生成式 AI 和 ChatGPT 企业风险

ACISO'SGUIDE 生成AI 和ChatGPT 企业风险 使企业能够使 通过评估生成的AI飞跃风险和机遇，以及 作为政策制定 由Team8CISO村2023年4月 Team8CISO村是来自世界领先企业的CISO社区。主要该村的重点是促进世界上最著名的公司与 分享信息和想法的目标，就工业和技术进行深入的讨论趋势和需求，为各方创造价值和商机。 通过帮助Team8识别真正的痛点并了解大型组织的需求， 村庄的成员首先要利用由Team8的投资组合专门构建的解决方案公司支持他们的需求。 要联系Team8CISO村，请发送电子邮件cisovillum@team8.vc 免责声明:这些材料仅是为了方便而提供的，不得用于任何目的。本文档的内容不得解释为法律或商业建议；请咨询您自己的律师 orbusinessadvisorforanysuchlegalandbusinessadvice.Thecontributionofanyoftheauthors,评论者,或参与制作本文件的任何其他人均不以任何方式代表其雇主。 本文档在署名-非商业4.0国际(CCBY-NC4.0)许可证下发布。 WRITTENBY 加迪·埃弗伦BobiGilburd CISO-in-ResidenceTeam8 首席创新冰 Team8 CONTRIBUTORS 阿米特·阿什肯纳齐CassioGoldschmidt 以色列前法律顾问首席信息安全的冰 国家网络理事会，以及之前法务部主任 以色列隐私保护局 大卫·B·克罗斯GalTal-Hochberg 安全与工程 Executive CTO,Team8 乔纳森·布雷弗曼马克西姆（Max）科瓦尔斯 安全和隐私执行官安基全和隐私执行官 理查德·巴雷托SounilYu icer首席信息安全官, 进展 首席信息安全 冰，JupiterOne 许多Team8CISO村成员，以及来自更广泛社区的其他人，协助撰写、审阅和编辑本文档。这些是 谁可以公开分享他们的名字：AaronDubin,AdamShostack,Alyssa 米勒，阿米尔·齐伯斯坦，安·约翰逊，阿耶·戈雷茨基，阿夫纳·兰格特，阿维·本- 梅纳赫姆，布莱恩·巴里奥斯，王晨曦，戴夫·鲁德杰，迪克拉·萨阿德·拉莫特，多伦 Shikmoni,GidiFarkash,ImriGoldberg,JefreyDiMuro,LarrySeltzer,Liran 格林伯格，ADMMichaelS.RogersUSN（ret），MichalKamensky，NadavZafrir，NateLeeOrenGurReetKaurRoyHeldshteinSaraLazarusRicLongenecker, SusanneSenof,TomerGershoni 执行摘要和钥匙拿走 高管，其中包括CISO，发现自己落后于技术采用曲线，而员工和业务部门 正在迅速采用生成人工智能(GenAI)技术。 CISO提出的关键问题是：谁在我的组织中使用这项技术，目的是什么？当员工与GenAI互动时，如何保护企业信息（数据）？ 我管理底层技术的安全风险？如何平衡s与ER技术的价值？ •通过为组织制定定制政策，可以管理与GenAI相关的风险，在与相关利益相关者合作。 虽然GenAI固有的许多风险存在于任何基于云或AI/ML的技术中，但新的政策假设需要广泛采用GenAI，包括非技术人员。 •企业中与GenAI相关的最严重的风险来自四个潜在问题： >GenAI对内部运营和流程的影响。 >信任第三方安全的必要性。 › 数据泄漏风险虽然确实存在，但在媒体上被不必要地炒作。 •Theseriskscanbemanagedbytheapplicationoffollowingstrategies: >识别相关风险及其对组织的影响； >设置组织政策，说明如何以及谁可以使用这些工具，以缓解上述问题风险达到可接受水平； >根据其安全性和策略可定制性选择合适的GenAI提供商客户，例如选择退出和数据保留，以及； >检查企业控制下的潜在本地替代品。 