Chính sách bảo mật AI lỗi thời: rủi ro và cách xử lý

Sự phát triển của trí tuệ nhân tạo diễn ra nhanh chóng đến mức nhiều tổ chức vẫn đang hoạt động mà chưa có nó. các chính sách bảo mật được thiết kế cho một thế giới khácMặc dù các thuật toán có khả năng tự học, đưa ra quyết định và thâm nhập vào hầu hết mọi quy trình kinh doanh, nhưng ở quá nhiều công ty, khuôn khổ kiểm soát vẫn còn bám rễ sâu vào các yếu tố truyền thống. logic của an ninh mạng cổ điển và trong các quy định không lường trước được kịch bản này.

Đồng thời, các cơ quan quản lý đang hành động với tốc độ khác nhau. Liên minh châu Âu tự hào về vai trò lãnh đạo trong lĩnh vực quản lý với Đạo luật Trí tuệ Nhân tạo và GDPR, nhưng Hoãn lại các nghĩa vụ quan trọng, nới lỏng các yêu cầu và cố gắng không để bị chậm trễ. Trước sự cạnh tranh từ Hoa Kỳ và Trung Quốc, trong bối cảnh trí tuệ nhân tạo (AI) phát triển với tốc độ chóng mặt và khung pháp lý liên tục được điều chỉnh, chính sách an ninh AI của bạn rất dễ trở nên lỗi thời và nguy hiểm.

Vì sao chính sách bảo mật AI của bạn đã lỗi thời?

Khoảng cách lớn đầu tiên nằm ở chính tốc độ đổi mới.Các giải pháp trí tuệ nhân tạo (AI) từng được coi là tiên tiến cách đây hai hoặc ba năm giờ đây lại được xem là cơ bản, và điều tương tự cũng đúng với các biện pháp bảo vệ. Nhiều chính sách nội bộ được soạn thảo khi AI vẫn còn là dự án thí điểm chứ chưa phải là một thành phần cấu trúc của tổ chức, vì vậy chúng không giải quyết được những rủi ro hiện nay đã trở nên phổ biến.

Các chính sách an ninh truyền thống được thiết kế để Bảo vệ chống lại các mối đe dọa đã biết và các kịch bản tương đối ổn địnhTuy nhiên, trí tuệ nhân tạo (AI) giới thiệu... các vectơ tấn công hoàn toàn mớiCác mô hình được thao túng thông qua dữ liệu, các hệ thống hoạt động theo những cách bất ngờ trong điều kiện không lường trước được, hoặc việc sử dụng dữ liệu khổng lồ đẩy quyền riêng tư đến giới hạn. Tất cả những điều này hiếm khi được phản ánh đầy đủ trong các quy định nội bộ cũ.

Một lý do khác khiến các chính sách trở nên lỗi thời là chúng vẫn tập trung vào... an ninh mạng ngoại vi, mã hóa và kiểm soát truy cập truyền thốngTrong khi các cuộc tấn công hiện tại tập trung vào chính mô hình AI. Một thay đổi nhỏ mang tính độc hại trong dữ liệu đầu vào, mà các cơ chế truyền thống không thể phát hiện ra, có thể khiến hệ thống AI đưa ra các quyết định sai lầm hoặc phân biệt đối xử với hậu quả nghiêm trọng.

Hơn nữa, nhiều tài liệu trong số này không thể hiện một tầm nhìn rõ ràng về vấn đề đó. tính tự chủ của các hệ thống trí tuệ nhân tạo và khả năng học hỏi từ môi trường.Khi một mô hình được thiết kế để đưa ra quyết định mà không cần sự can thiệp trực tiếp của con người, sẽ có nguy cơ nó đi chệch khỏi mục tiêu của tổ chức, xung đột với các giá trị của tổ chức hoặc phản ứng bất ngờ với dữ liệu mà nó chưa từng thấy trong quá trình huấn luyện.

