Генеративный ИИ положил начало новой эре shadow IT на стероидах?

Где бы я ни путешествовал по миру, все говорят о генеративном искусственном интеллекте (ИИ). Очевидно, что это главная новость 2023 года для фондового рынка, технологических компаний, специалистов по безопасности на конференции RSA и технологической индустрии.

Почти невозможно угнаться за растущим списком инструментов генеративного ИИ, выпущенных и обновленных в 2023 году. У большинства из них есть бесплатные версии, доступные в Интернете через браузер – от хорошо известных ChatGPT и Bard до сотен забавных инструментов для игры, инструментов генеративного ИИ для разработчиков и многого другого.

Меня беспокоит не разнообразие, не рост производительности и не другие многочисленные преимущества инструментов GenAI. Скорее, это то, не служат ли эти новые инструменты теперь своего рода троянским конем для предприятий. Берут ли конечные пользователи дело в свои руки, используя эти приложения и игнорируя при этом политики и процедуры допустимого использования неутвержденных приложений? Я полагаю, что ответ для многих организаций – да.

Политики, запрещающие использование генеративного ИИ, вероятно, даже не существуют в некоторых организациях, поэтому конечные пользователи технически могут даже не нарушать никаких правил. В других случаях соблюдение правил приемлемого использования, безопасности, обработки данных или конфиденциальности может быть слабым или вообще отсутствовать.

Будучи CISO из Мичигана, меня чуть не уволили за наложение вето на проект Wi-Fi 20 лет назад, поэтому я усвоил этот полезный урок на собственном горьком опыте. В наших нынешних условиях очень немногие лидеры хотят, чтобы о них знали как о противниках генеративного ИИ, так как же мы можем с этим справиться?

Что может пойти не так с генеративным ИИ в качестве shadow IT?

Прежде чем мы углубимся в то, что происходит прямо сейчас на глобальных предприятиях в отношении использования инструментов генеративного ИИ, нам нужно сделать небольшой крюк, чтобы ответить на вопрос: каковы проблемы с теневыми ИТ?

Существуют десятки замечательных исследований, демонстрирующих опасности, связанные с теневыми ИТ. Некоторые из проблем включают снижение контроля над конфиденциальными данными, увеличение поверхности атаки, риск потери данных, проблемы с соблюдением требований и неэффективный анализ данных.

Да, есть много других проблем безопасности, конфиденциальности и юридических вопросов, которые могут возникнуть с shadow IT. Но что меня беспокоит больше всего, так это поразительный рост приложений с генеративным ИИ, а также то, как быстро эти приложения внедряются по множеству причин. Действительно, если интернет лучше всего можно описать как ускоритель как добра, так и зла – что, я верю, верно, – генеративный ИИ усиливает это ускорение в обоих направлениях.

Многие говорят, что внедрение приложений с генеративным ИИ лучше всего сравнивать с первыми днями Интернета, с потенциалом беспрецедентного глобального роста. Что сейчас ясно, так это то, что компании, предлагающие возможности искусственного интеллекта, привлекают наибольшее внимание и ускоряют внедрение. Помимо рекордного роста числа пользователей ChatGPT до 100 миллионов, а также 1,6 миллиарда посещений веб-сайта в июне 2023 года, я подозреваю, что позже в этом году будут опубликованы исследования, показывающие быстрый рост внедрения генеративного ИИ во многих компаниях, чего мы никогда раньше не видели. Мы говорим о реальных игроках, меняющих правила игры.

ИТ-лидеры искренне обеспокоены генеративным ИИ и безопасностью

Мне ясно, что руководители сейчас больше думают об этой проблеме (по сравнению с шестью месяцами назад) и о последствиях для своих данных. Растет обеспокоенность по поводу использования бесплатных инструментов генеративного ИИ, которые также могут привести к лицензированию, нарушению авторских прав, легализации, интеллектуальной собственности, дезинформации и другим проблемам.

Общая проблема управления поведением конечных пользователей не нова. Лидеры в области безопасности и технологий десятилетиями пытались включить и поддержать корпоративных конечных пользователей, управляя данными и обеспечивая их безопасность. Но в кажущемся бесконечным перетягивании каната за контроль над тем, кто какие данные видит, когда и как, ChatGPT и другие приложения с генеративным ИИ предлагают новые веские причины выйти за рамки корпоративных приложений для выполнения бизнес-задач.

