生成式 AI 和 ChatGPT 企业风险

使企业能够使通过评估生成的AI飞跃风险和机遇，以及作为政策制定 由Team8 CISO村2023年4月 Team8 CISO村是来自世界领先企业的CISO社区。主要该村的重点是促进世界上最著名的公司与分享信息和想法的目标，就工业和技术进行深入的讨论趋势和需求，为各方创造价值和商机。通过帮助Team8识别真正的痛点并了解大型组织的需求，村庄的成员首先要利用由Team8的投资组合专门构建的解决方案公司支持他们的需求。 要联系Team8CISO村，请发送电子邮件cisovillum @ team8. vc W R I T T E N B Y 加迪·埃弗伦CISO - in - ResidenceTeam8 Bobi Gilburd首席创新冰Team8 C O N T R I B U T O R S 阿米特·阿什肯纳齐以色列前法律顾问国家网络理事会，以及之前法务部主任以色列隐私保护局 Cassio Goldschmidt首席信息安全的冰 大卫·B·克罗斯安全与工程Executive Gal Tal - HochbergCTO, Team8 乔纳森·布雷弗曼安全和隐私执行官 马克西姆（Max）科瓦尔斯基安全和隐私执行官 理查德·巴雷托icer首席信息安全官,进展 Sounil Yu首席信息安全冰，JupiterOne 许多Team8 CISO村成员，以及来自更广泛社区的其他人，协助撰写、审阅和编辑本文档。这些是谁可以公开分享他们的名字：Aaron Dubin, Adam Shostack, Alyssa米勒，阿米尔·齐伯斯坦，安·约翰逊，阿耶·戈雷茨基，阿夫纳·兰格特，阿维·本-梅纳赫姆，布莱恩·巴里奥斯，王晨曦，戴夫·鲁德杰，迪克拉·萨阿德·拉莫特，多伦Shikmoni, Gidi Farkash, Imri Goldberg, Jef rey DiMuro, Larry Seltzer, Liran格林伯格，ADM Michael S. Rogers USN（ret），Michal Kamensky，Nadav Zafrir，Nate Lee Oren Gur Reet Kaur Roy Heldshtein Sara Lazarus Ric Longenecker,Susanne Senof, Tomer Gershoni 执行摘要和钥匙拿走 高管，其中包括CISO，发现自己落后于技术采用曲线，而员工和业务部门正在迅速采用生成人工智能(GenAI)技术。 CISO提出的关键问题是：谁在我的组织中使用这项技术，目的是什么？当员工与GenAI互动时，如何保护企业信息（数据）？我管理底层技术的安全风险？如何平衡s与ER技术的价值？•通过为组织制定定制政策，可以管理与GenAI相关的风险，在与相关利益相关者合作。虽然GenAI固有的许多风险存在于任何基于云或AI / ML的技术中，但新的政策假设需要广泛采用GenAI，包括非技术人员。•企业中与GenAI相关的最严重的风险来自四个潜在问题：>GenAI对内部运营和流程的影响。>信任第三方安全的必要性。›数据泄漏风险虽然确实存在，但在媒体上被不必要地炒作。• These risks can be managed by the application of following strategies:>识别相关风险及其对组织的影响；>设置组织政策，说明如何以及谁可以使用这些工具，以缓解上述问题风险达到可接受水平；>根据其安全性和策略可定制性选择合适的GenAI提供商客户，例如选择退出和数据保留，以及；>检查企业控制下的潜在本地替代品。 如何阅读本文档 本文档旨在为CISO、安全从业人员和其他人提供可操作的工具了解并传达GenAI对组织和相关法律的安全影响以及他们应该与其他企业利益相关者讨论的合规风险。 它支持有关GenAI的实施，集成和使用的决策，以便编写允许安全和可靠地使用这项新技术的组织政策。 可以以书面顺序阅读，以了解GenAI威胁和政策考虑因素，如一个与组织利益相关者讨论这种理解的框架，最后将它们应用于组织的GenAI安全策略。 或者，为了实现特定的目标，可以按照最为了读者实现他们的目标。 要了解生成式AI安全影响并构建威胁矩阵：阅读更改威胁格局，GenAI引入的新企业风险，以及参与工程团队和威胁建模。 与组织利益相关者(董事会、管理层、从业者和产品组织):阅读企业GenAI和ChatGPT政策注意事项和参与工程团队和威胁建模。 编写GenerativeAI/ChatGPT安全策略并做出风险决策：阅读企业GenAI和ChatGPT政策注意事项、风险决策以及示例GenAI和ChatGPT政策模板。 让我们谈谈 邀请您与Team8联系并讨论此主题和其他主题。反馈，公开讨论， 欢迎听取简报。 您也被邀请与我们合作未来的CISO村合作项目。 我们最近的一些出版物： CISO社区回复：CISA RFI网络事件报告或关键基础设施《2022年法案》 正在考虑的关于这一主题的未来合作项目包括： •企业可以引入的GenAI安全控制•为企业开发GenAI最佳实践和框架（安全/安全/风险缓解）。 要联系Team8CISO村，请发送电子邮件cisovillum @ team8. vc 执行摘要和主要收获如何阅读本文档让我们谈谈455Contents6Introduction7不断演变的CISO角色9面临历史性机遇不断变化的威胁格局GenAI引入的新企业风险企业GenAI和ChatGPT政策注意事项我们需要GenAI或ChatGPT特定的政策吗？修订现有政策9101118181919202021制定新政策共同（和共同）的责任工作流程注意事项我们应该如何解释OpenAI的明确声明关于使用提示信息进行培训？