С момента зарождения цифровизации сбор и хранение работодателями личных и других деловых конфиденциальных данных повлекло за собой проблемы с безопасностью и конфиденциальностью — накопление огромного количества данных для злоумышленников (или невольных / неавторизованных сотрудников) и составление дорожной карты для тех, кто пытается взломать систему. Добавление искусственного интеллекта (ИИ) создает дополнительные проблемы. Недавний опрос, проведенный Обществом управления человеческими ресурсами среди более чем 2000 специалистов по кадрам, показывает, что искусственный интеллект используется большинством респондентов практически во всех аспектах жизненного цикла занятости – от приема на работу до увольнения. Дополнительную озабоченность вызывает то, что сторонние подрядчики, обслуживающие цепочку поставок организации, могут использовать искусственный интеллект в той или иной форме. Среди организаций, использующих искусственный интеллект для поддержки деятельности, связанной с персоналом, двое из пяти респондентов выразили обеспокоенность по поводу безопасности и конфиденциальности данных, используемых инструментами искусственного интеллекта.
Искусственный интеллект обучается работе с массивными наборами данных, которые часто содержат личную и конфиденциальную информацию. Запросы в ChatGPT, Gemini, второму пилоту и другие генеративные инструменты искусственного интеллекта также могут непреднамеренно содержать конфиденциальную или служебную информацию, которой в крайних случаях могут манипулировать злоумышленники, внедряющие в них вредоносное ПО или искажающие базовые данные, на основе которых обучается алгоритмическая модель. Показательной является недавняя жалоба, поданная в окружной суд США в Коннектикуте в феврале 2024 года, West Technology Group против Сандстрома, в которой утверждается, что бывший сотрудник, используя созданное искусственным интеллектом записывающее устройство под названием Otter, приобрел и скрылся с коммерческой тайной и другой конфиденциальной информацией, принадлежащей его работодателю. Действительно, плохо реализованное или недостаточно защищенное развертывание генеративных систем искусственного интеллекта может привести к уязвимостям, допускающим несанкционированный доступ или манипулирование моделями и ставящими под угрозу общую кибербезопасность на рабочем месте.
В 2024 году уже будут выпущены новые и более сложные инструменты искусственного интеллекта, такие как SORA (все еще находятся на стадии тестирования, но должны быть представлены общественности позже в этом году), которые предоставляют даже менее искушенным пользователям технологий возможность за считанные минуты создавать голосовой и видеоконтент, который с пугающей быстротой имитирует других, выглядит и звучит как “настоящий”. В статье New York Times, опубликованной в августе 2023 года, “На ваш банковский счет приходят фальшивые голоса”, описывается мошенничество, созданное искусственным интеллектом, призванное обманом заставить банкиров выводить деньги у владельцев счетов в карманы мошенников.
В феврале 2024 года Федеральная комиссия по связи объявила, что запрещает использование клонирования голоса, созданного искусственным интеллектом, в робозвонках после январского звонка, созданного искусственным интеллектом, в котором имитировался президент США Джозеф Байден. Фейковые видеоролики, вводящие в заблуждение или просто ставящие в неловкое положение, также могут манипулировать ценами на акции. Акции Lyft, по сообщениям, подскочили более чем на 60% в нерабочее время торгов, когда к показателю прибыльности был добавлен ноль, “шаг, вероятно, усугубленный торговыми алгоритмами, которые не сразу поняли, что увеличение маржи на пять процентных пунктов может быть ошибкой”. Искусственный интеллект также все чаще используется для создания сценариев неправдивых домогательств, сексуальных и иных (см., Например, отчет за октябрь 2023 г. Фонда Internet Watch Foundation).
Эти опасения привлекли внимание Национального института стандартов и технологий (NIST) в его постоянных усилиях, стимулируемых Указом президента Байдена об искусственном интеллекте от 2023 года, направленных на поддержку разработки надежного искусственного интеллекта и смягчение постоянно растущего вреда и опасностей его неконтролируемого использования. В январе 2024 года NIST выпустил сборник типов кибератак, которые манипулируют поведением систем искусственного интеллекта, наряду со стратегиями смягчения последствий и их ограничениями. Хотя это и дает некоторые дополнительные советы по управлению рисками, по собственному признанию NIST, это не волшебное средство. 7 февраля 2024 года министр торговли США Джина Раймондо объявила о создании руководящей группы Американского института безопасности искусственного интеллекта NIST, призванной создавать безопасный и заслуживающий доверия искусственный интеллект. Для поддержки Института NIST также создал консорциум Института безопасности искусственного интеллекта США, состоящий из более чем 200 организаций, для разработки научно обоснованных и эмпирически подкрепленных руководств и стандартов для измерения и политики в области искусственного интеллекта.[1]
28 февраля 2024 года президент Байден издал еще один исполнительный указ, направленный на предотвращение доступа ”стран, вызывающих озабоченность”, к большому количеству конфиденциальных персональных данных американцев, а также к данным, связанным с правительством США, предписывающий правительственным агентствам США издать нормативные акты для содействия этим усилиям. При условии уведомления общественности и комментариев, правила будут запрещать или ограничивать участие американцев в определенных сделках, связанных с большим количеством конфиденциальных личных данных или данных, связанных с правительством США, которые представляют “неприемлемый риск для национальной безопасности Соединенных Штатов”. Министерство юстиции сообщило, что для целей этой программы в число этих стран, вероятно, войдут Китай, Россия, Иран, Северная Корея, Куба и Венесуэла. “Страны, вызывающие озабоченность, могут полагаться на передовые технологии, включая искусственный интеллект (ИИ), для анализа и манипулирования большими объемами конфиденциальных персональных данных для участия в шпионаже, оказании влияния, кинетических или кибероперациях или для выявления других потенциальных стратегических преимуществ перед Соединенными Штатами”, – говорится в Приказе. “Проблемные страны также могут использовать доступ к массовым наборам данных для стимулирования создания и совершенствования искусственного интеллекта и других передовых технологий, тем самым повышая свою способность использовать базовые данные и усугубляя угрозы национальной безопасности и внешней политике”.
