調研機構Gartner公司提供了一些關于如何對抗FUD(恐懼、不確定、懷疑)的建議，Gartner公司安全分析師Anton Chuvakin博士和Augusto Barros在他們的文章中揭開人工智能的神秘面紗。以下將討論首席信息安全官(CISO)在投資基于人工智能的網絡安全產品和解決方案時應該考慮的四個實際問題。

 

 

如果沒有一個清晰、完善和成熟的網絡安全計劃，對于人工智能的投資將會有去無回。企業可能會面臨解決一個問題，卻產生更多新問題的困境，甚至更糟的是，忽略了更危險和緊急的問題。

 

企業的數字資產(即軟件、硬件、數據、用戶和許可證)的整體清單是網絡安全戰略不可或缺的第一步。在云計算容器時代，物聯網和外包應用的激增，保持最新和全面的庫存是一項挑戰。但是，如果省略這一關鍵步驟，企業的大多數努力和伴隨的網絡安全支出可能都是徒勞的。

 

每個公司都應該保持一個長期的、基于風險的網絡安全戰略，其目標是可衡量的，里程碑是一致的;減輕孤立的風險或根除個別威脅不會帶來長期的成功。網絡安全團隊應該有一個明確的任務和責任范圍，以及實現目標所需的權利和資源。這并不意味著應該提出難以實現的完美目標，而是與企業董事會就其風險偏好達成一致，并確保按照計劃逐步實施的企業網絡安全戰略。

 

 

作為人工智能的一個子集，機器學習的主要規則是盡可能避免使用。也許機器學習能夠解決大量輸入和輸出的高度復雜的問題，往往產生不可靠性和不可預測性。采用機器學習也可能成本非常高，幾年后才能獲得投資回報，而到那時，企業的整個商業模式都可能過時。

 

例如，訓練數據集在獲取、構建和維護方面可能成本高昂并且耗時。而且，任務越復雜，構建、訓練和維護人工智能模型的麻煩和代價越高，就越容易出現誤報和漏報。此外，采用基于人工智能的技術可以降低成本，但需要更高的維護投資(通常會超過節省的成本)時，企業可能面臨惡性循環。

 

最后，人工智能可能不適用于某些任務和過程，在這些任務和過程中，決策需要可追溯的解釋，例如，為了防止歧視或遵守法律。因此，確保企業對人工智能的實現在短期和長期情況下是否具有經濟實用性有一個全面的評估。

 

 

在人工智能業務中，需要訓練機器學習模型以執行不同任務的訓練數據集。

 

培訓數據集的來源、可靠性和足夠的數量是大多數人工智能產品的主要問題。畢竟，人工智能系統需要和人們投入的數據一樣良好。通常，安全產品可能需要在本地進行長期的訓練，此外，假設企業有一個無風險的網段，將作為用于培訓目的的正常事務狀態的示例。在企業外部進行過訓練的通用模型可能僅適用于其流程和IT架構，而無需在其網絡中進行一些補充訓練。因此，企業需要確保訓練和相關的時間承諾在產品采購之前得到解決。

 

對于網絡安全的主要目的，人工智能產品需要定期更新，并與新出現的威脅和攻擊媒介保持一致，或者只是與企業網絡中的一些新事物保持一致。因此，企業需要詢問需要更新的頻率、運行更新需要多長時間，以及管理流程的人員。這可能會避免額外的維護費帶來苦惱。

 

 

機器學習對于隱私來說可能是一個巨大的風險。違反GDPR法規的經濟處罰只是冰山一角，數據被非法存儲或處理的團體和個人可能對企業采取法律措施并要求賠償。此外，還必須考慮許多其他適用的隱私法律和法規，這些法律和法規可能會超出GDPR法規最高4%收入上限的處罰。還要記住，大多數訓練數據集不可避免地包含大量的個人可識別信息(PII)，這些信息可能是在沒有得到同意或其他有效認可的情況下收集的。更糟糕的是，即使合法收集和處理個人可識別信息(PII)，數據主體要求行使GDPR法規授予的權利(例如訪問權或刪除權)也是不可行的，個人可識別信息(PII)本身是不可提取的。

 

2010年至2018年，美國提交了近8000項專利，其中18%來自網絡安全行業。HPE公司警告說，未經許可使用專利人工智能技術將會面臨法律和業務風險。因此，將侵權的法律風險轉移給供應商可能是一個好主意，例如，在合同中添加賠償條款。

 

企業高管很少有人意識到，如果他們使用的技術侵犯了現有專利，企業可能要承受數百萬美元的二次侵權損失。而知識產權法的主體非常復雜，許多問題在某些司法管轄區域仍未解決，這為法律訴訟的結果帶來了不確定性。因此，企業務必與其法律顧問或律師進行溝通，以獲取有關如何最大限度地降低法律風險的建議。

 

最后，企業需要確保自己的數據不會出于“威脅情報”或“訓練”目的傳輸到任何地方，無論是否合法。