Cuối cùng, nhiều chính sách được soạn thảo trước khi các công cụ trí tuệ nhân tạo tạo sinh ra đời, chẳng hạn như các mô hình ngôn ngữ quy mô lớn. làm xáo trộn cuộc sống thường nhật của các đội.Ngày nay, chúng được sử dụng để viết báo cáo, lập trình, phân tích hoặc truyền thông nội bộ, thường không cần sự cho phép hoặc kiểm soát chính thức, nhưng các quy tắc nội bộ vẫn chưa đề cập rõ ràng đến loại hình sử dụng này hoặc những tác động của nó đối với bảo mật và bảo vệ dữ liệu.

Bài viết liên quan:

An toàn khi sử dụng AI cục bộ: hướng dẫn thực tiễn và những rủi ro tiềm ẩn

Những rủi ro cụ thể của chính sách bảo mật AI lỗi thời

Một trong những rủi ro quan trọng nhất thường bị bỏ qua trong các chính sách cũ là... các cuộc tấn công của đối thủ nhằm vào các mô hình AIĐây là những chiến thuật mà kẻ tấn công khéo léo thao túng dữ liệu đầu vào (hình ảnh, văn bản, bản ghi giao dịch, v.v.) để đánh lừa hệ thống và khiến nó mắc lỗi có chủ đích, mà không cần phải xâm phạm cơ sở hạ tầng hoặc đánh cắp thông tin đăng nhập.

Khi chính sách chỉ đề cập đến tường lửa, VPN và mã hóa, mà không nói về... Tính ổn định của mô hình khi đối mặt với dữ liệu bị thao túngTổ chức này phải đối mặt với nguy cơ bị kẻ thù tấn công, ví dụ như khiến hệ thống phát hiện gian lận bỏ sót các giao dịch đáng ngờ, hoặc khiến mô hình chấm điểm tín dụng đánh giá cao người không xứng đáng nhận được điểm số đó.

Rủi ro liên quan đến tăng cường tính tự chủ của AI trong các quy trình nhạy cảmCác hệ thống quyết định việc cấp vốn vay, tuyển chọn nhân sự, ưu tiên các vụ kiện pháp lý hoặc quản lý giao thông đô thị có thể đưa ra những quyết định trái ngược với chính sách của công ty hoặc thậm chí là khuôn khổ pháp luật, đặc biệt là khi chúng phải đối mặt với những bối cảnh mà chúng chưa được đào tạo.

Một vấn đề nan giải khác là... việc sử dụng dữ liệu cá nhân một cách phi đạo đức hoặc không kiểm soátTrí tuệ nhân tạo tạo sinh (Generative AI) và các mô hình hiệu năng cao đòi hỏi lượng dữ liệu khổng lồ để huấn luyện và tinh chỉnh. Nếu các chính sách nội bộ không xác định rõ ràng cách thức thu thập, ẩn danh hóa, tái sử dụng và bảo vệ dữ liệu này, sẽ có nguy cơ vi phạm các nguyên tắc cơ bản của GDPR, chẳng hạn như giảm thiểu dữ liệu, giới hạn mục đích và tính minh bạch đối với chủ thể dữ liệu.

Song song đó, các mô hình AI lỗi thời hoặc được quản lý kém trở thành một kênh lý tưởng để rò rỉ thông tin nhạy cảm. Nhân viên sao chép và dán dữ liệu bí mật trong các công cụ trái phép Những người sử dụng các mô hình công khai mà không có sự đảm bảo bảo vệ có thể làm lộ bí mật thương mại, dữ liệu khách hàng hoặc thông tin nội bộ mà không hoàn toàn nhận thức được điều đó.

Trí tuệ nhân tạo ngầm: Khi chính sách của bạn chỉ tồn tại trên giấy tờ chứ không được thực thi trong thực tế.

Ở nhiều nơi, phản ứng trước sự trỗi dậy của trí tuệ nhân tạo diễn ra vội vã: một bản PDF được soạn thảo, rồi được đặt tiêu đề là... “Chính sách sử dụng trí tuệ nhân tạo” Tài liệu được gửi qua email cho toàn bộ nhân viên. Mọi thứ trông có vẻ ổn trên giấy tờ, nhưng sau đó tài liệu này lại không được tích hợp vào hoạt động thực tế. Không ai đưa nó vào quy trình làm việc, hầu như không ai tham khảo nó, và các hệ thống AI vẫn tiếp tục được sử dụng theo cách tốt nhất mà mỗi người có thể.

