生成式 AI 和 ChatGPT 企业风险

A C I S O 'S G U I D E生成 AI和 ChatGPT企业风险使企业能够使通过评估生成的 AI 飞跃风险和机遇 ， 以及作为政策制定由 Team8 CISO 村2023 年 4 月 Team8 CISO 村是来自世界领先企业的 CISO 社区。主要该村的重点是促进世界上最著名的公司与分享信息和想法的目标 ， 就工业和技术进行深入的讨论趋势和需求 ， 为各方创造价值和商机。通过帮助 Team8 识别真正的痛点并了解大型组织的需求 ，村庄的成员首先要利用由 Team8 的投资组合专门构建的解决方案公司支持他们的需求。要联系 Team8 CISO 村 ， 请发送电子邮件cisovillum @ team8. vc免责声明:这些材料仅是为了方便而提供的 ， 不得用于任何目的。本文档的内容不得解释为法律或商业建议 ； 请咨询您自己的律师or business advisor for any such legal and business advice. The contribution of any of the authors, 评论者,或参与制作本文件的任何其他人均不以任何方式代表其雇主。本文档在署名 - 非商业 4.0 国际 (CC BY - NC 4.0) 许可证下发布。 W R I T T E N B Y加迪 · 埃弗伦Bobi GilburdCISO - in - ResidenceTeam8首席创新冰Team8C O N T R I B U T O R S阿米特 · 阿什肯纳齐Cassio Goldschmidt以色列前法律顾问首席信息安全的冰国家网络理事会 ， 以及之前法务部主任以色列隐私保护局大卫 · B · 克罗斯Gal Tal - Hochberg安全与工程ExecutiveCTO, Team8乔纳森 · 布雷弗曼马克西姆 （ Max ） 科瓦尔斯基安全和隐私执行官安全和隐私执行官理查德 · 巴雷托Sounil Yuicer 首席信息安全官,进展首席信息安全冰 ， JupiterOne许多 Team8 CISO 村成员 ， 以及来自更广泛社区的其他人 ，协助撰写、审阅和编辑本文档。这些是谁可以公开分享他们的名字 ：Aaron Dubin, Adam Shostack, Alyssa米勒 ， 阿米尔 · 齐伯斯坦 ， 安 · 约翰逊 ， 阿耶 · 戈雷茨基 ， 阿夫纳 · 兰格特 ， 阿维 · 本 -梅纳赫姆 ， 布莱恩 · 巴里奥斯 ， 王晨曦 ， 戴夫 · 鲁德杰 ， 迪克拉 · 萨阿德 · 拉莫特 ， 多伦Shikmoni, Gidi Farkash, Imri Goldberg, Jef rey DiMuro, Larry Seltzer, Liran格林伯格 ， ADM Michael S. Rogers USN （ ret ） ， Michal Kamensky ， Nadav Zafrir ，Nate Lee Oren Gur Reet Kaur Roy Heldshtein Sara Lazarus Ric Longenecker,Susanne Senof, Tomer Gershoni 执行摘要和钥匙拿走高管 ， 其中包括 CISO ， 发现自己落后于技术采用曲线 ， 而员工和业务部门正在迅速采用生成人工智能 (GenAI) 技术。CISO 提出的关键问题是 ： 谁在我的组织中使用这项技术 ， 目的是什么 ？当员工与 GenAI 互动时 ， 如何保护企业信息 （ 数据 ） ？我管理底层技术的安全风险 ？ 如何平衡 s 与ER 技术的价值 ？• 通过为组织制定定制政策 ， 可以管理与 GenAI 相关的风险 ， 在与相关利益相关者合作。虽然 GenAI 固有的许多风险存在于任何基于云或 AI / ML 的技术中 ， 但新的政策假设需要广泛采用 GenAI ， 包括非技术人员。• 企业中与 GenAI 相关的最严重的风险来自四个潜在问题 ：> GenAI 对内部运营和流程的影响。> 信任第三方安全的必要性。›数据泄漏风险虽然确实存在 ， 但在媒体上被不必要地炒作。• These risks can be managed by the application of following strategies:> 识别相关风险及其对组织的影响 ；> 设置组织政策 ， 说明如何以及谁可以使用这些工具 ， 以缓解上述问题风险达到可接受水平 ；> 根据其安全性和策略可定制性选择合适的 GenAI 提供商客户 ， 例如选择退出和数据保留 ， 以及 ；> 检查企业控制下的潜在本地替代品。4生成式 AI 和 ChatGPT 企业风险 如何阅读本文档本文档旨在为 CISO 、安全从业人员和其他人提供可操作的工具了解并传达 GenAI 对组织和相关法律的安全影响以及他们应该与其他企业利益相关者讨论的合规风险。它支持有关 GenAI 的实施 ， 集成和使用的决策 ， 以便编写允许安全和可靠地使用这项新技术的组织政策。可以以书面顺序阅读 ， 以了解 GenAI 威胁和政策考虑因素 ， 如一个与组织利益相关者讨论这种理解的框架 ， 最后将它们应用于组织的 GenAI 安全策略。或者 ， 为了实现特定的目标 ， 可以按照最为了读者实现他们的目标。要了解生成式 AI 安全影响并构建威胁矩阵 ：阅读更改威胁格局 ， GenAI 引入的新企业风险 ， 以及参与工程团队和威胁建模。与组织利益相关者 (董事会、管理层、从业者和产品组织):阅读企业 GenAI 和 ChatGPT 政策注意事项和参与工程团队和威胁建模。编写 Generative AI / ChatGPT 安全策略并做出风险决策 ：阅读企业 GenAI 和ChatGPT 政策注意事项、风险决策以及示例 GenAI 和 ChatGPT 政策模板。