanje umjetne inteligencije i zaštita poduzeća putem umjetne inteligencije, osiguravajući odgovornu upotrebu bez ograničavanja inovacija.

  • Upravljanje dodacima i proširenjima

LayerX također štiti od rizičnih interakcija AI dodataka, koji mogu tiho prenijeti sadržaj upita na API-je trećih strana. Identificira i kategorizira AI proširenja i dodatke preglednika prema razini rizika, izvoru i funkcionalnosti. Također prati i upravlja ponašanjem dodataka, dajući administratorima mogućnost odobravanja, blokiranja ili ograničavanja dodataka na temelju njihovih praksi rukovanja podacima. 

IshodPoduzeća smanjuju svoju izloženost ranjivostima temeljenim na dodacima i provode jače upravljanje podacima umjetne inteligencije u cijeloj organizaciji.

Zaključak: Omogućavanje sigurne, skalabilne umjetne inteligencije u cijelom poduzeću uz LayerX

Generativna umjetna inteligencija je tu da ostane i mijenja način na koji se posao obavlja u svakoj organizaciji. Ali bez pravih zaštitnih mjera, GenAI alati poput ChatGPT-a mogu se brzo pretvoriti iz pojačivača produktivnosti u rizike od curenja podataka. LayerX osnažuje poduzeća da s pouzdanjem prihvate umjetnu inteligenciju, uz vidljivost, kontrolu i zaštitu potrebnu za sigurnost osjetljivih podataka, usklađenost s pravilima korištenja i kontrolu rizika. Bez obzira borite li se protiv skrivene umjetne inteligencije, provodite li pravila korištenja umjetne inteligencije ili sprječavate curenje podataka u stvarnom vremenu, LayerX pruža sigurnosnu osnovu za sigurno i skalabilno usvajanje umjetne inteligencije. 

Ne dopustite da inovacije umjetne inteligencije nadmaše vašu sigurnosnu strategiju. Usvojite LayerX već danas i pretvorite umjetnu inteligenciju iz rizika u konkurentsku prednost.

Zatražite demo kako biste vidjeli LayerX u akciji.