“Настольные упражнения”? Что это такое? Нужны ли они нашей организации? (Да.)
В эпоху постоянных киберугроз организация будет в безопасности только при активном участии каждого. Каждый член группы, от самого нового сотрудника до исполнительного директора, обладает властью нанести вред или помочь, ослабить или усилить систему безопасности организации.
— От рабочей группы NIST по образованию в области Национальной инициативы по кибербезопасности (NICE), подгруппа по управлению персоналом, “Кибербезопасность – это работа каждого”.
Более чем когда-либо работодателям следует пересматривать свои протоколы безопасности не только перед лицом продолжающихся дорогостоящих кибератак, но и перед лицом продолжающегося внедрения искусственного интеллекта на своих рабочих местах и взаимодействия с потребителями. Как отмечается в недавно опубликованном отчете IBM, средняя глобальная стоимость утечки данных в 2023 году составила 4,45 миллиона долларов, что на 15 процентов больше за три года. Возможно, организациям пора пересмотреть и воссоздать “настольные упражнения” по кибербезопасности в контексте искусственного интеллекта, чтобы обеспечить понимание и просвещение относительно этих новых и развивающихся рисков и сопутствующего создания протоколов и политик, касающихся использования и администрирования инструментов, созданных искусственным интеллектом.
Организации и риск-менеджеры уже давно используют “настольные упражнения” для обучения сотрудников и выработки скоординированного плана защиты, обычно на случай потенциально катастрофических событий, таких как нарушение кибербезопасности, путем реалистичного моделирования, в котором создаются условия для оценки (и, в конечном итоге, улучшения) возможностей организации по управлению кризисными ситуациями и реагированию на инциденты. Корпоративная устойчивость и восстановление являются ключевыми аспектами таких мероприятий. Более того, “настольные упражнения” предоставляют руководителям и сотрудникам форум для обсуждения и разрешения реальных сценариев кибернетического вторжения — будь то фишинг, вишинг или smishing, и это лишь некоторые из них, — для определения уровней риска, проведения обучения и разработки устойчивых протоколов для снижения этих рисков. Выполнение советом директоров корпорации своих обязательств по надзору, например, в соответствии с законодательством штата Делавэр и другими федеральными и местными нормативными требованиями, включая раскрытие информации Комиссии по ценным бумагам и биржам США о кибербезопасности (владельцы регистраций должны раскрывать и описывать в новом пункте 1.05 формы 8-K (любой инцидент в области кибербезопасности, который они считают “существенным”) может оказаться под вопросом, если разработке и использованию искусственного интеллекта не уделяется должного внимания. Обеспечение компетентного внедрения, надзора, постоянного мониторинга и обслуживания — учитывая меняющуюся динамику этой прорывной технологии — будет иметь решающее значение по нескольким причинам, помимо очевидной безопасности. В той мере, в какой организация рассматривает возможность страхования рисков кибербезопасности, “настольные упражнения” предоставляют страховщикам, а также регулирующим органам определенные гарантии добросовестности и разумности усилий организации по обеспечению безопасности своих кибернетических систем и систем искусственного интеллекта.
“Настольные упражнения” также предоставляют возможность изучить и оценить не только проблемные области, связанные с использованием искусственного интеллекта, но и его преимущества. Как отмечается в дорожной карте сотрудника по защите персональных данных EBG: утечка данных и защита от программ—вымогателей – Говоря о судебных разбирательствах видеоподкасте (27 февраля 2024 г.), искусственный интеллект также может использоваться “так же, как плохие парни используют искусственный интеллект” — это означает, что компании также могут использовать искусственный интеллект для помощи в обнаружении текущей или неминуемой атаки или для укрепления своей защиты от взлома.
Автор:: Фрэнсис М. Грин из Эпштейн Беккер и Грин, P.C. – Бюллетень рабочей силы
****
Получить информацию о разработке и внедрении “настольных упражнений” в вашей организации могут опытные юристы в области кибербезопасности, конфиденциальности данных, управления информационными активами и искусственного интеллекта из Epstein Becker Green (EBG) и EBG Advisors. Краткое описание услуг по аудиту алгоритмической предвзятости и управлению рисками, предлагаемых EBG Advisors, можно найти здесь.
Штатный юрист Epstein Becker Green Энн У. Паркс внесла свой вклад в подготовку этого поста.
—-
[1] EBG Advisors, консалтинговое подразделение нашей национальной юридической фирмы Epstein Becker Green (EBG), имеет честь сотрудничать с NIST в этом Консорциуме по безопасности искусственного интеллекта.