Если вы сомневаетесь, соответствуют ли приложения с генеративным ИИ критериям shadow IT, как всегда, это зависит от вашей ситуации. Если приложение имеет соответствующую лицензию и все данные остаются в пределах безопасного контроля вашей организации, generative AI может легко вписаться в ваш корпоративный портфель авторизованных приложений. Например, Google продает Vertex AI, который может гарантировать, что все данные государственного или частного сектора настроены так, чтобы оставаться в пределах вашего предприятия. Аналогичные предложения поступают от других компаний.

Большинство организаций все еще борются с внедрением генеративного ИИ

Но я говорю не о приобретенных приложениях. В бесплатной версии Google Bard или OpenAI ChatGPT или других приложений с генеративным ИИ есть свои собственные правила и условия, которые, вероятно, не соответствуют языку, предпочитаемому юристами вашей организации. Кроме того, как защищены данные, вводимые в систему? Наконец, неясно, кто может создавать авторские права или заявлять права собственности на созданные ИИ произведения. Следовательно, как результаты используются в бизнес-процессах?

Я ограничиваю это обсуждение бесплатными приложениями для генеративного ИИ, доступными конечным пользователям в Интернете. Вы можете подумать: “Просто купите лицензию на корпоративную версию, если вам нравится продукт”. (Например, используйте Google Vertex AI, а не Google Bard.) В этом пункте мы можем согласиться. Но многие люди (и компании) не будут этого делать, по крайней мере, на начальном этапе.

Проще говоря, трудно конкурировать с бесплатным. Большинство организаций медленно осваивают новые технологии, и процесс составления бюджета и внедрения может занять месяцы или годы. Конечные пользователи, которые, вероятно, уже нарушают правила, используя эти бесплатные инструменты генеративного ИИ, как правило, неохотно объединяются и настаивают на том, чтобы технический директор предприятия (или другие руководители) покупал новые продукты, которые со временем могут обойтись в миллионы долларов для корпоративного использования. Эта окупаемость может наступить в течение следующих нескольких лет, но пока они экспериментируют с бесплатными версиями, потому что это делают все.

Что можно сделать для управления данными в эпоху генеративного ИИ?

Я хочу предложить несколько потенциальных решений поднятых мной проблем. Некоторые читатели могут подумать, что мы уже сталкивались с этой проблемой теневых ИТ много лет назад – это классическая проблема брокера безопасности облачного доступа (CASB). В значительной степени они были бы правы. Такие компании, как Netskope и Zscaler, которые известны тем, что предлагают решения CASB в своих продуктовых наборах, предлагают наборы инструментов для управления корпоративными политиками для управления приложениями с генеративным ИИ.

Без сомнения, доступны другие решения, которые могут помочь управлять приложениями с генеративным ИИ от ведущих поставщиков CASB, и в этой статье представлены более потенциальные варианты CASB. Тем не менее, эти решения CASB должны быть должным образом развернуты и настроены, чтобы CASB помогал управлению.

Для ясности, наборы инструментов CASB по-прежнему не решают всех проблем с вашими приложениями с генеративным ИИ. Организациям по-прежнему необходимо решать другие вопросы, связанные с лицензированием, расширением приложений, политиками безопасности и конфиденциальности, процедурами и многим другим. Следует также учитывать вопросы обучения, оценки продуктов и управления бизнес-процессами. Проще говоря, кто изучает различные варианты и оптимизирует, какие подходы к генеративному ИИ наиболее целесообразны для вашей организации государственного или частного сектора или конкретной области бизнеса?

Ставки при принятии решений в области безопасности никогда не были выше

Тем не менее, эти наборы инструментов CASB могут обеспечить основу для обеспечения соблюдения политик и процедур, разрешенных для использования приложений с генеративным ИИ. Я боюсь, что эта трудоемкая управленческая работа не выполняется продуманно, если вообще выполняется, во многих организациях государственного и частного секторов. На мой взгляд, мы вступили в фазу, когда конечные пользователи будут в восторге от генеративного ИИ в течение (возможно, длительного) сезона. Они экспериментируют с различными бесплатными инструментами генеративного ИИ, которые обладают реальным потенциалом кардинально изменить производительность их бизнеса, не задумываясь о потенциальных негативных последствиях, связанных с безопасностью, конфиденциальностью и многим другим.

История повторяется. Точно так же, как предыдущие лидеры в области безопасности имели дело с новыми технологиями, такими как сети Wi-Fi, облачные вычисления, политики BYOD и устройства Интернета Вещей, профессионалы в области безопасности должны принять этот вызов и попытаться включить хорошее и отключить плохое в новой технологии генеративного ИИ. Кто принимает решения относительно того, что разрешено, а что нет, – это бизнес-решение, над которым должна работать каждая организация. Но ясно одно: ставки никогда не были выше.