Докато някои заплахи, свързани със SaaS, са ясни и видими, други са скрити, но и двете представляват значителни рискове за вашата организация. Проучване на Wing показва, че изумителните 99,7% от организациите използват приложения, с вградени функционалности на изкуствен интелект. Тези инструменти, управлявани от ИИ, са незаменими, като осигуряват безпроблемно преживяване от сътрудничеството и комуникацията до управлението на работата и вземането на решения. Под тези удобства обаче се крие един до голяма степен непризнат риск: потенциалът на AI възможностите в тези SaaS инструменти да компрометират чувствителни бизнес данни и интелектуална собственост (ИС).
Неотдавнашните констатации на Wing разкриват изненадваща статистика: 70% от 10-те най-често използвани приложения за ИИ могат да използват вашите данни за обучение на моделите си. Тази практика може да надхвърли обикновеното обучение и съхранение на данни. Тя може да включва преквалификация на вашите данни, да се възлага на човешки рецензенти да ги анализират и дори да се споделят с трети страни.
Често тези заплахи са скрити дълбоко в дребния шрифт на споразуменията за условията и правилата за поверителност, които описват достъпа до данни и сложните процеси за отказване. Този скрит подход въвежда нови рискове и кара екипите по сигурността да се борят да запазят контрол. В тази статия се разглеждат тези рискове, дават се примери от реалния свят и се предлагат най-добрите практики за защита на организацията чрез ефективни мерки за сигурност на SaaS.
Когато приложенията за изкуствен интелект използват вашите данни за обучение, възникват няколко значителни риска, които потенциално могат да засегнат поверителността, сигурността и съответствието на вашата организация:
Един от най-критичните проблеми е потенциалното разкриване на вашата интелектуална собственост (ИС) и чувствителни данни чрез моделите на ИИ. Когато вашите бизнес данни се използват за обучение на ИИ, това може по невнимание да разкрие информация за собственост. Това може да включва чувствителни бизнес стратегии, търговски тайни и поверителни комуникации, което води до значителни уязвимости.
Приложенията за изкуствен интелект често използват вашите данни, за да подобрят своите възможности, което може да доведе до разминаване на интересите. Например изследванията на Wing показват, че популярно CRM приложение използва данни от своята система – включително данни за контакт, история на взаимодействието и бележки на клиентите – за да обучава своите модели на ИИ. Тези данни се използват за усъвършенстване на характеристиките на продуктите и за разработване на нови функционалности. Това обаче може да означава също, че вашите конкуренти, които използват същата платформа, могат да се възползват от прозренията, получени от вашите данни.
Друг значителен риск е свързан със споделянето на вашите данни с трети страни. Данните, събрани за обучение по изкуствен интелект, може да са достъпни за трети страни, които обработват данни. Тези сътрудничества имат за цел да подобрят ефективността на ИИ и да стимулират софтуерните иновации, но те също така пораждат опасения относно сигурността на данните. Възможно е доставчиците от трети страни да не разполагат със стабилни мерки за защита на данните, което увеличава риска от нарушения и неразрешено използване на данните.
Различните регулации по света налагат строги правила за използването, съхранението и споделянето на данни. Осигуряването на съответствие става по-сложно, когато приложенията за изкуствен интелект се обучават върху вашите данни. Неспазването на изискванията може да доведе до големи глоби, съдебни искове и увреждане на репутацията. Ориентирането в тези правила изисква значителни усилия и експертни познания, което допълнително усложнява управлението на данните.
Разбирането на данните, използвани за обучение на моделите на изкуствения интелект в приложенията SaaS, е от съществено значение за оценката на потенциалните рискове и прилагането на надеждни мерки за защита на данните. Липсата на последователност и прозрачност сред тези приложения обаче поставя предизвикателства пред главните директори по сигурността на информацията (CISO) и техните екипи по сигурността при идентифицирането на конкретните данни, използвани за обучение на ИИ. Тази непрозрачност поражда опасения за непреднамерено разкриване на чувствителна информация и интелектуална собственост.
В приложенията SaaS информацията за отказ от използване на данни често е разпръсната и непоследователна. В някои от тях опциите за отказ са посочени в условията за ползване на услугата, в други – в политиките за поверителност, а в трети се изисква изпращане на имейл до компанията, за да се откажете. Тази непоследователност и липса на прозрачност усложняват задачата на специалистите по сигурността, като подчертават необходимостта от рационализиран подход за контрол на използването на данни.
Например, едно приложение за генериране на изображения позволява на потребителите да се откажат от обучението по данни, като изберат частни опции за генериране на изображения, налични при платените планове. Друго предлага опции за отказ, въпреки че това може да повлияе на работата на модела. Някои приложения позволяват на отделните потребители да регулират настройките, за да не се използват техните данни за обучение.
Разнообразието в механизмите за отказ подчертава необходимостта екипите по сигурността да разбират и управляват политиките за използване на данни в различните компании. Централизирано решение за управление на сигурността (SaaS Security Posture Management – SSPM) може да помогне, като предоставя предупреждения и насоки за наличните опции за отказ за всяка платформа, рационализира процеса и гарантира спазването на политиките за управление на данни и разпоредбите.
В крайна сметка разбирането на начина, по който ИИ използва вашите данни, е от решаващо значение за управлението на рисковете и осигуряването на съответствие. Знанието за това как да се откажете от използването на данни е също толкова важно, за да запазите контрола върху поверителността и сигурността си. Липсата на стандартизирани подходи в платформите за ИИ обаче прави тези задачи трудни. Като дават приоритет на видимостта, съответствието и достъпните опции за отказ, организациите могат по-добре да защитят данните си от моделите за обучение на ИИ.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.