从ChatGPT到Sora,短短两年时间,AI的进化速度和程度再次刷新了所有人的想象,而数字经济在全球范围内的快速增长,也在推动人工智能逐步从“探索期”向“成长期”的快速过渡。据统计,预计到2026年,仅生成式人工智能市场将从2021年的15亿美元增长到65亿美元,复合年增长率34.9%。
然而,当我们惊叹于人工智能在推进技术和各个产业转型重塑,帮助企业提高生产效率,丰富人们日常生活等方面展现出的超凡能力的同时,也绝不该忽视其引发的由于数据量激增及泛用化等带来的一系列前所未有的安全风险,有机构预测,AIGC产生的数据到2026年将占所有数据的10%,而目前这一比例还不到1%。也就是说,也许10倍于当前的挑战将要到来。
面对挑战,放眼全球,中国用户似乎对使用AI技术尤其“痴迷”。Veritas最新调研结果显示,85%的中国受访者在工作中使用ChatGPT等人工智能生成工具,包括输入客户、员工和公司财务等信心,敏感数据暴露的风险也因此增加。但是,类似的行为却似乎缺少应有的“约束”,虽然有90%的中国受访者认为针对AI的使用指导和政策非常重要,但目前只有34%的中国企业向员工提供了强制性的使用指导。
对此,Veritas认为:AI技术“奇点”的到来,需要数据管理的加速“蝶变”。在人工智能发展和数据安全问题日益深度交织融合的当下,企业及其员工正成为面对数据安全风险的主要群体。因此,明确AI使用过程中和黑客利用AI勒索等威胁,开展及时的培训和指导,并强化自身网络韧性,显得至关重要。也许唯有对AI保持敬畏之心,才能真正让其“无害”地为我们所用。
AI泛用让数据风险“层层加码”
如今,AI的无处不在,让各类风险层出不穷。
一方面,在AI的使用过程中,可能不经意间便会触及“红线”。根据数据安全服务机构赛博天堂(Cyber Heaven)的检测显示,其客户公司的160万名员工中已有4.2%将包含商业秘密的数据输入ChatGPT,其中有高管将战略文件复制到ChatGPT并利用其生成幻灯片,一旦被盗用或窃取,后果不可想象。
然而类似的“无意”行为,却并非罕见现象。根据Veritas的调研,在中国受访者中有37%的员工承认曾将潜在敏感信息输入AIGC工具,且有50%和58%的受访者没有意识到风险,或并不了解这样是否会导致其公司违反数据隐私合规法规。
从数据使用全生命周期的视域来看,企业在使用AI时可能会面临诸如数据泄露、合规、操纵篡改、数据偏差等多类型风险。
· 数据泄露风险。在使用AI过程中,将包括个人信息、客户数据、企业机密等敏感数据键入,以提高搜索效率等,这些行为极大增加了信息泄露的风险,且该类风险发生的概率看上去也是最高的一种。
· 数据合规风险。在一些特殊行业中,企业数据受到法律严格管治,例如制药行业,任何药企都要遵守cGMP中对于数据连续性和完整性的规定,一旦因AI使用造成数据丢失,企业不但要接受监管机构的处罚,整个批次的药品都可能被报废处理,造成严重损失。
· 数据操纵或篡改风险。在自动驾驶、智能工厂等对实时性要求极高的场景中,数据操纵或篡改对AI核心模块产生的定向干扰将会直接扩散到智能设备终端(如智能驾驶汽车的刹车装置等),很可能导致灾难性事故发生。
· 数据偏差导致决策风险。数据偏差是指AI决策中所使用数据因不够全面,使所承载的信息带有难以用技术手段消除的偏差,进而导致决策结果不够科学。比如对于金融征信、医疗领域企业,可能会因数据量不足、数据质量不高等原因,导致决策准确率偏低,影响最终效果。
另一方面,即使企业对AI使用格外谨慎,也难免会遭遇黑客利用AI进行诈骗或勒索。近日,一家英国跨国企业的中国香港分公司,被骗子用伪造的“AI换脸”和AI音频合成的视频内容,冒充总公司的CFO,直接骗走了2亿港币。此外,相关数据显示,仅2022年上半年,全球就记录了2.361亿次勒索软件攻击,勒索软件的速度已经快至可以在43分钟内加密54GB的数据,由此引发的网络攻击也被IDC认为是全球组织面临的最大威胁之一,而这种威胁在得到AI技术加持之后,所造成的后果更难以想象。
