Każda firma organizuje szkolenia z zakresu świadomości bezpieczeństwa. Symulacje ataków phishingowych. Zasady bezpiecznego korzystania z haseł. Podstawy ochrony danych. To wszystko jest konieczne. Jednak to już nie wystarcza.
Luka, o której nikt nie wspomina
Pracownicy już teraz korzystają ze sztucznej inteligencji — piszą e-maile, sporządzają streszczenia dokumentów, przesyłają dane do analizy oraz korzystają z asystentów i wewnętrznych narzędzi opartych na sztucznej inteligencji. Jednak większość programów edukacyjnych nie przygotowuje do tej rzeczywistości.
Powoduje to pojawienie się nowego rodzaju risk. Nie chodzi tu o złośliwe zachowanie, lecz o zachowanie wynikające z braku wiedzy.
Wklejanie danych wrażliwych do publicznie dostępnych narzędzi opartych na sztucznej inteligencjiPracownicy, którzy nie rozumieją konsekwencji przetwarzania danych przez zewnętrzne usługi oparte na sztucznej inteligencji, udostępniają informacje wewnętrzne, których nigdy nie wysłaliby w wiadomości e-mail na zewnątrz firmy.
Dokumenty wewnętrzne przesłane „dla wygody”Pliki zawierające PII, dane finansowe lub procedury wewnętrzne przesyłane do narzędzi opartych na sztucznej inteligencji w celu sporządzenia streszczenia lub tłumaczenia — bez wiedzy o tym, dokąd trafiają te dane.
Wyniki generowane przez sztuczną inteligencję są traktowane jako wiarygodne bez weryfikacjiPracownicy działają zgodnie z zaleceniami, podsumowaniami lub kodem generowanym przez sztuczną inteligencję bez krytycznej analizy — ponieważ narzędzie przedstawia wyniki z pozorną pewnością.
Pracownicy przyznający narzędziom dostęp bez zrozumienia zakresu uprawnieńUprawnienia OAuth są akceptowane bez zapoznania się z tym, jaki dostęp jest przyznawany — co daje narzędziom AI dostęp do poczty elektronicznej, kalendarza, plików lub systemów wewnętrznych.
Wskazówki ujawniające więcej informacji niż zamierzanoSzczegóły, które ludzie zamieszczają w poleceniach, aby uzyskać lepsze odpowiedzi od sztucznej inteligencji, często zawierają poufne informacje biznesowe, dane klientów lub procedury wewnętrzne, które nigdy nie powinny opuszczać organizacji.
To nie jest policy
Można blokować narzędzia. Można ograniczać dostęp. Ale w rzeczywistości: sztuczna inteligencja i tak będzie wykorzystywana — niezależnie od tego, czy będziesz mieć na to wpływ, czy nie. Rozwiązaniem nie są ograniczenia. Kluczem jest większa świadomość.
W GenAI polecenie stanowi nową ścieżkę wycieku danych.
Co musi obejmować szkolenie z zakresu bezpieczeństwa uwzględniające sztuczną inteligencję
01
Korzystanie z narzędzi — ocena sytuacji
Kiedy warto korzystać ze sztucznej inteligencji
Kiedy NIE należy korzystać ze sztucznej inteligencji
Jakie narzędzia są dopuszczone do użytku
Ryzyko związane z narzędziami zewnętrznymi
02
Przetwarzanie danych w kontekście sztucznej inteligencji
Jakie dane można wprowadzać do systemów sztucznej inteligencji
Czego nigdy nie wolno ujawniać
W jaki sposób podpowiedzi ujawniają kontekst
W jaki sposób wyniki mogą dostarczać informacji o danych
03
Świadomość zagrożeń związanych ze sztuczną inteligencją
Szybkie uświadamianie na temat wstrzyknięć
Ryzyko wycieku danych
Model halucynacji i zaufania
Ryzyko związane z narzędziami AI innych producentów
Konsekwencje dla tożsamości i dostępu
Chodzi tu o podejmowanie decyzji, a nie o ślepe przestrzeganie zasad. Celem jest wyposażenie pracowników w umiejętność samodzielnej oceny sytuacji, która pozwoli im bezpiecznie korzystać z narzędzi opartych na sztucznej inteligencji — a nie o listę kontrolną, o której już następnego dnia zapomną.
Dlaczego ma to teraz znaczenie
Sztuczna inteligencja rozwija się szybciej niż mechanizmy zarządzania. Oznacza to, że pracownicy stają się częścią powierzchni ataku w nowy sposób. Nie dlatego, że są nieostrożni — lecz dlatego, że nie zostali przeszkoleni do działania w tym środowisku.
Problem nie leży po stronie pracowników. Problemem są niewyszkoleni pracownicy w środowisku wykorzystującym sztuczną inteligencję.
Co powinni zrobić dyrektorzy ds. bezpieczeństwa informacji (CISO)
Włącz wykorzystanie sztucznej inteligencji do programów podnoszenia świadomości w zakresie bezpieczeństwa — nie jako moduł dodatkowy, lecz jako kluczowy element.
Przejdź od szkoleń opartych na zasadach do szkoleń opartych na ocenie sytuacji — świat sztucznej inteligencji zmienia się szybciej niż zestawy zasad. Pracownicy potrzebują wytycznych, a nie tylko procedur.
Wykorzystuj scenariusze z życia wzięte, a nie ogólne moduły — szkolenia oparte na konkretnych narzędziach sztucznej inteligencji, z których korzysta Twoja organizacja, z realistycznymi przykładami z Twojej branży.
Ujednolicenie komunikatów dotyczących bezpieczeństwa, kwestii prawnych i zarządzania danymi — pracownicy otrzymują sprzeczne wytyczne od różnych zespołów. Jeden spójny program jest skuteczniejszy niż trzy konkurujące ze sobą.
Należy na bieżąco dostosowywać działania w miarę rozwoju możliwości sztucznej inteligencji — program szkoleniowy opracowany z myślą o narzędziach AI z 2023 roku jest już nieaktualny. Podnoszenie świadomości musi być procesem ciągłym, a nie coroczną akcją.
Podsumowanie
Tradycyjne nauczanie świadomości
„Nie klikaj niewłaściwego linku”.
Świadomość w erze sztucznej inteligencji musi uczyć
„Nie podawaj błędnych informacji — nawet jeśli narzędzie jest przydatne”.
Świadomość w zakresie bezpieczeństwa nie zawiodła. Po prostu jeszcze się nie rozwinęła.
#Cyberbezpieczeństwo#AI#GenAI#ŚwiadomośćBezpieczeństwaCISO#OchronaDanychOASAPOneCompliant
Zwiększ świadomość w zakresie bezpieczeństwa sztucznej inteligencji, która naprawdę przynosi efekty
OASAP OneCompliant OASAP został stworzony z myślą o środowiskach przedsiębiorstw podlegających regulacjom i wdrożony w jednej z największych europejskich firm telekomunikacyjnych w wielu językach. Jest skalowalny, dostosowany do konkretnych ról i stale aktualizowany.