也有人擔心AI的速度可能導致公司動作過快,在沒有足夠時間確保其穩固的情況下加速開發新應用或平臺。超過三分之一的CIO表示,當前影響他們的最大風險之一是技術債務,這僅次于網絡威脅,并且與管理多個不同系統環境的風險并列。
那么,CIO應該怎么做呢?對AI實施所需的一切進行清晰的評估至關重要,這些評估應轉化為與其他高管之間誠實而坦率的對話。AI有巨大的潛力,但只有在平臺可用、穩固和一致的情況下才能實現。
當SEC去年秋天對SolarWinds及其CISO提起訴訟后,標志著董事會和非技術高管對網絡安全的看法發生了變化。喬治城大學Psaros金融市場與政策中心的訪問學者Marshall Lux撰寫了一篇關于董事會與CIO和CISO之間關系變化的論文。我與他進行了交談,下面是我們對話的摘錄。
超越微軟和蘋果,英偉達現在是全球最有價值的公司,這家AI芯片制造商首次在周二超越了這兩大科技巨頭,并一直保持在榜首。英偉達的股票在上周因AI領域的重新興奮情緒而上漲,這主要得益于蘋果宣布即將推出的AI功能,分析師對微軟給予了更高的預期,以及英偉達本月早些時候進行的10比1股票拆分。唯一讓英偉達的上漲放緩(以及微軟和蘋果的股價在上周也創下了歷史新高)的是周三因六月節假期休市,然而,今天英偉達的股價再次飆升,達到3.4萬億美元的估值,引發了何時成為首個4萬億美元公司的猜測。
雖然其他公司在制造AI平臺,但英偉達制造了運行這些平臺和數據所需的芯片。記者估計英偉達控制了AI芯片市場的70%到95%。彭博社的供應鏈數據估計,微軟實際上占英偉達收入的15%。《華爾街日報》報道稱,Sequoia Capital在三月估計公司已經在英偉達芯片上花費了500億美元以訓練大型語言模型。
英偉達即將推出的Blackwell平臺,包括有史以來最強大的芯片。公司在3月份宣布了這些芯片時,英偉達 CEO Jensen Huang(現為全球第11大富豪)表示,公司已經得到了來自Amazon Web Services、Dell Technologies、Google、Meta、Microsoft、OpenAI、Oracle、Tesla和xAI的使用承諾。因此,即使AI平臺開發遇到放緩,英偉達的估值和收入也將繼續迅速上升。
Microsoft新AI套件中的一些功能正在重新啟動。公司決定推遲完全發布其Recall功能,該功能自動保存用戶計算機活動的截圖——在用戶試圖回憶昨天下午讀過的報告名稱等信息時,為AI助手提供參考。Forbes高級撰稿人Barry Collins寫道,存儲這些截圖的Recall數據庫未加密,意味著任何黑客都能輕易訪問敏感數據,包括信用卡號碼、密碼和銀行信息。Collins寫道,安全研究人員在發現這一漏洞的幾天內,就展示了可以提取這些信息的惡意代碼。
Microsoft在計劃向公眾發布新AI PC之前,對Recall進行了一些快速更改。默認情況下將關閉Recall,使用該功能的人在調用信息之前需要通過認證,數據庫將完全加密,但隨后公司決定暫時不發布Recall,以確保體驗符合我們的高質量和安全標準,Microsoft在其Windows Experience博客上寫道。
Collins與幾位專家討論了這一初步失誤是否會影響Recall的全面推出,預計會有一個大幅改進的版本。Directions on Microsoft的研究分析師Wes Miller表示,這“可能讓許多用戶對該功能失去了興趣,也可能注定了它在必須保持真正強大的安全、合規和風險管理方法的組織中的大規模使用。”
雖然許多法院和調查報告是公開的,但其他一些是保密的——這是有充分理由的。法院處理的個人問題包括家庭暴力、離婚和子女監護,關于這些案件的大部分信息不適合公開。去年秋天,Forbes高級撰稿人Emily Baker-White報道,一位安全研究人員發現佛羅里達州一些縣法院和執法系統中存在巨大漏洞,可能允許在線訪問數百萬份機密記錄。當他們向相關部門報告這些漏洞時,取得的進展有限,直到他們在博客上詳細描述了其中一些問題后,問題才得到解決。專家告訴Forbes,在網絡安全方面,許多較小的政府實體沒有大預算或時間來關注細節。雖然一些漏洞只是安全鏈中的薄弱環節,但它提醒我們要測試和重新測試安全性。畢竟,網絡攻擊和黑客利用個人信息的行為變得越來越復雜,這些數據可能很容易被用來對付普通人。
喬治城大學訪問學者Marshall Lux關于董事會與網絡安全關系的觀點
2019年,黑客在軟件公司SolarWinds發布的更新中插入了惡意代碼,最終導致包括地方、州和聯邦機構在內的3萬多家公共和私人組織的系統被入侵。去年10月,證券交易委員會宣布對SolarWinds及其CISO提起訴訟,指控他們對其網絡安全計劃做出誤導性陳述,未能披露其對漏洞的了解以及未能有內部控制措施來保護其資產。
這些指控是SEC首次對個人提起的訴訟,改變了公司董事會、高管與負責網絡安全的人員之間的動態。喬治城大學Psaros金融市場與政策中心的訪問學者Marshall Lux撰寫了一篇論文,研究這種關系的變化。我與他進行了交談,討論了他的見解,以及為了保護公司的數據和聲譽需要做些什么。以下是我們對話的摘錄,經過長度、清晰度和連貫性的編輯。
SolarWinds攻擊和網絡安全事件的激增如何影響公司CISO與董事會及高管之間的關系?
