Správa a riadenie · Informovanosť · OASAP

Kybernetická osvet
a, ktoráv AI zlyháva
— a väčšina organizácií si to ešte nevšimla

Každá spoločnosť organizuje školenia zamerané na zvyšovanie bezpečnostného povedomia. Simulácie phishingových útokov. Správne zaobchádzanie s heslami. Základy ochrany údajov. Je to nevyhnutné. Už to však nestačí – a táto medzera sa každým dňom zväčšuje, AI zavádza bez zodpovedajúceho zvýšenia povedomia.

Bezpečnosť AI — OASAP

Každá spoločnosť organizuje školenia zamerané na zvyšovanie bezpečnostného povedomia. Simulácie phishingových útokov. Správne zaobchádzanie s heslami. Základy ochrany údajov. Je to potrebné. Ale už to nestačí.

Medzera, ktorou sa nikto nezaoberá

Zamestnanci už AI využívajú AI píšu e-maily, vytvárajú súhrny dokumentov, nahrajú údaje na analýzu, komunikujú s kopilotmi a internými AI . Väčšina osvetových programov však na túto skutočnosť nepripravuje.

Tým vzniká nový druh risk. Nie ide o úmyselné konanie, ale o konanie vyplývajúce z neinformovanosti.

Citlivé údaje vložené do verejne dostupných AI Zamestnanci, ktorí nerozumejú dôsledkom spracovania údajov v rámci externých AI , zdieľajú interné informácie, ktoré by nikdy neposlali e-mailom mimo spoločnosti.
Interné dokumenty nahrané „pre pohodlie“Súbory obsahujúce PII, finančné údaje alebo interné postupy nahrané do nástrojov umelej inteligencie na účely zhrnutia alebo prekladu – bez toho, aby bolo jasné, kam sa tieto údaje dostanú.
VýstupyAI, ktorým sa dôveruje bez overeniaZamestnanci konajú na základe AI , súhrnov alebo kódu AI bez kritického posúdenia — pretože nástroj prezentuje výstupy so zdanlivou istotou.
Zamestnanci, ktorí udeľujú nástrojom prístup bez toho, aby pochopili jeho rozsahPrijatie oprávnení OAuth bez prečítania, aký prístup sa udeľuje — poskytnutie prístupu AI k e-mailu, kalendáru, súborom alebo interným systémom.
Pokyny, ktoré odhaľujú viac kontextu, než bolo zamýšľanéInformácie, ktoré ľudia uvádzajú v zadaniach s cieľom získať lepšie AI , často obsahujú citlivý obchodný kontext, údaje o zákazníkoch alebo interné postupy, ktoré by nikdy nemali opustiť organizáciu.

Toto nie je policy

Môžete blokovať nástroje. Môžete obmedziť prístup. Ale v skutočnosti: AI bude AI – či už to budete mať pod kontrolou, alebo nie. Riešením nie sú obmedzenia. Riešením je väčšia informovanosť.

V oblasti GenAI sa prompt stal novou cestou na únik dát.

Čo musí obsahovať školenie o bezpečnosti AI

01
Používanie nástrojov — úsudok
Kedy využiť AI
Kedy NEPOUŽÍVAŤ AI
Aké nástroje sú schválené
Riziká spojené s externými nástrojmi
02
Spracovanie údajov v AI
Aké údaje je možné vkladať do AI
Čo sa nikdy nesmie zdieľať
Ako podnety odhaľujú kontext
Ako výstupy môžu poskytovať informácie o údajoch
03
Bezpečnosť AI
Včasné informovanie o injekcii
Riziká úniku údajov
Model halucinácií a dôvery
Riziká spojené s AI od tretích strán
Dôsledky pre identitu a prístup

Ide o rozhodovanie, nie o dodržiavanie predpisov. Cieľom je vybaviť zamestnancov schopnosťou posudzovať situácie, aby mohli bezpečne pracovať s AI – nie o zoznam, na ktorý už na druhý deň zabudnú.

Prečo je to teraz dôležité

AI vyvíja rýchlejšie než systémy riadenia. To znamená, že zamestnanci sa novými spôsobmi stávajú súčasťou útočnej plochy. Nie preto, že by boli nedbanliví, ale preto, že niena toto prostredie pripravení.

Problémom nie sú zamestnanci. Problémom sú nevyškolení zamestnanci v prostredí AI.

Čo by mali robiť vedúci oddelenia informačnej bezpečnosti (CISO)

Začleňte AI do programov zvyšovania bezpečnostného povedomia – nie ako doplnkový modul, ale ako kľúčovú súčasť.
Prejdite od školení založených na pravidlách k školeniam založeným na úsudku — AI sa mení rýchlejšie ako súbory pravidiel. Zamestnanci potrebujú zásady, nie len smernice.
Využívajte scenáre zo skutočného sveta, nie všeobecné moduly — školenie postavené na konkrétnych AI , ktoré vaša organizácia používa, s realistickými príkladmi z vášho odvetvia.
Zosúlaďte komunikáciu v oblasti bezpečnosti, právnych záležitostí a správy údajov – zamestnanci dostávajú protichodné pokyny od rôznych tímov. Jeden zosúladený program je účinnejší ako tri navzájom si konkurujúce programy.
Neustále sa prispôsobovať vývoju AI — vzdelávací program vytvorený pre AI z roku 2023 je už dnes zastaraný. Osveta musí byť živým programom, nie len každoročnou akciou.

Záverečná myšlienka

Tradičné povedomie, ktoré sa vyučuje
„Neklikajte na nesprávny odkaz.“
Vzdelávanie AI musí naučiť
„Nezverejňujte nesprávne informácie – ani vtedy, keď je daný nástroj užitočný.“

Bezpečnostné povedomie nezlyhalo. Len sa zatiaľ nevyvinulo.

#Kyberbezpečnosť#AI#GenAI#Bezpečnostné povedomieCISO#Ochrana údajovOASAPOneCompliant

Vytvorte Bezpečnosť AI , ktoré skutočne funguje

OASAP OneCompliant OASAP bol vyvinutý pre regulované podnikové prostredia a bol zavedený v jednej z najväčších európskych telekomunikačných spoločností vo viacerých jazykoch. Je škálovateľný, prispôsobený konkrétnym rolám a neustále aktualizovaný.