ACISO'SGUIDE 生成式AI和ChatGPT企业风险 通过评估风险和机遇以及政策制定,使企业能够实现生成性AI的飞跃 Team8CISO村2023年4月 Team8CISO村是来自世界领先企业的CISO社区。该村的主要重点是促进世界上最杰出的公司之间的合作,目的是共享信息和想法 ,就行业和技术趋势和需求进行深入讨论,并为各方创造价值和商机。 通过帮助Team8识别真正的痛点并了解大型组织的需求,该村的成员首先要利用Team8的投资组合公司专门构建的解决方案来支持他们的需求。 要联系Team8CISO村,请发送电子邮件 免责声明:这些材料仅是为了方便而提供的,并且不能出于任何目的而依赖。本文档的内容不得解释为法律或商业建议;请咨询您自己的律师或商业顾问,以获取任何此类法律和商业建议。任何作者,审稿人或参与本文件制作的任何其他人的贡献均不以任何方式代表其雇主。 本文档在署名-非商业4.0国际(CCBY-NC4.0)许可证下发布。 WRITTENBY 加迪·埃弗伦 CISO-in-ResidenceTeam8 BobiGilburd 首席创新官Team8 CONTRIBUTORS 阿米特·阿什肯纳齐 前以色列国家网络局法律顾问,在此之前,以色列隐私保护局法律部门负责人 CassioGoldschmidt 首席信息安全官 大卫·B·克罗斯安全和工程主管 GalTal-Hochberg CTO,Team8 乔纳森·布雷弗曼 安全和隐私执行官 马克西姆(Max)科瓦尔斯基 安全和隐私执行官 理查德·巴雷托 首席信息安全官,进步 SounilYu JupiterOne首席信息安全官 ManyTeam8CISOVillagemembers,andothersfromthewidercommunity,assistedinthewriting,reviewing,andeditingofthisdocument.Thesearetheoneswhocouldsharetheirnamespublic:亚伦·杜宾,亚当·肖斯塔克,阿丽莎·米勒,阿米尔·齐伯斯坦,安·约翰逊 ,阿耶·戈雷茨基,艾夫纳·兰格特,阿维·本·梅纳赫姆,布莱恩·巴里奥斯,王晨曦,戴夫 ·鲁德格,迪克拉·萨阿德·拉莫特,多伦·希克莫尼,吉迪·法尔卡什,伊罗杰斯USN(ret ),米哈尔·卡曼斯基,纳达夫·扎弗里尔,内特·李,奥伦·古尔,雷伊特·考尔,罗伊·赫尔德什丁,萨拉·拉扎鲁斯,里克·隆根内克,苏珊·塞诺夫,托默·杰肖尼。 执行摘要和主要收获 高管,其中包括CISO,发现自己落后于技术采用曲线,而员工和业务部门正在迅速采用GenerativeAI(GenAI)技术。 •CISO提出的关键问题是:谁在我的组织中使用该技术,目的是什么?当员工与GenAI交互时,我如何保护企业信息(数据) ?我如何管理基础技术的安全风险?我如何平衡安全权衡与技术提供的价值? •与GenAI相关的风险可以通过与相关利益相关者合作为组织制定定制政策来管理。 •虽然GenAI固有的许多风险存在于任何基于云或AI/ML的技术中,但需要采取新的政策来广泛采用GenAI,包括非技术人员。 •企业中与GenAI相关的最严重的风险来自四个潜在问题: GenAI对内部运营和流程的影响。 >信任第三方安全的必要性。 › 数据泄漏风险虽然确实存在,但在媒体上被不必要地炒作。 •这些风险可以通过以下策略的应用来管理: >识别相关风险及其对组织的影响; 制定组织政策,说明如何以及谁可以使用这些工具,以将上述风险降低到可接受的水平; >根据客户提供的安全性和策略可定制性,选择合适的GenAI提供商,例如选择退出和数据保留,以及; >检查企业控制下的潜在本地替代品。 如何阅读本文档 本文件旨在为CISO、安全从业人员和其他人提供可行的工具,以了解和传达GenAI对组织的安全影响,以及他们应与其他企业利益相关者讨论的相关法律和合规风险。 