Sự mất cân bằng này dẫn đến hiện tượng được gọi là AI bóng tốiViệc sử dụng rộng rãi các công cụ trí tuệ nhân tạo bên ngoài các kênh chính thức và không có bất kỳ sự giám sát nào. Toàn bộ các nhóm dựa vào các mô hình bên ngoài để viết email, chỉnh sửa báo cáo hoặc lập trình mã, nhưng tổ chức chỉ biết đến một phần nhỏ của việc sử dụng đó.

Vấn đề không phải là các công cụ AI tạo sinh vốn dĩ "xấu" hay "tốt", mà là nếu không có... khung hoạt động rõ ràng và khả thiNhân viên sẽ sử dụng bất cứ thứ gì có sẵn. Nếu chính sách chỉ giới hạn ở những lệnh cấm chung chung ("Không được sử dụng AI cho bất cứ việc gì liên quan") mà không cung cấp các giải pháp thay thế, mọi người sẽ tiếp tục sử dụng nó "lén lút" vì nó giúp họ làm việc hiệu quả hơn.

Trong bối cảnh này, một chính sách về trí tuệ nhân tạo chỉ nêu rõ những điều không được phép làm, mà không đề cập đến cách sử dụng an toàn, sẽ dẫn đến hậu quả tiêu cực. làm tăng rủi ro thay vì giảm thiểu rủi ro.Tổ chức mất khả năng nắm bắt thông tin về các công cụ được sử dụng, dữ liệu nào được sử dụng và tác động của chúng ra sao, điều này cản trở cả việc bảo vệ thông tin và tuân thủ quy định.

Kinh nghiệm của các tổ chức như Cơ quan Bảo vệ Dữ liệu Tây Ban Nha cho thấy rằng một cách tiếp cận hiệu quả không chỉ mang tính quy định mà còn mang tính ứng dụng cao. tổ chức và thủ tụcMột văn bản được viết tốt thôi là chưa đủ: cần có quy trình ủy quyền rõ ràng, cơ cấu quản trị dễ nhận biết và các kênh chính thức hấp dẫn để nhân viên không còn phải dùng đến các giải pháp ngầm nữa.

Những bài học từ chính sách AI tạo sinh nội bộ của AEPD

Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD) đã ban hành chính sách nội bộ cụ thể về việc sử dụng trí tuệ nhân tạo tạo sinh (generative AI), vốn đã trở nên phổ biến. tham khảo trong khu vực côngNó không chỉ đơn thuần nói "có thể làm được" hay "không thể làm được", mà còn đưa ra các hướng dẫn về việc thực hiện, quản trị và sử dụng có trách nhiệm với một cách tiếp cận rất thực tế, tập trung vào tính minh bạch và bảo mật.

Tài liệu này là một phần trong kế hoạch chiến lược 2025-2030 của tổ chức, cam kết tuân theo một logic về “Ưu tiên trí tuệ nhân tạo” trong quản lý hành chínhÝ tưởng không phải là coi trí tuệ nhân tạo như một điều hiếm hoi, mà là tích hợp nó như một thành phần bình thường của hoạt động công cộng, luôn luôn dưới sự giám sát thích đáng của con người và phù hợp với khuôn khổ pháp lý hiện hành.

Chính sách của Cơ quan quy định như sau: các trường hợp sử dụng quản trị mà trí tuệ nhân tạo tạo sinh mang lại giá trị.Tự động hóa các tác vụ lặp đi lặp lại, hỗ trợ soạn thảo tài liệu, hỗ trợ phân tích thông tin, v.v. Thay vì cấm đoán một cách bừa bãi, luật pháp xác định rõ ràng việc tự động hóa có thể được sử dụng ở đâu, với những giới hạn nào và loại hình giám sát của con người nào là cần thiết trong mỗi bối cảnh.

Hơn nữa, tài liệu này dành một phần đáng kể cho phân tích rủi roNó xác định những thách thức cụ thể của trí tuệ nhân tạo tạo sinh, bao gồm bảo vệ dữ liệu, thiên kiến, khả năng giải thích, tác động đến các quyền cơ bản và an ninh thông tin. Từ đó, phần quản trị thiết lập cách thức lựa chọn giải pháp, cách xử lý dữ liệu cá nhân, cách ghi lại các trường hợp sử dụng và các yêu cầu về tính minh bạch cần được thực thi.

