Generative AI sicher aktivieren
Neil Thacker erklärt im Gespräch mit der Redaktion, wie Unternehmen Transparenz und Kontrolle über SaaS-Anwendungen wie ChatGPT im gesamten Unternehmen erreichen.
Neil, welche Risiken bestehen für Unternehmen, die nicht wissen, ob ihre Mitarbeiter generative KI-Tools am Arbeitsplatz nutzen?
Generative AI stellt eine große Herausforderung für den Datenschutz dar, da Mitarbeiter Daten und Dateien über diese Apps und Dienste als Teil ihrer Eingaben und Fragen teilen. Diese Daten können geschützte Kundeninformationen, geistiges Eigentum und Quellcode umfassen oder Audioaufnahmen von geteilten Präsentationen. Viele Organisationen haben derzeit keine wirksame Übersicht darüber, welche GenAIs im Einsatz sind oder welche Daten über diese Apps exfiltriert werden. Dies bedeutet, dass Unternehmen möglicherweise Daten weitergeben, die Systeme trainieren, die zum Nutzen der Wettbewerber verwendet werden können oder sogar gegen wichtige Datenschutzgesetze wie die DSGVO verstoßen.
Neil Thacker, CISO von Netskope EMEA, verdeutlicht: „Generative AI-SaaS-Tools wie ChatGPT haben die Arbeitsabläufe in Unternehmen revolutioniert, aber auch erhebliche Risiken für die Datensicherheit mit sich gebracht. Jetzt kann die Verwendung generativer AI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz sicher ermöglicht werden. Überwachen und sichern Sie SaaS-Anwendungen wie ChatGPT mit erweiterter Risikokategorisierung und Echtzeit-Zugriffskontrolle, um zu verwalten, wie Mitarbeiter auf generative AI-Anwendungen zugreifen.“
Ist die Lösung, die Nutzung von generativer AI vollständig zu blockieren?
Um GenAIs zu blockieren, muss man sie zuerst erkennen können, und diese Apps unterscheiden sich für Sicherheitssysteme nicht von Cloud-Apps. Es ist einfach nicht realistisch, dass Sicherheitsteams manuell mit dem exponentiellen Wachstum dieser Apps Schritt halten. Unternehmen stehen jedoch unter Druck, eine ständig steigende Produktivität zu liefern, daher wird AI, ähnlich wie Cloud-Apps, aufgrund ihrer Produktivitäts- und Kostenvorteile von vielen Organisationen als notwendige Innovation angesehen. Das Blockieren der bekannteren GenAIs führt einfach zu Shadow AI, der unautorisierten Nutzung dieser Apps, oder treibt Mitarbeiter zu weniger vertrauenswürdigen AI-Tools.
Welche Informationen benötigen Sicherheitsteams, um Richtlinien für GenAI-Apps festzulegen?
CISOs benötigen Sichtbarkeit bzgl. der verwendeten AI-Apps sowie Verständnis über die verwendeten Modelle, die geteilten Daten und die von AI-Tools erzeugten Ausgaben. So kann verstanden werden, ob sensible Daten gefährdet sind und die Implementierung umfassender Maßnahmen zur Verhinderung von Datenverlust wird ermöglicht. CISOs sollten auch eine aktive Rolle bei der Bewertung der von Mitarbeitern genutzten Anwendungen übernehmen: Sie sollten den Zugang zu solchen einschränken, die nicht mit den geschäftlichen Anforderungen übereinstimmen oder ein unzumutbares Risiko darstellen, aber diejenigen unterstützen, bei denen die Risiken bewertet und als akzeptabel eingestuft wurden.
Wie können Mitarbeiter am schnellsten lernen, AI sicher zu nutzen, um die Risiken zu minimieren?
Der beste Weg, Mitarbeiter zu unterstützen, sichere und konforme Entscheidungen bei der Nutzung generativer KI zu treffen, ist die Einführung von Technologie, die kontinuierliches, Echtzeitcoaching ermöglicht. Dies geschieht in Form von Pop-up-Nachrichten, die ausgelöst werden, wenn ein Mitarbeiter versucht, eine GenAI-App zu nutzen. Nachrichten können auf die Sicherheitsrichtlinien einer Organisation zugeschnitten sein, blockierende Entscheidungen erklären, die Nutzung anderer genehmigter Apps fördern oder Mitarbeiter an ihre Verantwortung zum Datenschutz erinnern. Dieser Ansatz erfasst Mitarbeiter rechtzeitig, bevor sie möglicherweise sensible Daten teilen, und ermöglicht, dass Mitarbeiter die Tools sicher nutzen, die bereits Teil ihres täglichen Lebens geworden sind.
Wie unterstützen Sie Ihre Kunden dabei, vollständige Transparenz und Kontrolle über alle Cloud-Anwendungen im Unternehmen zu erreichen?
Die Sicherheitsplattform von Netskope wurde Cloud-native entwickelt und spricht die Sprache der Cloud-Apps (die sich von der Sprache des Webs unterscheidet). Dies ist wichtig, damit die Netskope-Plattform entscheidende Einblicke bei der Verwendung von Cloud- und GenAI-Apps in einer Organisation bieten kann. So können detaillierte Informationen bereitgestellt werden, die aufzeigen, auf welche Daten zugegriffen wurde. Besonders nützlich zur Lösung der unmittelbaren Herausforderungen bei der Verwaltung einer generativen AI-Sicherheitspolitik ist der Cloud Confidence Index von Netskope, ein Repository mit über 80.000 Enterprise-SaaS-Anwendungen. Der CCI ermöglicht die automatische Anwendung von Sicherheitsrichtlinien für jede App, basierend auf einer Risikokategorisierung, die auf objektiven Kriterien zur Sicherheit, Prüfbarkeit und Widerstandsfähigkeit der Anwendung beruht. Am besten ist, dass die Plattform sogar ML-/AI-Algorithmen und -Modelle verwendet, sodass Sicherheitskontrollen mit den neuesten Apps auf dem neuesten Stand bleiben.
Was ist der beste Weg für Unternehmen, um jetzt zu starten?
Organisationen sollten damit beginnen, klare Richtlinien und Standards zu entwickeln, die genügend Granularität bieten, um die sichere Nutzung von GenAI zu unterstützen. Es ist notwendig, kontinuierlich ein Inventar zu führen, um zu erfassen, welche Apps und Dienste von Mitarbeitern zu welchem Zweck verwendet werden und welche Daten diese Anwendungen nutzen. Darüber hinaus sollten Organisationen sicherstellen, dass sie mit den vielen neuen AI-Frameworks zur Risikobewertung, die im letzten Jahr entstanden sind, im Einklang stehen und dass sie in Bezug auf bewährte Verfahren auf dem neuesten Stand sind.
CC BY-ND 4.0 DE
https://creativecommons.org/licenses/by-nd/4.0/deed.de#
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.
- Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.
