採用AI的主要問題之一是身分安全。隨著攻擊者開始利用AI技術進行深度偽造詐騙和具機器學習能力的社交工程手法,企業正面臨更為先進的身分相關攻擊,而且這些攻擊可能難以預測。
企業導入AI將可徹底改變業務營運的面貌,但伴隨著AI而來的高安全風險,卻也是企業領導者必須警惕的課題。採用AI的主要問題之一是身分安全。隨著攻擊者開始利用AI技術進行深度偽造詐騙和具機器學習能力的社交工程手法,企業正面臨更為先進的身分相關攻擊,而且這些攻擊可能難以預測。
企業必須將資安放在首位,並跟進不斷變化的威脅環境,以下五個步驟可協助企業安全地擁抱AI並充分發揮其潛力:
1.安全必須成為企業AI策略核心
無論已經在企業層面使用生成式AI,還是處於概念證明試水溫的階段,自上而下的清晰溝通至關重要。良好的溝通確保組織內部的共識,同時可確保建立安全作業流程時已納入AI考量。
2.透過鼓勵溝通提升資安意識
建立專門針對AI的行為準則和員工培訓也非常重要,但真正有效的是雙向對話。鼓勵員工分享與AI相關的問題和想法,是團結應對新興挑戰和構思創新AI策略的好方法。創建跨部門團隊來回應處理包括創新、成長和安全等各個面向的意見,能確保員工的意見得到充分的重視。
3.改變對員工使用AI的策略
根據2023年CyberArk身分安全威脅情勢報告,62%的組織中的員工使用未經批准的AI的工具,增加了身分安全風險。這顯示IT和資安主管必須改變他們對員工使用AI的策略,鼓勵AI可能帶來的創新契機,而非阻擋其潛力。與其全面採取「禁用AI」政策,不如尋求加強對第三方軟體的審查,以確保其不會危及安全。由AI驅動的網路釣魚活動變得越來越難以防範,因此進行適當的盡職調查(Due Diligence)可確保員工享受AI帶來效益的同時,不會面臨資安風險。
4.了解財務長的需求
在當前經濟環境下,技術主管建構高效營運環境的責任和壓力與日俱增。說服財務長AI不僅僅是一個好工具,而是一個帶來實際商業價值的工具,才能獲得支持。採用誠實、理性的態度,並以堅實的數據支持是其中關鍵;若能展示出AI工具如何安全地同時推進多個業務目標會更強而有力。
5.保持了解最新的AI風險
在使用AI工具之前和使用期間進行警覺性評估是持續確保其安全的唯一方法。企業必須準備好在必要時,阻擋和撤回任何AI相關工具。總之,要領先攻擊者就要像攻擊者一樣思考,因此必須持續關注AI工具可能帶來的資安漏洞。
雖然當今快速的科技進展和AI的廣泛使用有助於企業提高競爭力,但也帶來了新的挑戰。透過優先考慮身分安全並保持開放心態,技術主管可以自信地擁抱AI來創造機會,不用擔心損害公司聲譽或失去消費者和員工的信任。
<本文作者:謝文駿現為CyberArk北亞區總監>