Cuối cùng, chính sách này mô tả chi tiết về... các quy trình soạn thảo, phê duyệt, xem xét và quản lý sự cốNó cũng quy định cách thức tích hợp các trường hợp sử dụng mới, cách thức thực hiện giám sát liên tục và cách thức điều chỉnh chính sách cho phù hợp với những thay đổi về công nghệ và quy định, để chính sách không bị đóng băng trong một hình ảnh tĩnh nhanh chóng trở nên lỗi thời.

Một chính sách an ninh AI được cập nhật cần bao gồm những gì?

Việc cập nhật chính sách bảo mật AI của bạn không chỉ đơn thuần là thay đổi bốn câu: nó bao gồm việc định nghĩa một... khung quản lý rủi ro cụ thể cho trí tuệ nhân tạo và kết nối nó với các quy trình kinh doanh, văn hóa tổ chức và khung pháp lý của bạn.

Một yếu tố trung tâm là Đánh giá rủi ro AI định kỳViệc chỉ thực hiện phân tích sơ bộ khi triển khai một hệ thống là chưa đủ; cần phải thường xuyên xem xét lại để phát hiện các phương thức tấn công mới (chẳng hạn như các kỹ thuật đối kháng mới nổi), các hành vi sử dụng dữ liệu phi đạo đức có thể xảy ra, hoặc những sai lệch trong hoạt động của mô hình mà trước đây chưa được phát hiện.

Chính sách cũng nên bao gồm các cơ chế để huấn luyện đối thủ và các kỹ thuật học máy mạnh mẽĐể các hệ thống học cách phân biệt dữ liệu hợp pháp với dữ liệu bị thao túng một cách độc hại. Điều này bao gồm các chu kỳ cập nhật liên tục của các mô hình và quy trình chính thức để kết hợp các bài học kinh nghiệm từ các sự cố hoặc lỗ hổng được phát hiện.

Một trụ cột khác là việc thành lập giới hạn rõ ràng cho tính tự chủ của AIChính sách này phải xác định rõ loại quyết định nào có thể được đưa ra hoàn toàn tự động, loại quyết định nào cần được con người xem xét trước và trong trường hợp nào cần kích hoạt cảnh báo khi hệ thống sai lệch so với các thông số nhất định hoặc đưa ra các quyết định bất thường có khả năng gây tác động lớn.

Tất cả những điều này phải đi kèm với một hệ thống mạnh mẽ. giám sát và kiểm toán hành vi của mô hìnhVấn đề không chỉ nằm ở việc ghi nhật ký, mà còn ở việc có các chỉ báo cho phép bạn phát hiện các bất thường, sai lệch hoặc suy giảm hiệu suất, và các quy trình để xử lý khi phát hiện sự cố, bao gồm cả khả năng tạm ngừng hoặc hạn chế sử dụng hệ thống.

Sự phát triển của khung pháp lý châu Âu: Luật Trí tuệ Nhân tạo và GDPR

Trong khi các tổ chức đang cố gắng bắt kịp nội bộ, Liên minh châu Âu đã lựa chọn cách tiếp cận lãnh đạo về mặt pháp lý. Đạo luật về trí tuệ nhân tạo và GDPRTuy nhiên, ngay cả khuôn khổ này hiện cũng đang được xem xét lại để thích ứng với tốc độ thay đổi công nghệ.

Đạo luật AI, được thông qua như khuôn khổ toàn diện lớn đầu tiên trên thế giới, thiết lập các loại rủi ro và các nghĩa vụ nghiêm ngặt hơn đối với AI. hệ thống rủi ro caoVí dụ như các mô hình được sử dụng trong nhận dạng sinh trắc học, đánh giá tín dụng, tuyển chọn nhân sự, quản lý giao thông hoặc cơ sở hạ tầng trọng yếu. Tuy nhiên, Brussels đã đề xuất hoãn việc thực hiện nhiều nghĩa vụ này đến tháng 12 năm 2027.

