共计 2282 个字符,预计需要花费 6 分钟才能阅读完成。
政府在采用人工智能(AI),特别是生成式 AI(Gen AI)时,可能会采取更为谨慎的路径,因为他们主要负责处理其人口的个人数据。这也必须包括加强网络防御,因为 AI 技术不断发展,这意味着现在是重新审视基础的时候了。
Capgemini 亚太区 CEO Olaf Pietschner 在接受视频采访时表示,私营和公共部门的组织都对采用生成式 AI 的安全性和伦理问题表示担忧,但后者对这些问题有更高的期望。
Pietschner 表示,政府更倾向于风险规避,因此对生成式 AI 所需的治理和护栏有更高的标准。他们需要提供决策过程的透明度,但这需要 AI 驱动的流程具有一定程度的可解释性。因此,公共部门组织对 AI 模型产生的幻觉、虚假和不准确信息等问题容忍度较低,他补充道。
SailPoint Technologies 的公共部门身份安全策略师 Frank Briguglio 表示,这使得焦点集中在现代安全架构的基础上。当被问及 AI 采用对公共部门安全挑战的变化时,Briguglio 指出,需要更大程度地保护数据并插入控制措施,以确保数据不会暴露给从互联网抓取训练数据的 AI 服务。
特别是,在线身份管理需要范式转变,身份管理安全供应商 CyberArk 的 COO Eduarda Camacho 表示。她补充说,仅使用多因素认证或依赖云服务提供商的原生安全工具已不再足够。此外,仅对特权账户应用更强的保护也是不够的,Camacho 在接受采访时表示。特别是在生成式 AI 和深度伪造的出现使得身份建立变得更加复杂的情况下,这一点尤为重要。
与 Camacho 一样,Briguglio 也支持以身份为中心的方法,他认为这要求组织知道他们的所有数据存储在哪里,并对数据进行分类,以便从隐私和安全的角度进行相应的保护。他们需要能够实时地将政策应用于机器,这些机器也将访问数据,他在视频采访中表示。最终,他强调了零信任的作用,即每次尝试访问网络或数据都被假设为敌对的,并可能危及企业系统。
授予访问权限的属性或政策需要准确验证和治理,业务用户需要对这些属性有信心。Briguglio 指出,同样的原理也适用于数据和需要知道其数据存储位置、如何保护以及谁有权访问的组织。他补充说,应该在整个工作流程或数据流中重新验证身份,在使用凭证访问或传输数据(包括数据传输给谁)时重新评估其真实性。
这强调了公司建立清晰身份管理框架的必要性,Camacho 表示,目前这一领域仍然高度碎片化。她表示,管理访问不应仅基于用户的角色,并敦促企业在假设组织中每个身份都是特权的情况下投资于策略。假设每个身份都可能被泄露,生成式 AI 的出现只会加剧这一点,她补充说。组织可以通过强大的安全政策并实施必要的内部变更管理和培训来保持领先。
这对于公共部门尤为关键,特别是随着更多政府开始在其工作环境中推出生成式 AI 工具。事实上,根据 Capgemini 的一项调查,全球 1,100 名高管中,80% 的政府和公共部门组织在过去一年中增加了对生成式 AI 的投资。约 74% 的人认为该技术在推动收入和创新方面具有变革性,其中 68% 已经在进行一些生成式 AI 试点。然而,只有 2% 的组织在其大多数或所有功能或地点启用了生成式 AI 能力。
尽管该部门的 98% 组织允许其员工在某种程度上使用生成式 AI,但 64% 的组织设置了护栏来管理这种使用。Capgemini 的研究指出,另有 28% 的组织限制这种使用仅限于选定的员工,46% 的组织正在制定有关生成式 AI 负责任使用的指南。然而,当被问及对伦理 AI 的担忧时,74% 的公共部门组织表示对生成式 AI 工具的公平性缺乏信心,56% 的人担心生成式 AI 模型中的偏见可能导致客户使用时出现尴尬的结果。另有 48% 的人强调了对用于训练生成式 AI 应用的基础数据缺乏清晰度。
随着更多政府服务数字化,数据安全的重要性日益增加,增加了在线威胁暴露的风险。新加坡数字发展与信息部(MDDI)上个月透露,2023 财年有 201 起政府相关数据事件,高于上一年的 182 起。该部门将增加归因于更多政府服务为公民和企业数字化导致的数据使用增加。此外,更多政府官员现在意识到需要报告事件,MDDI 表示这可能导致了数据事件的增加。
在其年度更新中,MDDI 表示,在 2023 年 4 月至 2024 年 3 月期间实施了 24 项举措,以保护新加坡公共部门的个人数据。这些举措包括该部门中央隐私工具包中的一个新功能,该功能匿名化了 2000 万份文档,并支持了超过 20 个公共部门中的生成式 AI 用例。政府的数据丢失防护(DLP)工具也得到了进一步改进,该工具旨在防止政府网络和设备中分类或敏感数据的意外丢失。MDDI 表示,所有符合条件的政府系统现在都使用中央账户管理工具,该工具自动删除不再需要的用户账户。这减轻了已离职官员以及威胁行为者使用休眠账户运行漏洞利用的风险。
随着数字化服务的采用增加,从人为疏忽或技术中的安全漏洞暴露数据的风险更高,Pietschner 表示。当出现问题时,如 CrowdStrike 中断所暴露的那样,组织寻求更快地推动创新并更快地采用技术,他说。他解释说,这突出了使用最新的 IT 工具和采用强大的补丁管理策略的重要性,他指出,未修补的旧技术仍然是企业的首要风险。Briguglio 进一步补充说,这也表明了坚持基础的必要性。安全补丁和对内核的更改不应在没有回归测试或首先在沙箱中测试的情况下推出,他说。
尽管在数据事件发生时指导组织如何响应的治理框架同样重要,Pietschner 补充说。例如,公共部门组织透明并披露违规行为至关重要,以便公民知道何时他们的个人数据被暴露,他说。也应该为生成式 AI 应用实施治理框架。