如何阅读本文档 本文档旨在为CISO、安全从业人员和其他人提供可操作的工具了解并传达GenAI对组织和相关法律的安全影响 以及他们应该与其他企业利益相关者讨论的合规风险。 它支持有关GenAI的实施，集成和使用的决策，以便编写允许安全和可靠地使用这项新技术的组织政策。 可以以书面顺序阅读，以了解GenAI威胁和政策考虑因素，如一个与组织利益相关者讨论这种理解的框架，最后将它们应用于组织的GenAI安全策略。 或者，为了实现特定的目标，可以按照最为了读者实现他们的目标。 要了解生成式AI安全影响并构建威胁矩阵：阅读更改 威胁格局，GenAI引入的新企业风险，以及参与工程团队和威胁建模。 与组织利益相关者(董事会、管理层、从业者和产品 组织):阅读企业GenAI和ChatGPT政策注意事项和参与工程团队和威胁建模。 编写GenerativeAI/ChatGPT安全策略并做出风险决策：阅读企业GenAI和ChatGPT政策注意事项、风险决策以及示例GenAI和ChatGPT政策模板。 让我们谈谈 邀请您与Team8联系并讨论此主题和其他主题。反馈，公开讨论，欢迎听取简报。 您也被邀请与我们合作未来的CISO村合作项目。我们最近的一些出版物： CISO指南：法律风险和负债” CISOCOMMUNITYRESPONSE CISO社区 回复：CISARFI 网络事件报告 ACISO’SGUIDECISCASO'RSGFUIIDoEn网络事件 法律风险和负债 Critical的报告 2022年基础设施法案 或关键基础设施 《2022年法案》 关于CISO的手册聊天前需要知道与总法律顾问 由Team8CISO村与SINET合作。 2022年11月由Team8CISO村 2022年12月 正在考虑的关于这一主题的未来合作项目包括： •企业可以引入的GenAI安全控制 •为企业开发GenAI最佳实践和框架（安全/安全/风险缓解）。要联系Team8CISO村，请发送电子邮件cisovillum@team8.vc CONTENTS 执行摘要和主要收获4 如何阅读本文档5 让我们谈谈5 Contents6 Introduction7 不断演变的CISO角色9 面临历史性机遇9 不断变化的威胁格局10 GenAI引入的新企业风险11 企业GenAI和ChatGPT政策注意事项18 我们需要GenAI或ChatGPT特定的政策吗？18 修订现有政策19 制定新政策19 共同（和共同）的责任20 工作流程注意事项20 我们应该如何解释OpenAI的明确声明21 关于使用提示信息进行培训？ 制定风险决策22 参与工程团队和威胁建模23 Conclusion25 附录1-开源/本地替代品26 附录2-示例GenAI和ChatGPT策略模板27 Purpose27 背景27 企业风险27 公司政策27 可接受使用政策28 GenAI和ChatGPT实施和集成指南28 附录3-未来潜在安全控制选项30 附录4-企业用例31 附录5-策划进一步阅读32 Introduction 许多企业及其员工已经在使用ChatGPT， Bard、PaLM、Copilot和其他生成AI(GenAI)或大型语言模型(LLM)和CISO现在正在使用其 团队识别和评估相关企业风险。Wewill在本文中将各种技术和模型称为“GenAI”为了简单。 GenAI，特别是ChatGPT，作为强大的工具在企业中越来越受欢迎简化通信，编写代码，生成图像，音频和视频，增强客户 服务，撰写文件并进行初步研究，并在其他日期进行改进- 今天的活动。 然而，与任何技术一样，GenAI的使用也会带来一系列的安全风险、威胁和组织必须仔细考虑的影响。 