Lý lẽ chính của Ủy ban châu Âu là nhằm câu giờ để định hình vấn đề. các tiêu chuẩn kỹ thuật áp dụng và giảm bớt gánh nặng hành chínhNgười ta ước tính rằng việc hoãn lại này và các biện pháp đơn giản hóa liên quan có thể giúp các công ty tiết kiệm hàng trăm triệu euro chi phí, đồng thời duy trì sự chắc chắn về mặt pháp lý trong một môi trường cực kỳ biến động.

Tuy nhiên, sự chậm trễ này kéo dài thêm một khoảng thời gian. các vùng xám về mặt pháp lý trong các công nghệ nhạy cảmViệc nhận dạng sinh trắc học hàng loạt, ra quyết định tự động có tác động đến các quyền cơ bản và quản lý thông minh các dịch vụ công cộng thiết yếu hoạt động trong một khuôn khổ mà các quy tắc chi tiết vẫn chưa được thiết lập, điều này khiến các chuyên gia về an ninh mạng và quyền kỹ thuật số lo ngại.

Song song đó, Ủy ban đang xem xét lại cách thức áp dụng GDPR đối với trí tuệ nhân tạo, đặc biệt là đối với... Trí tuệ nhân tạo tạo sinh cần lượng dữ liệu lớn.Trong số các ý tưởng đang được thảo luận, có ý tưởng phân loại lại một số hoạt động phát triển trí tuệ nhân tạo thành các hoạt động vì lợi ích công cộng hoặc nghiên cứu khoa học, điều này sẽ cho phép tái sử dụng dữ liệu ẩn danh một cách dễ dàng hơn, với điều kiện là phải tuân thủ một số biện pháp bảo vệ nhất định.

Tranh luận chính trị và căng thẳng giữa đổi mới và quyền lợi

Việc điều chỉnh quy định này không phải là không có nhược điểm. tranh cãi chính trị và xã hộiMột bộ phận cánh tả châu Âu và nhiều tổ chức dân sự lo ngại rằng, dưới danh nghĩa "đơn giản hóa" hay "giảm bớt thủ tục hành chính", việc bảo vệ các quyền cơ bản đang bị lu mờ để ưu tiên cho việc cạnh tranh mạnh mẽ hơn với các cường quốc công nghệ khác.

Một số nhà phê bình chỉ ra rằng việc định nghĩa lại nghiên cứu khoa học để bao gồm cả những phát triển mang tính thương mại rõ ràng có thể dẫn đến... sự xói mòn dần dần các quyền kỹ thuật sốđặc biệt nếu các nguyên tắc như giảm thiểu dữ liệu, sự đồng ý rõ ràng hoặc tính minh bạch đối với những người có dữ liệu được sử dụng bị xem nhẹ.

Ủy ban khẳng định rằng việc đơn giản hóa Điều này không có nghĩa là hạ thấp các biện pháp bảo vệ.Thay vào đó, mục tiêu là điều chỉnh các quy định cho phù hợp với thực tế công nghệ để chúng có thể áp dụng và hiệu quả. Luật pháp châu Âu được bảo vệ như một "dấu ấn của sự tin cậy" nhằm bảo vệ các giá trị và quyền cơ bản, đồng thời mang lại sự chắc chắn cho các công ty đầu tư vào trí tuệ nhân tạo.

Trong cuộc tranh luận này, câu hỏi cơ bản là làm thế nào để đảm bảo châu Âu duy trì được vị thế của mình. tham vọng dẫn đầu trong lĩnh vực trí tuệ nhân tạo mà không từ bỏ bảo vệ dữ liệu như một trong những trụ cột dân chủ. Hay nói cách khác, làm thế nào để ngăn chặn việc quyền riêng tư trở thành con bài mặc cả và thay vào đó, biến nó thành lợi thế cạnh tranh gắn liền với mô hình đổi mới có trách nhiệm.

Trong khi những căng thẳng này đang được giải quyết, rõ ràng là các tổ chức không thể chờ đợi cơ quan lập pháp làm mọi việc. Điều chỉnh các chính sách AI nội bộ. Thích ứng với thực tế thay đổi này là một yêu cầu thiết yếu, vừa để tuân thủ các quy định hiện hành và tương lai, vừa để thực sự bảo vệ con người, dữ liệu và tài sản quan trọng.