制定风险决策22232526272727272728283031参与工程团队和威胁建模Conclusion附录1 -开源/本地替代品附录2 -示例GenAI和ChatGPT策略模板Purpose背景企业风险公司政策可接受使用政策GenAI和ChatGPT实施和集成指南附录3 -未来潜在安全控制选项附录4 -企业用例附录5 -策划进一步阅读32 Introduction 许多企业及其员工已经在使用ChatGPT，Bard、PaLM、Copilot和其他生成AI (GenAI)或大型语言模型(LLM)和CISO现在正在使用其团队识别和评估相关企业风险。We will在本文中将各种技术和模型称为“GenAI”为了简单。 GenAI，特别是ChatGPT，作为强大的工具在企业中越来越受欢迎简化通信，编写代码，生成图像，音频和视频，增强客户服务，撰写文件并进行初步研究，并在其他日期进行改进-今天的活动。 然而，与任何技术一样，GenAI的使用也会带来一系列的安全风险、威胁和组织必须仔细考虑的影响。 GenAI一直是安全领域的首要问题之一高管们在2023年前几个月，并且一直是由我们的Team8 CISO村社区的成员优先考虑制作关于这一主题的联合文件。 CISO提出的关键问题是：谁在我的组织中使用这项技术，目的是什么？当员工与GenAI互动时，我如何保护企业信息（数据）？管理底层技术的安全风险？如何平衡s与重视ER的技术？ 本文档提供了有关风险的信息，并建议了安全团队和CISO的最佳实践可以在自己的组织中利用，并作为社区传福音的行动号召并进一步参与该主题。 •我们将探索潜在的风险和威胁与在企业环境中使用GenAI相关，专注于技术方面，以及由此产生的一些法律和监管风险。我们将进一步讨论威胁建模，参与工程团队以及内部部署或开源替代品。 •我们将提供可操作的建议企业如何才能全面方法，包括制定组织政策和行动计划，以及样本政策，这样他们就可以确保他们以安全和安全的方式使用GenAI。 不幸的是，许多CISO发现自己在GenAI采用曲线和风险被视为业务障碍而不是业务推动者。因此，CISO可能会感到压力广泛允许GenAI，但不分青红皂白地这样做可能会创造不合理的风险。 除了使企业达到GenAI使用标准，制定书面政策，以及实施安全控制，作为安全领导者，我们有一个独特的机会来促进和实现企业通过安全可靠的技术创新。 考虑到GenAI为所有企业提供的生产率提升，组织需要business - enabled alternative to rejection the use of the technology totally. Organizations that have最初实施这样的限制，最近一直在重新考虑他们的立场和解除批发禁令。 不断演变的CISO角色 CISO角色需要不断发展，以适应新的企业风险，特别是考虑到发展在这方面的监管。 在制定欧盟人工智能法案的背景下，一些人将CISO描述为“信任大使”。CISO组织的潜力现在被认为是开发更广泛的风险方法的催化剂包括对数据收集、使用、治理和基础架构的额外强调。 这些是CISO的责任领域，他们通常不拥有完全或任何权力，技术风险素养，并能为企业使命提供实质性支持。他们也可能要求承担一定程度的责任。 作为对业务和技术都有了解的高级管理人员，CISO很好定位帮助组织驾驭这项新技术带来的风险和机遇 面临历史性机遇 CISO社区面临着一个历史性的机遇全球个人的安全和隐私，超越我们的组织。 当新技术被引入世界时，安全和隐私通常是事后的想法，无论是由于商业激励、预算和资源问题，还是仅仅是由于创新。 事实上，这在社交媒体、云、智能手机和许多其他技术之前也发生过。在采用周期的后期引入了安全性和隐私，而不受控制使用量猛增。 作为一个集体，CISO社区有能力塑造最佳实践并影响未来这些工具的开发-今天，随着个人的安全和隐私，以及我们的组织，在心里。 最后，在Team8 CISO村，我们正在规划未来关于这个主题的合作项目。 The Changing威胁景观 每个人，包括OpenAI等GenAI开发人员，仍然了解技术的全部潜力。虽然一些威胁看起来很明显，与我们之前看到的相似风险名单仍然未知。 GenAI迅速引入了新的安全风险，因为它普遍性、易用性、高价值主张和巨大潜在的业务支持价值。 作为其快速采用曲线的一个例子，ChatGPT在两个月内达到了1亿用户，订单为比以前的任何技术都快。 与传统的AI / ML技术相比，GenAI更易于使用： •直观的互动和新颖的内容生产模式- AI中的一种新方法与交互式聊天系统，提供“抛光”结果。最终用户能够在聊天界面比早期平台更容易提高未来的准确性。•所有人都可以访问-许多GenAI技术是免费或低成本的，向公众开放，并且可以访问任何有互联网连接的人。• Ease of use-许多GenAI技术被设计为所有职位和职位的人都很容易角色，使用自然语言，就像与另一个人交谈一样。•速度和敏捷性-系统可以比以前更快地生成信息，源代码和数据可能通过手动搜索，查询和索引。它可以合成数百万页的信息成一个段落。•与第三方应用程序集成-许多当前的日常应用程序，如Microsoft冰365套件的工具和浏览器插件，指向一个现实，即GenAI将在我们的日常生活。 新企业风险 由GenAI介绍 了解企业环境中潜在的GenAI风险、威胁和影响的范围已成为a priority, and must be carefully considered. These can be broken down to technological or process现有风险、法律和监管风险以及一些全新风险的延伸。 为了提供这些风险的概述，我们在下面创建了参考表，并按风险水平，截至2023年4月(免责声明：每个组织都是独一无二的，这些都是ered作为指导方针)。 企业可以采取积极措施，最大限度地减少GenAI使用的潜在负面影响，并确保他们以安全、合规和负责任的方式利用这一强大的工具。 例如，组