員工通過GenAI泄露數據正成為企業的噩夢。
根據Harmonic最近發布的關于GenAI數據泄露的報告,8.5%的員工向熱門大型語言模型(LLM)發送的提示中包含敏感數據,這引發了安全、合規、隱私和法律方面的擔憂。
Harmonic在2024年第四季度分析了數萬個向ChatGPT、Copilot、Gemini、Claude和Perplexity發送的提示,發現客戶數據(包括賬單信息和認證數據)占泄露數據的最大比例,為46%。Harmonic特別指出,保險索賠是一種充滿客戶數據的報告類型,員工經常將其輸入GenAI工具中以節省處理時間。
員工數據(包括薪資數據和個人身份信息PII)占敏感提示的27%,其次是法律和財務數據,占15%。
“與安全相關的信息占敏感提示的6.88%,尤其令人擔憂,”報告稱。“例如,滲透測試結果、網絡配置和事件報告。這些數據可能為攻擊者提供利用漏洞的藍圖。”
走出陰影
GenAI數據泄露是一個棘手的問題,也是企業GenAI戰略讓CISO陷入困境的主要原因之一。
企業LLM的使用大致分為三類:授權部署,包括許可和內部開發的實施,影子AI,通常包括企業出于合理原因禁止使用的免費消費級應用,以及半影子GenAI。
未授權的影子AI是CISO面臨的主要問題,但最后一類問題日益嚴重,可能是最難控制的。半影子AI由業務部門負責人發起,可能包括未經IT批準的付費GenAI應用,用于實驗、提高效率或增強生產力。在這種情況下,高管可能在進行影子IT活動,而一線業務員工則沒有,因為他們被告知要使用這些工具作為企業AI戰略的一部分。
無論是影子AI還是半影子AI,免費GenAI應用都是最成問題的,因為它們的許可條款通常允許對每個查詢進行訓練。根據Harmonic的研究,免費層級AI的使用占敏感數據泄露的最大比例。例如,54%的敏感提示是在ChatGPT的免費層級上輸入的。
但大多數數據專家也勸阻CISO不要相信付費GenAI應用的合同承諾,其中大多數禁止在企業版本中對用戶查詢進行訓練。
Carstens, Allen & Gourley知識產權律師事務所的律師Robert Taylor以商業秘密為例。他說,如果員工向GenAI系統提出一個問題,該問題揭示了商業秘密,那么各種法律保護(尤其是商業秘密保護)可能會喪失。他還補充說,保護知識產權的律師經常讓團隊成員向各種AI應用詢問關于商業秘密的問題,以查看是否發現了禁止的數據。如果是這樣,那么他們就知道有人泄露了信息。
如果競爭對手得知了泄露事件,它可以在法庭上辯稱泄露事件使商業秘密的法律保護失效。據Taylor稱,IP所有者的律師必須證明企業部署了一系列機制來保護秘密。依賴合同中禁止對GenAI查詢進行訓練的條款“并不是足夠合理的努力水平”,Taylor說。
“這將是一個綜合考慮各種情況的情況,”他說。企業必須部署并嚴格執行“限制員工使用數據的政策”。
數據意識實踐
Forrester的副總裁兼首席分析師Jeff Pollard表示,CISO應與業務領導者合作,確保員工接受培訓,以了解如何從LLM中獲得相同結果而無需使用受保護的數據。這樣做需要對提示進行更精細的處理,但可以保護敏感信息而不削弱AI生成答案的有效性。
“你真的不需要透露敏感信息就能從系統中獲得正面收益,但我們必須培訓用戶了解查詢措辭”策略,Pollard說。
當談到員工使用免費AI工具而不是受限制的企業付費應用時,“打擊員工是最明顯的事情,但核心問題是:‘為什么員工要這么做?’”Gartner的杰出副總裁兼分析師Arun Chandrasekaran問道。
“員工之所以這么做,是因為IT沒有為他們提供所需的工具。”他辯稱。
Chandrasekaran表示,CISO應向他們的C級高管指出這一點,以幫助執行企業范圍內的AI工具應“真正可用”的原則。
不幸的是,據軟件供應商Unily的高級社區和合作伙伴營銷經理Kaz Hassan稱,對于GenAI來說,木已成舟。
“員工對AI的使用已經超出了IT團隊追趕的能力,”他說。“IT團隊知道情況不妙,但無法破解溝通、文化或戰略方面的難題以產生影響。”
Hassan補充說:“需要一個新的藍圖,組織現在需要明確的AI戰略來降低風險,并且需要立即將AI融入員工的技術堆棧中。”
他聲稱,典型的監控和控制應用未能抓住數據泄露的要點。
“高級用戶通過未授權的AI工具處理敏感數據,不是因為他們無法被控制,而是因為他們不會被放慢速度。舊的限制和保護策略不僅失敗了——它還在積極推動AI創新走向陰影,”Hassan說。“CISO需要面對這個現實:要么領導AI轉型,要么眼睜睜看著自己的安全邊界瓦解。”
Hassan指出,GenAI帶來的數據問題有兩個方向:敏感數據通過查詢泄露出去,以及有缺陷的數據(無論是通過幻覺還是基于錯誤信息的訓練)通過GenAI答案進入企業,而你的團隊依賴這些答案進行企業分析。
“當今的CISO不應只擔心敏感數據泄露出去,”Hassan說。“他們還應該擔心壞數據進來。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號