加拉格尔的约翰·法利 (John Farley) 表示:“新兴技术,尤其是人工智能,可能会加剧本已严峻的网络威胁环境。”威胁
虽然生成式人工智能(Gen AI)的多面性正在为企业创造变革性的解决方案,但重要的是要注意可能的风险。
如果不以道德方式或深思熟虑地加以利用,Gen AI 有能力对企业造成不可逆转的网络安全损害。现在,企业比以往任何时候都更需要做出战略决策,以便在不断发展的人工智能/网络环境中取得成功。
考虑到这一点,《AI Magazine》采访了 Gallagher 网络部董事总经理 John Farley,讨论了网络风险如何随着人工智能开发而演变,以及企业如何确保它们得到最好的保护。
您如何看待网络风险随着时间的推移而演变?
在过去的几十年里,网络风险发生了重大变化。 20 世纪 90 年代末,网络风险主要集中在病毒和系统故障上,这些故障通常只会造成最小程度的业务中断。这或多或少是一个技术错误和遗漏问题,没有产生足够大的影响来引起企业领导者的注意。
随着时间的推移,黑客发现,通过渗透网络,他们能够窃取支付卡数据并将其用于金融犯罪。威胁行为者从那里演变而来,并开始发起社会工程活动以促进资金转移计划。
随后,勒索软件攻击成为犯罪集团最喜欢的技术,黑客用恶意软件加密受害者的数据,要求受害者提供大量资金才能归还数据。勒索要求可能涉及数百万美元,并常常导致重大的业务中断损失。
当今的网络风险也导致监管风险加剧。许多组织现在受到多个州、联邦和国际数据收集合规义务法律的约束。不合规现在可能导致代价高昂的监管调查、诉讼、罚款和声誉损害。
您目前在 Gallagher 看到了哪些人工智能网络风险?
从表面上看,新兴的人工智能技术有潜力提供巨大的新效率。然而,也可能出现一些潜在威胁,包括:
数据偏差:当人工智能系统接受不准确或不完整的信息训练时,结果会受到影响,这最终可能导致组织做出不公平的假设,甚至实施歧视性做法。
错误信息活动:恶意行为者可能会发现生成式人工智能是错误信息活动的理想起点。这项技术可能会盲目地从公共来源中收集信息的可信度是一个悬而未决的问题——在组织依赖人工智能得出的建议进行关键业务决策并采取行动之前,需要仔细考虑这一问题。
监管风险:目前,人工智能使用的监管还处于起步阶段。然而,我们预计在不久的将来,各种全球监管机构驱动的隐私制度将加强对这项新技术使用的监管审查。合规要求可能会扩展到那些为其发展做出贡献的人以及那些使用它向客户提供商品和服务的人。
隐私责任:与收集、存储和共享个人身份信息 (PII) 相关的多项隐私法可能适用于人工智能的使用。应优先考虑与这些问题相关的法律合规性。
与知识产权相关的责任:组织在使用知识产权和人工智能技术时需要警惕责任风险。如果知识产权成为学习模型并最终成为人工智能生成输出的一部分,这些风险就会显现出来。如果没有适当的许可和信用,组织可能会面临版权、商标和专利侵权诉讼。
您预计 2024 年网络安全格局将如何随着人工智能的发展而发展?
勒索软件生态系统将继续发展。我们预计新的勒索软件变体将不断出现,赎金要求不断增加,所有行业都会受到一定程度的影响。我们还预计勒索软件攻击将遵循双重勒索的持续趋势,即威胁行为者对受害者的数据进行加密和过滤,并威胁如果不支付勒索费用就会将其暴露。
另一个可能加剧网络索赔频率和严重程度的因素是监管风险的增加。虽然我们的重点是美国州和联邦层面的监管机构,但到 2024 年,监管风险可能会扩展到其他地区,并受到其他全球隐私制度的影响。
许多州已经颁布了全面的隐私法,我们预计 2024 年还会有更多法律出台。大多数州关注数据收集合规义务,有些州允许在某些情况下采取私人行动的权利。我们注意到,最重要的索赔活动是通过围绕网站跟踪技术和生物识别数据的错误数据收集指控推动的。
新兴技术,尤其是人工智能,可能会加剧本已严峻的网络威胁环境。政府、监管机构、技术提供商和保险业需要共同努力,充分了解新风险,然后才能对其进行管理。与此同时,我们仍然关注人工智能的各种形式的使用以及可能出现的风险。威胁行为者可能会利用它发起复杂的网络钓鱼计划、错误信息活动和其他攻击。
企业领导者采用人工智能可能会产生意想不到的后果,包括但不限于数据偏见、隐私责任、与知识产权和专业责任相关的风险。
您对企业有什么建议吗?他们需要注意什么?
尽管人们普遍认为没有组织能够 100% 地阻止网络攻击,但他们可以采取多种措施来管理网络风险。
应实施多项网络安全控制措施。其中包括实施多重身份验证、端点检测和响应工具 (EDR)、补丁管理程序、数据备份实践、使用虚拟专用网络 (VPN)、特权访问管理程序 (PAM)、渗透测试和员工培训。
还建议创建书面事件响应计划并进行桌面练习来测试该计划。这有助于减轻攻击造成的财务和声誉损害。组织还应该意识到隐私法律和监管要求的错综复杂,可能会增加网络安全和隐私责任事件的风险。寻求法律专家的建议,以帮助满足合规要求。
[此外],考虑购买网络保险,以帮助支付发生网络事件时可能导致的费用。许多保单涵盖危机管理专家的费用、网络勒索费用、业务中断、媒体责任、数据资产恢复以及来自个人、业务合作伙伴和监管机构的第三方诉讼。
******
请务必查看最新一期的AI 杂志,并报名参加我们的全球会议系列 – Tech & AI LIVE 2024
******
AI 杂志是BizClik旗下品牌