Lux:我認為CISO現在變得非常重要。在我的許多會議中,CISO每月或每季度向董事會報告。我認為董事會正在仔細審視CISO,并問自己,‘他們是否勝任這項工作?’我認為董事會培訓、工具和指標的需求非常大。監管機構要求人們提高能力并進行監督并承擔責任。
SolarWinds事件的問題是:最終,這是一個警鐘,存在欺詐行為,對吧?這沒有被報告。所以董事會明白了,他們需要確保事情被報告、披露,在8-Ks中等等,但這在某些方面只是錦上添花。現在,你必須有知識,必須有委員會,必須有合適的人選,你必須了解工具,你必須確保報告正在進行。
當事件發生時,突然之間就像,‘哦,糟糕。’如果它重復發生,我認為市場會對人們進行折扣,他們會說這個機構不斷受到攻擊,他們有什么問題?頭條新聞的風險很大,聲譽損害也很大,客戶的不便也很大,給數百萬客戶發送信件,他們獲得免費訪問信用局等等,這真是個麻煩。
基于當前的現實,你認為CISO、董事會和CEO之間的理想關系應該是什么樣的?董事會成員和高管需要對網絡安全問題有多少了解?
我認為董事會需要有基本的并且越來越多的專業知識,必須有一個技術委員會來關注網絡和技術。對于許多公司來說,這是一個新的概念。通常你有審計、風險、薪酬、治理等委員會。在我看來,尤其是公司在技術上花費很多時,你需要一個技術委員會,你需要仔細審視你的CISO,并問自己,‘他們是否勝任這項工作?’你需要有指標。
很多時候你會看到人們在展示一些東西,坦白說,這有點技術性。人們會說:我們有生產數據、非生產數據。人們的眼睛就開始發呆,他們會說,‘好吧,這聽起來不錯。’我主持過技術委員會會議,我們花費大量時間處理文件并說,‘這是什么意思?’如何讓一個可能在零售領域工作了一輩子的董事會成員理解這些內容?用簡單的英語解釋,讓我理解風險是什么。
然后你需要有風險框架,你需要有網絡框架,這些都是基礎的東西,通常情況下,就像摩爾定律一樣,當你掌握了它,它會變得復雜百倍,因此你需要持續教育,正如我所說,每個月我看到數據時都會說,‘好吧,讓我理解。為什么這不同?這如何改變事物?’現在有暗網信息的數據庫,你可以深入了解哪里有不良數據。
此外,這種情況可能發生在任何地方,一個服務器感染,整個技術就會腐爛,所以你必須高度警惕,你必須檢查每一個可能的漏洞,外面有很多數據可以使用,這將是一個非常快速發展的領域。
總是有新的風險出現,CISO如何讓董事會對現狀感到滿意,而風險不斷增加?
我堅信要指出問題,嚇唬董事會是可以的,最糟糕的事情就是在情況不好的時候告訴董事會一切都好。作為一個風險人,你的主要忠誠對象不僅是CEO,還有董事會,所以如果有分歧,如果你受到挑戰,要指出問題。在執行會議上,只與CISO進行會談,請CEO離開,告訴我你擔心什么。如果你說實話,你不會失去工作,如果你說,‘我需要更多幫助,我需要更多資源,我需要更多地向你們匯報。’我認為這非常有益。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號