众所周知,海量多源数据是AI,特别是生成式AI训练和产出的原始素材,也是当前企业数字化发展中宝贵的资源。有研究数据显示,86%的企业开始将AI作为未来数字化发展的“主流”技术,并加大投资,以帮助企业做出更好的决策、改善客户服务并降低成本。如此一来,企业将会有更多的“无形资产”以数据的形式暴露在网络环境中,黑客可以使用AIGC来创建更高效的勒索软件,或利用WormGPT等不受约束的语言模型来实现更复杂的网络钓鱼攻击。为此,除了支付赎金,企业还可能承受包括收入损失、失去客户、员工生产力下降、监管罚款、数据无法恢复、甚至面临诉讼等后果。而这对于众多正处于数字化转型加速期的中国企业来讲,势必将构成更大的威胁,如何有效应对,便也更加任重道远。
全面部署积极防御,从容应对更大挑战
正像AI技术本身自带的“双刃剑”属性,各个国家在积极拥抱这项新技术的同时,也对如何保障安全实施了相应对策。如意大利个人数据保护局率先封禁了ChatGPT,美国联邦贸易委员会也收到了请求调查OpenAI的动议。中国从2019年开始,陆续发布了《新一代人工智能治理原则——发展负责任的人工智能》、《生成式人工智能服务管理办法(征求意见稿)》等,提出“发展与治理双轮驱动”思路,加速推动建立AIGC的治理框架。
而对于企业来说,制定具有前瞻性,切实可行的策略和方案同样迫在眉睫。对此,Veritas建议:针对在使用AI过程中,及黑客网络攻击、勒索等可能面临的风险,企业在提高重视程度的同时,在“前端”紧跟相关技术发展趋势,积极创建对应的指导和规则,在“中端”运用正确的治理工具可靠合规的进行管理,并在“后端”塑造更具韧性的网络架构,筑牢“最后一道防线”。
· 与时俱进了解趋势。企业应积极与供应商和研究机构合作,掌握AI技术、勒索攻击等发展的最新趋势,并对其之于数据管理的威胁做出评估,通过加强与员工、用户的沟通,制定事件响应计划等,进一步提高全员的风险应对意识。
· 事无巨细规范行为。在企业内部,应及时制定并清晰传达相应的使用指导和规则,规范员工对AI的使用。根据Veritas的调研,近九成(89%)的中国员工希望企业提供AI的使用指导、政策或培训,以明确工具使用的正确方式(68%)、降低风险(51%)和在工作场所创造公平竞争的环境(31%)。在此基础上,通过定期的培训,让员工真正意识到什么是可以做的,什么是不能做的。
· 全面周密数据管理。企业应从加密、控制和保护敏感数据,确保数据可靠性和完整性,建立管理流程,对数据进行分类和标记并审计和监控等几方面入手,把握“全面辨识和分类数据、实现自动化分类系统、普及数据分类”关键三步,并携手可靠的供应商,运用正确的数据合规治理工具,监测管理落地实施过程并持续执行。此外,面对海量数据管理的庞大工程,企业可采用AI驱动的异常检测和其他类似的安全措施,来提高抵御威胁的效率和能力。
· 未雨绸缪强化韧性。在网络环境逐渐AI化时,单独依赖灾难恢复的方式已不足以充分应对网络事件,企业需要依托更高水平的灾难恢复流程,重点确保关键数据和系统的生存、完整性和快速恢复,不断提升网络韧性。为此,企业在拥有足够的存储冗余,采用防篡改和不可变的存储,将零信任扩展到企业数据保护环境中,采用独立备份系统等,确保数据“可恢复”的同时,还要定期进行灾难恢复演练等,真正做到有“备”无患。
人工智能技术的日新月异,对企业的数据管理提出了新的更艰巨的难题,但幸运的是,AI在制造威胁的同时,也可以被用来监测、规避威胁,为企业提供更适用的工具,帮助企业采取更迅速、智慧的行动。为了激发AI创造更多正面价值,尽可能地规避AI带来的潜在风险,实现自身利益的最大化,企业更应加快从认识、了解,到使用、防范AI及其衍生技术的脚步,结合全方位的数据管理和保护策略,在充满了机遇和挑战的数字化转型中迎接美好的明天。
关于 Veritas
Veritas Technologies是安全多云数据管理领域的领导者。超过八万家企业级客户, 包括91%的全球财富100强企业,均依靠Veritas确保其数据的保护、可恢复性和合规性。Veritas在规模化的可靠性方面享有盛誉,可为企业提供抵御勒索软件等网络攻击威胁所需的韧性。Veritas通过统一的平台,支持超过800种数据源,100多种操作系统以及1400多种存储设备。在云级技术的支持下,Veritas现正在实践其数据自治战略,在降低运营成本的同时,实现更大价值。
Veritas中国官方网站 https://www.veritas.com/zh/cn/
Veritas官方微信平台:VERITAS_CHINA(VERITAS中文社区)