Làm thế nào để triển khai quản trị AI một cách thiết thực và khả thi?

Một chính sách AI hữu ích không phải là chính sách toàn diện nhất hay có ngôn ngữ pháp lý phức tạp nhất, mà là chính sách đáp ứng được những điều kiện sau: Nó thực sự được sử dụng trong cuộc sống hàng ngày.Để đạt được điều này, việc xây dựng một quy trình ủy quyền và quản trị dễ hiểu đối với các nhóm và tích hợp liền mạch vào hoạt động là vô cùng quan trọng.

Mạch điện này cần phải xác định rõ ràng các trường hợp sử dụng được cho phép và bối cảnh ứng dụngNhững loại nhiệm vụ nào có thể được giao cho trí tuệ nhân tạo (AI), trong những lĩnh vực nào thì bị cấm, dữ liệu nào có thể được sử dụng và trong điều kiện nào? Các định nghĩa càng cụ thể thì càng ít khả năng gây nhầm lẫn và dẫn đến việc sử dụng tùy tiện, không kiểm soát.

Việc xác định ai có thể cũng rất cần thiết. sử dụng những công cụ nào và cho mục đích gìKhông phải tất cả nhân viên đều cần quyền truy cập vào cùng một mức độ năng lực AI hoặc cùng một loại dữ liệu. Chính sách nên bao gồm hồ sơ người dùng, tiêu chí ủy quyền và quy trình đơn giản để yêu cầu và cấp quyền dựa trên nhu cầu thực tế và các rủi ro liên quan.

Danh sách các công cụ đã được xác thực và kiểm toán Đây là một yếu tố quan trọng khác. Thay vì chấp nhận bất kỳ giải pháp nào có sẵn trực tuyến, tổ chức nên đánh giá trước các lựa chọn thay thế (đặc biệt là về bảo vệ dữ liệu và bảo mật) và đưa ra danh sách các lựa chọn được phê duyệt kèm theo hỗ trợ nội bộ, tài liệu và đào tạo cơ bản.

Cuối cùng, vai trò của sự giám sát của con người trong các quy trình có tác động lớnTrí tuệ nhân tạo có thể đề xuất, ưu tiên hoặc hỗ trợ, nhưng trong các quyết định ảnh hưởng đến các quyền cơ bản, danh tiếng của công ty hoặc sự an toàn của người dân, việc xem xét bắt buộc của con người là điều nên làm, với hồ sơ rõ ràng về người nào xác nhận điều gì và tại sao.

Toàn bộ phương pháp này đều hướng đến một mục tiêu thực tiễn duy nhất: đó là Sử dụng trí tuệ nhân tạo đúng cách dễ hơn là sử dụng nó một cách lén lút.Khi tổ chức cung cấp một "lộ trình an toàn" được thiết kế tốt với các công cụ hữu ích, tiêu chí rõ ràng và sự hỗ trợ, Trí tuệ nhân tạo ngầm (Shadow AI) có xu hướng giảm tự nhiên vì nó không còn là cách duy nhất để đạt năng suất cao nữa.

Trong một môi trường mà trí tuệ nhân tạo đang phát triển với tốc độ chóng mặt, các chính sách thực sự tạo ra sự khác biệt là những chính sách đồng thời đạt được... Điều chỉnh việc sử dụng công nghệ mà không làm giảm năng suất lao độngXây dựng sự cân bằng này, liên kết khung pháp lý của châu Âu với quản trị nội bộ hoạt động và quản lý rủi ro AI thực tế, chính là điều phân biệt các tổ chức chỉ có văn bản với những tổ chức thực sự bảo vệ tương lai kỹ thuật số của họ.

Isaac

Người viết đam mê về thế giới byte và công nghệ nói chung. Tôi thích chia sẻ kiến ​​thức của mình thông qua viết lách và đó là những gì tôi sẽ làm trong blog này, cho bạn thấy tất cả những điều thú vị nhất về tiện ích, phần mềm, phần cứng, xu hướng công nghệ, v.v. Mục tiêu của tôi là giúp bạn điều hướng thế giới kỹ thuật số một cách đơn giản và thú vị.