它支持有关GenAI的实施,集成和使用的决策,以便编写组织策略,允许安全可靠地使用这种新技术。 可以以书面顺序阅读,以了解GenAI威胁和政策考虑因素,作为与组织利益相关者讨论这种理解的框架,并最终将其应用于组织 GenAI安全策略。 或者,为了实现特定目标,可以以读者最有效的方式无序地阅读这些部分以实现其目标。 要了解生成式AI安全影响并构建威胁矩阵:阅读不断变化的威胁格局,GenAI引入的新企业风险,以及吸引工程团队和威胁建模。 与组织利益相关者(董事会,管理层,从业人员和产品组织)沟通:阅读EnterpriseGenAI和ChatGPT策略注意事项以及参与工程团队和威胁建模。 编写GenerativeAI/ChatGPT安全策略并做出风险决策:阅读企业GenAI和ChatGPT政策注意事项、制定风险决策以及示例GenAI和ChatGPT政策模板。 让我们谈谈 邀请您与Team8联系并讨论此主题和其他主题。欢迎反馈,公开讨论和简报请求。您也被邀请与我们合作未来的CISO村合作项目。 我们最近的一些出版物: ACISO'SGUIDE 法律风险和责任 关于CISO在与总法律顾问聊天之前需要了解的内容的手册 由Team8CISO村与SINET合作。 2022年11月 “CISO指南:法律风险和责任” CISOCOMMUNTYRESPONSE CISARFI关于2022年关键基础设施网络事件报告法案 Team8CISOVillage2022年12月 “CISO社区响应:2022年关键基础设施网络事件报告法案的CISARFI” 正在考虑的关于这一主题的未来合作项目包括: •企业可以引入的GenAI安全控制 •为企业开发GenAI最佳实践和框架(安全/安全/风险缓解)。要联系Team8CISO村,请发送电子邮件 CONTENTS 执行摘要和关键外卖4 如何阅读文件5 让我们Talk5 Contents6 Introduction7 不断发展的CISO角色9 面对一个历史性的机会9 不断变化的威胁Landscape10 引入的新企业风险GenAI11 企业GenAI和ChatGPT政策注意事项18 我们是否需要特定的GenAI或ChatGPT政策?18 修订现有Policies19 开发新的Policies19 联合(和共享)责任20 注意事项工作流20 我们应该如何解释OpenAI的显式语句21 关于使用提示信息进行培训? 制造风险决定22 参与工程团队和威胁建模23 Conclusion25 附录1-开源/本地Alternatives26 附录2-示例GenAI和ChatGPT政策模板27 Purpose27 背景27 企业风险27 CorporatePolicy27 可接受的使用Policy28 GenAI和ChatGPT的实现和集成指导方针28 附录3-未来潜在安全控制选项30 附录4-企业使用案例31 附录5-进一步策划正在阅读32 Introduction 许多企业及其员工已经在使用ChatGPT,Bard,PaLM,Copilot和其他生成AI(GenAI)或大型语言模型(LLM),CISO现在正在与他们的团队合作来识别和评估相关的企业风险。为了简单起见,我们将在本文中将各种技术和模型称为“GenAI”。 GenAI,特别是ChatGPT,作为简化通信、编写代码、生成图像、音频和视频、增强客户服务、撰写文档和生成初步研究以及改进任何其他日常活动的强大工具,在企业中越来越受欢迎。 然而,与任何技术一样,GenAI的使用也会带来一系列安全风险、威胁和影响,组织必须仔细考虑。 在2023年的前几个月,GenAI一直是安全主管们最关心的问题之一,我们的Team8CISOVillage社区的成员优先考虑制作关于这一主题的联合文件。 