GenAI一直是安全领域的首要问题之一高管们在2023年前几个月，并且一直是 由我们的Team8CISO村社区的成员优先考虑制作关于这一主题的联合文件。 CISO提出的关键问题是：谁在我的组织中使用这项技术，目的是什么？当员工与GenAI互动时，我如何保护企业信息（数据）？ 管理底层技术的安全风险？如何平衡s与重视ER的技术？ 本文档提供了有关风险的信息，并建议了安全团队和CISO的最佳实践可以在自己的组织中利用，并作为社区传福音的行动号召 并进一步参与该主题。 •我们将探索潜在的风险和威胁与在企业环境中使用GenAI相关，专注于技术方面，以及由此产生的一些法律和监管风险。 我们将进一步讨论威胁建模，参与工程团队以及内部部署或开源替代品。 •我们将提供可操作的建议企业如何才能全面 方法，包括制定组织政策和行动计划，以及样本政策，这样他们就可以确保他们以安全和安全的方式使用GenAI。 不幸的是，许多CISO发现自己在GenAI采用曲线和风险被视为业务障碍 而不是业务推动者。因此，CISO可能会感到压力 广泛允许GenAI，但不分青红皂白地这样做可能会创造不合理的风险。 除了使企业达到GenAI使用标准，制定书面政策，以及 实施安全控制，作为安全领导者，我们有一个独特的机会来促进和实现企业通过安全可靠的技术创新。 考虑到GenAI为所有企业提供的生产率提升，组织需要 business-enabledalternativetorejectiontheuseofthetechnologytotally.Organizationsthathave 最初实施这样的限制，最近一直在重新考虑他们的立场和解除批发禁令。 1法律和监管内容旨在标记问题，为与其他企业利益相关者的讨论做准备，而不是打算在必要时取代法律咨询。 不断演变的CISO角色 CISO角色需要不断发展，以适应新的企业风险，特别是考虑到发展在这方面的监管。 在制定欧盟人工智能法案的背景下，一些人将CISO描述为“信任大使”。 CISO组织的潜力现在被认为是开发更广泛的风险方法的催化剂包括对数据收集、使用、治理和基础架构的额外强调。 这些是CISO的责任领域，他们通常不拥有完全或任何权力，技术风险素养，并能为企业使命提供实质性支持。他们也可能要求承担一定程度的责任。 作为对业务和技术都有了解的高级管理人员，CISO很好定位帮助组织驾驭这项新技术带来的风险和机遇 面临历史性机遇 CISO社区面临着一个历史性的机遇全球个人的安全和隐私，超越我们的 组织。 当新技术被引入世界时，安全和隐私通常是事后的想法， 无论是由于商业激励、预算和资源问题，还是仅仅是由于创新。 事实上，这在社交媒体、云、智能手机和许多其他技术之前也发生过。在采用周期的后期引入了安全性和隐私，而不受控制 使用量猛增。 作为一个集体，CISO社区有能力塑造最佳实践并影响未来 这些工具的开发-今天，随着个人的安全和隐私，以及我们的组织，在心里。 最后，在Team8CISO村，我们正在规划未来 关于这个主题的合作项目。 TheChanging 威胁景观 每个人，包括OpenAI等GenAI开发人员，仍然了解技术的全部潜力。虽然一些威胁 看起来很明显，与我们之前看到的相似 风险名单仍然未知。 GenAI迅速引入了新的安全风险，因为它普遍性、易用性、高价值主张和巨大 潜在的业务支持价值。 作为其快速采用曲线的一个例子，ChatGPT在两个月内达到了1亿用户，订单为比以前的任何技术都快。 与传统的AI/ML技术相比，GenAI更易于使用： •直观的互动和新颖的内容生产模式-AI中的一种新方法与交互式聊天系统，提供“抛光”结果。最终用户能够在聊天界面比早期平台更容易提高未来的准确性。 •所有人都可以访问-许多GenAI技术是免费或低成本的，向公众开放，并且可以访问任何有互联网连接的人。 •Easeofuse-许多GenAI