商業(yè)與技術(shù)洞察公司Gartner調(diào)查顯示，在中國(guó)，人工智能（AI）的快速采用，正以史無前例的速度改變著業(yè)務(wù)運(yùn)營(yíng)。中國(guó)數(shù)字工作者采用AI工具的速度遠(yuǎn)快于其全球同行。因此，關(guān)于AI使用的決策正日益去中心化，這將發(fā)生在企業(yè)機(jī)構(gòu)的各個(gè)層面，而不僅僅是在IT或網(wǎng)絡(luò)安全部門內(nèi)部。

網(wǎng)絡(luò)安全防護(hù)措施的發(fā)展速度趕不上AI的快速發(fā)展步伐，導(dǎo)致網(wǎng)絡(luò)安全有效性出現(xiàn)差距。Gartner于近日發(fā)布企業(yè)需關(guān)注的三大要?jiǎng)?wù)，以應(yīng)對(duì)三大治理挑戰(zhàn)，從而彌合這一差距并保障AI創(chuàng)新。

擴(kuò)展網(wǎng)絡(luò)安全意識(shí)和培訓(xùn)計(jì)劃，將AI風(fēng)險(xiǎn)和場(chǎng)景納入考慮

在啟動(dòng)任何AI網(wǎng)絡(luò)安全培訓(xùn)之前，首席信息官（CIO）及其網(wǎng)絡(luò)安全團(tuán)隊(duì)必須首先了解，企業(yè)機(jī)構(gòu)各部門員工與AI技術(shù)的互動(dòng)方式以及他們所面臨的威脅。應(yīng)開展AI用例發(fā)現(xiàn)計(jì)劃，以識(shí)別出最有可能使用生成式AI工具的員工及其處理的數(shù)據(jù)類型，以及可能使企業(yè)機(jī)構(gòu)暴露于數(shù)據(jù)泄露、提示注入或合規(guī)違規(guī)等威脅之下的員工行為方式。網(wǎng)絡(luò)安全、人力資源、合規(guī)和各業(yè)務(wù)部門領(lǐng)導(dǎo)應(yīng)充分協(xié)作，以繪制企業(yè)機(jī)構(gòu)各部門的AI用例圖。

Gartner研究總監(jiān)于淼表示：“除了擴(kuò)展基于計(jì)算機(jī)的傳統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)以納入AI主題培訓(xùn)模塊之外，將微學(xué)習(xí)和即時(shí) （JIT）提示嵌入到日常工作流程中，也是一種提供及時(shí)和有針對(duì)性的指導(dǎo)、減輕AI相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)的高效方式。”

復(fù)用創(chuàng)新治理能力和發(fā)現(xiàn)工具，以識(shí)別影子AI風(fēng)險(xiǎn)

積極研究影子AI在企業(yè)內(nèi)部的使用方式，有助于CIO及其網(wǎng)絡(luò)安全團(tuán)隊(duì)培養(yǎng)安全、負(fù)責(zé)任的 AI驅(qū)動(dòng)型創(chuàng)新文化。企業(yè)應(yīng)實(shí)施發(fā)現(xiàn)、清點(diǎn)和指導(dǎo)影子AI使用的計(jì)劃，而不是依賴于頒布限制性禁令，因?yàn)檫@往往會(huì)迫使風(fēng)險(xiǎn)行為變得更加難以察覺。

Gartner高級(jí)研究總監(jiān)趙宇表示：“CIO及其網(wǎng)絡(luò)安全團(tuán)隊(duì)沒必要另起爐灶，進(jìn)行重復(fù)性建設(shè)，而是應(yīng)復(fù)用已經(jīng)以某種形式存在的AI資產(chǎn)清單和可見性來增強(qiáng)網(wǎng)絡(luò)安全監(jiān)督，以提升工作的有效性。將AI創(chuàng)新作為優(yōu)先任務(wù)的企業(yè)機(jī)構(gòu)通常已經(jīng)在使用集中式平臺(tái)，對(duì)照AI戰(zhàn)略目標(biāo)來跟蹤AI用例、項(xiàng)目或模型。”

采用基于風(fēng)險(xiǎn)的分層治理方法，以平衡風(fēng)險(xiǎn)與敏捷性

企業(yè)機(jī)構(gòu)應(yīng)首先更新和增強(qiáng)其現(xiàn)有的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法，以應(yīng)對(duì)AI特定問題，而不是創(chuàng)建一個(gè)獨(dú)立的重復(fù)框架。由于許多基礎(chǔ)風(fēng)險(xiǎn)評(píng)估方法、流程和標(biāo)準(zhǔn)同時(shí)適用于AI和傳統(tǒng)IT系統(tǒng)，因此可將AI考慮因素納入現(xiàn)有實(shí)踐，以確保一致、全面的風(fēng)險(xiǎn)覆蓋，同時(shí)避免不必要的復(fù)雜性。

Gartner研究總監(jiān)于淼表示：“AI風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)IT風(fēng)險(xiǎn)評(píng)估的不同之處在于，前者著眼于具體用例，而不是僅僅關(guān)注底層系統(tǒng)、模型或技術(shù)。盡管傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估通常在資產(chǎn)或應(yīng)用層面進(jìn)行，但AI風(fēng)險(xiǎn)評(píng)估必須慮及AI部署方式和部署地點(diǎn)，以及受影響的人員及其決策的潛在后果。這意味著風(fēng)險(xiǎn)評(píng)估應(yīng)納入用例特定因素，包括自主程度，并重新校準(zhǔn)風(fēng)險(xiǎn)評(píng)分模型，從而為AI特定因素賦予適當(dāng)?shù)臋?quán)重。在關(guān)鍵領(lǐng)域（例如醫(yī)療保健、金融）中的高度自主AI系統(tǒng)，即使技術(shù)漏洞風(fēng)險(xiǎn)較低，也可能需要更高的風(fēng)險(xiǎn)評(píng)級(jí)。”