CISO提出的关键问题是:谁在我的组织中使用该技术,目的是什么?当员工与GenAI交互时,我如何保护企业信息(数据)?我如何管理基础技术的安全风险?我如何平衡安全权衡与技术提供的价值? 本文档提供了有关风险的信息,并建议了安全团队和CISO可以在自己的组织中利用的最佳实践,并呼吁社区采取行动,以宣传和进一步参与该主题。 •我们将探索潜在的风险和威胁与在企业环境中使用GenAI相关,重点关注技术方面,以及由此产生的一些法律和监管风险。我们将进一步讨论威胁建模,参与工程团队以及内部或开源替代方案。 •然后,我们将提供可操作的建议企业如何采取全面的方法,包括制定组织政策和行动计划以及样本政策,以便他们可以确保他们以安全和安全的方式使用GenAI。 不幸的是,许多CISO发现自己落后于GenAI采用曲线,并有可能被视为业务障碍而不是业务推动者。因此,CISO可能会感到压力,要求广泛允许GenAI,但这样做不分青红皂白可能会造成不合理的风险。 除了使企业达到GenAI使用标准,制定书面政策和实施安全控制之外,作为安全领导者,我们还有一个独特的机会,可以通过安全可靠的技术创新来促进和支持业务。 考虑到GenAI为所有企业提供的生产率提升,组织需要一种可衡量的业务支持替代方案,以完全拒绝使用该技术。最初实施此类限制的组织最近一直在重新考虑其立场并取消批发禁令。 1法律和监管内容旨在标记问题,为与其他企业利益相关者的讨论做准备,而不是在必要时取代法律咨询。 不断演变的CISO角色 CISO的角色需要不断发展,以适应新的企业风险,特别是考虑到该领域法规的发展。 在制定欧盟人工智能法案的背景下,一些人将CISO描述为“信任大使”。CISO组织的潜力现在被认为是开发更广泛的风险方法的催化剂,包括额外强调数据收集、使用、治理和基础设施。 这些是责任领域,CISO通常不拥有全部或任何权力,确实具有技术风险知识,并且可以为企业使命提供实质性支持。他们也可能被要求承担一定程度的责任。 作为对业务和技术都有了解的高级管理人员,CISO可以很好地帮助组织应对这项新技术带来的风险和机遇 面临历史性机遇 CISO社区面临着一个历史性的机会,可以影响我们组织以外的全球个人的安全和隐私。 当新技术被引入世界时,安全和隐私通常是事后才想到的,无论是出于商业激励、预算和资源方面的考虑,还是纯粹的创新力量 。 事实上,这在社交媒体、云、智能手机和许多其他技术中都发生过,在这些技术中,安全和隐私在采用周期的后期才被引入,而不受控制的使用却激增。 作为一个集体,CISO社区有能力塑造最佳实践并影响这些工具的未来发展-今天,考虑到个人以及我们组织的安全和隐私。 最后,在Team8CISO村,我们正在规划关于这个主题的未来合作项目。 不断变化的威胁格局 每个人,包括OpenAI等GenAI开发人员,仍在了解该技术的全部潜力。尽管一些威胁似乎很明显,并且与我们之前所看到的那些威胁相似。 由于其普遍性、易用性、高价值主张和巨大的潜在业务支持价值,GenAI 迅速引入了新的安全风险。 作为其快速采用曲线的一个例子,ChatGPT在两个月内达到了1亿用户,比以前的任何技术都快几个数量级。与传统的AI/ML技术相比,GenAI更易于使用: •直观的交互和新颖的内容生产模式-AI中的一种新方法与交互式聊天系统相结合,可提供“完美”的结果。最终用户能够在聊天界面中实时编辑结果,从而比早期平台更轻松地提高未来的准确性。 •所有人都可以访问许多GenAI技术都是免费或低成本的,向公众开放,任何有互联网连接的人都可以使用。 •易于使用许多GenAI技术被设计为对所有职位和角色的人都很容易,使用自然语言就像与另一个人交谈一样。 •速度和敏捷性-该系统可以通过手动搜索,查询和索引比以前更快地生成信息,源代码和数据。它可以将数百万页的信息合成为一个段落。 •与第三方应用程序集成许多当前的日常