По мере приближения конца 2025 года существуют две неудобные истины об искусственном интеллекте, которые каждый директор по информационной безопасности должен принять близко к сердцу.
Истина №1: Каждый сотрудник, способный на это, использует в своей работе инструменты генеративного искусственного интеллекта. Даже если ваша компания не предоставляет им счет, даже если ваша политика запрещает это, даже если сотруднику приходится платить из своего кармана.
Вице-президент по продуктам 1Password и основатель Kolide.
Истина №2: Любой сотрудник, использующий генеративный ИИ, предоставит (или, вероятно, уже предоставил) этому ИИ внутреннюю и конфиденциальную информацию компании.
Хотя вы можете не согласиться с тем, что я использую слово «все», консенсусные данные быстро движутся в этом направлении. Соответственно По данным Microsoft, к 2024 году три четверти работников умственного труда во всем мире уже будут использовать на работе генеративный искусственный интеллект, а 78% из них будут использовать на работе свои собственные инструменты искусственного интеллекта.
Почти треть всех пользователей ИИ теперь признают, что они размещали конфиденциальные материалы в публичных чат-ботах; Из них 14% признаются, что добровольно разглашали коммерческую тайну компании. Самая большая угроза, исходящая от ИИ, — это общее увеличение «разрыва в доверии доступа».
В случае с ИИ это относится к разнице между одобренными бизнес-приложениями, которым доверен доступ к корпоративным данным, и растущим числом ненадежных и неуправляемых приложений, которые имеют доступ к этим данным без ведома ИТ-специалистов или групп безопасности.
Содержание
Сотрудники как неконтролируемые устройства
По сути, сотрудники используют неконтролируемые устройства, которые могут содержать любое количество неизвестных приложений искусственного интеллекта, и любое из этих приложений может представлять серьезную угрозу для конфиденциальных корпоративных данных.
Имея это в виду, давайте посмотрим на две вымышленные компании и их использование ИИ: мы назовем их Компания А и Компания Б.
И в компании А, и в компании Б специалисты по развитию бизнеса делают скриншоты. Salesforce и передает им искусственный интеллект для создания идеального исходящего электронного письма для их следующей потенциальной цели.
Руководители используют его для ускорения комплексной проверки недавно согласованных целей приобретения. Торговые представители транслируют аудио и видео звонков по продажам в приложения искусственного интеллекта для персонализированного обучения и работы с возражениями. Операции по продукту загружают таблицы Excel с текущими данными об использовании продукта, надеясь найти ключевую информацию, которую упустили все остальные.
Для компании А приведенный выше сценарий представляет собой восторженный отчет совету директоров о ходе реализации внутренних инициатив компании в области искусственного интеллекта. Для компании Б этот сценарий представляет собой шокирующий список серьезных нарушений политики, некоторые из которых имеют серьезные последствия для конфиденциальности и правовые последствия.
Разница? Компания А уже разработала и внедрила свой план внедрения ИИ и модель управления, а компания Б все еще обсуждает, что делать с ИИ.
Управление ИИ: от «если» к «как» в шести вопросах
Проще говоря, компании не могут позволить себе больше ждать, чтобы разобраться в управлении ИИ. В отчете IBM «Цена утечки данных за 2025 год» подчеркиваются затраты, связанные с неспособностью должным образом управлять и защищать ИИ: 97% компаний, пострадавших от взлома, связанного с ИИ, не имели средств контроля доступа к ИИ.
Теперь задача состоит в том, чтобы создать план активации ИИ, который будет способствовать продуктивному использованию и сдерживать безрассудное поведение. Чтобы узнать, как на практике может выглядеть обеспечение безопасности, я начинаю каждый семинар с шести вопросов:
1. Какие сценарии использования в бизнесе заслуживают высокой производительности ИИ? Подумайте о конкретных случаях использования ИИ, таких как «разработка бюллетеня об уязвимостях нулевого дня» или «подведение итогов объявления о доходах». Сосредоточьтесь на результатах, а не просто на использовании ИИ ради самого себя.
2. Какие проверенные инструменты мы раздадим? Ищите проверенные инструменты искусственного интеллекта с базовыми элементами управления безопасностью, например: B. Корпоративные уровни, которые не используют корпоративные данные для обучения своих моделей.
3. Где мы получим личные учетные записи ИИ? Сформулировать правила использования персонального ИИ Бизнес-ноутбуки, персональные устройства и устройства подрядчиков.
4. Как мы защищаем данные клиентов и соблюдаем все условия договора, используя преимущества ИИ? Сопоставьте входные данные модели с учетом обязательств по конфиденциальности и региональных правил.
5. Как мы обнаруживаем мошеннические веб-приложения искусственного интеллекта, собственные приложения и плагины браузера? Ищите возможности использования теневого ИИ, используя агенты безопасности, протоколы CASB и инструменты, которые предоставляют подробные расширения инвентаризации и подключаемые модули для браузеров и редакторов кода.
6. Как мы сообщаем о политике до того, как произойдут ошибки? После того, как у вас есть политика, активно обучайте своих сотрудников ее соблюдению. Ограждения бессмысленны, если их никто не увидит до выездного собеседования.
Ваши ответы на каждый вопрос будут различаться в зависимости от вашей склонности к риску, но согласованность действий между отделами юристов, продуктов, кадров и безопасности не подлежит обсуждению.
По сути, преодоление разрыва между доступом и доверием требует от команд понимания и обеспечения возможности использования доверенных приложений ИИ во всей организации, чтобы сотрудники не были вынуждены использовать ненадежные и неконтролируемые приложения.
Управление, которое учится на рабочем месте
Разработав политику, обращайтесь с ней как с любым другим стеком управления: измеряйте, сообщайте, уточняйте. Частью плана расширения прав и возможностей является празднование побед и той известности, которая с ними связана.
По мере того, как ваше понимание использования ИИ в вашей организации будет расти, вам следует ожидать пересмотра этого плана и постоянного его уточнения с теми же заинтересованными сторонами.
Последняя мысль для зала заседаний
Вспомните середину 2000-х годов, когда SaaS появился на предприятии через отчеты о расходах и средства отслеживания проектов. ИТ-отдел пытался внести в черный список непроверенные домены, финансовый отдел воспротивился расширению платежей по кредитным картам, а юридический отдел задался вопросом, принадлежат ли данные клиентов «чужому компьютеру». В конце концов мы признали, что рабочие места изменились, и SaaS стал неотъемлемой частью современного бизнеса.
Генеративный ИИ движется по той же траектории, но в пять раз быстрее. Лидеры, которые помнят кривую обучения SaaS, поймут эту закономерность: управляйте заранее, непрерывно измеряйте и превратите вчерашний эксперимент на сером рынке в завтрашнее конкурентное преимущество.
Ознакомьтесь с нашим списком лучших программ для управления сотрудниками.