让我们谈谈邀请您与 Team8 联系并讨论此主题和其他主题。反馈 ， 公开讨论 ，欢迎听取简报。您也被邀请与我们合作未来的 CISO 村合作项目。我们最近的一些出版物 ：CISO 指南 ：法律风险和负债 ”CISO 社区回复 ： CISA RFI网络事件报告或关键基础设施《 2022 年法案》C I S O C O M M U N I T Y R E S P O N S EACISO’SGUIDECISCIAS O 'RS GFUII DoEn 网络事件法律风险和负债Critical 的报告2022 年基础设施法案关于 CISO 的手册聊天前需要知道与总法律顾问由 T e a m 8 C I S O 村与 SINET 合作。2022 年 11 月由 Team8 CISO 村2022 年 12 月正在考虑的关于这一主题的未来合作项目包括 ：• 企业可以引入的 GenAI 安全控制• 为企业开发 GenAI 最佳实践和框架 （ 安全 / 安全 / 风险缓解 ） 。要联系 Team8 CISO 村 ， 请发送电子邮件cisovillum @ team8. vc5生成式 AI 和 ChatGPT 企业风险 C O N T E N T S执行摘要和主要收获如何阅读本文档让我们谈谈455Contents6Introduction7不断演变的 CISO 角色9面临历史性机遇不断变化的威胁格局GenAI 引入的新企业风险企业 GenAI 和 ChatGPT 政策注意事项我们需要 GenAI 或 ChatGPT 特定的政策吗 ？修订现有政策9101118181919202021制定新政策共同 （ 和共同 ） 的责任工作流程注意事项我们应该如何解释 OpenAI 的明确声明关于使用提示信息进行培训 ？制定风险决策22232526272727272728283031参与工程团队和威胁建模Conclusion附录 1 - 开源 / 本地替代品附录 2 - 示例 GenAI 和 ChatGPT 策略模板Purpose背景企业风险公司政策可接受使用政策GenAI 和 ChatGPT 实施和集成指南附录 3 - 未来潜在安全控制选项附录 4 - 企业用例附录 5 - 策划进一步阅读326生成式 AI 和 ChatGPT 企业风险 Introduction许多企业及其员工已经在使用 ChatGPT ，Bard 、 PaLM 、 Copilot 和其他生成 AI (GenAI) 或大型语言模型 (LLM) 和 CISO 现在正在使用其团队识别和评估相关企业风险。We will在本文中将各种技术和模型称为 “GenAI ”为了简单。GenAI ， 特别是 ChatGPT ， 作为强大的工具在企业中越来越受欢迎简化通信 ， 编写代码 ， 生成图像 ， 音频和视频 ， 增强客户服务 ， 撰写文件并进行初步研究 ， 并在其他日期进行改进 -今天的活动。然而 ， 与任何技术一样 ， GenAI 的使用也会带来一系列的安全风险、威胁和组织必须仔细考虑的影响。GenAI 一直是安全领域的首要问题之一高管们在 2023 年前几个月 ， 并且一直是由我们的 Team8 CISO 村社区的成员优先考虑制作关于这一主题的联合文件。CISO 提出的关键问题是 ： 谁在我的组织中使用这项技术 ， 目的是什么 ？当员工与 GenAI 互动时 ， 我如何保护企业信息 （ 数据 ） ？管理底层技术的安全风险 ？ 如何平衡 s 与重视 ER 的技术 ？本文档提供了有关风险的信息 ， 并建议了安全团队和 CISO 的最佳实践可以在自己的组织中利用 ， 并作为社区传福音的行动号召并进一步参与该主题。• 我们将探索潜在的风险和威胁与在企业环境中使用 GenAI 相关 ，专注于技术方面 ， 以及由此产生的一些法律和监管风险。我们将进一步讨论威胁建模 ， 参与工程团队以及内部部署或开源替代品。• 我们将提供可操作的建议企业如何才能全面方法 ， 包括制定组织政策和行动计划 ， 以及样本政策 ，这样他们就可以确保他们以安全和安全的方式使用 GenAI 。7生成式 AI 和 ChatGPT 企业风险 不幸的是 ， 许多 CISO 发现自己在GenAI 采用曲线和风险被视为业务障碍而不是业务推动者。因此 ， CISO 可能会感到压力广泛允许 GenAI ， 但不分青红皂白地这样做可能会创造不合理的风险。除了使企业达到 GenAI 使用标准 ， 制定书面政策 ， 以及实施安全控制 ， 作为安全领导者 ， 我们有一个独特的机会来促进和实现企业通过安全可靠的技术创新。考虑到 GenAI 为所有企业提供的生产率提升 ， 组织需要business - enabled alternative to rejection the use of the technology totally. Organizations that have最初实施这样的限制 ， 最近一直在重新考虑他们的立场和解除批发禁令。1法律和监管内容旨在标记问题 ， 为与其他企业利益相关者的讨论做准备 ， 而不是打算在必要时取代法律咨询。8生成式 AI 和 ChatGPT 企业风险 不断演变的 CISO 角色CISO 角色需要不断发展 ， 以适应新的企业风险 ， 特别是考虑到发展在这方面的监管。在制定欧盟人工智能法案的背景下 ， 一些人将 CISO 描述为 “信任大使 ” 。CISO 组织的潜力现在被认为是开发更广泛的风险方法的催化剂包括对数据收集、使用、治理和基础架构的额外强调。这些是 CISO 的责任领域 ， 他们通常不拥有完全或任何权力 ，技术风险素养 ， 并能为企业使命提供实质性支持。他们也可能要求承担一定程度的责任。作为对业务和技术都有了解的高级管理人员 ， CISO 很好定位帮助组织驾驭这项新技术带来的风险和机遇面临历史性机遇CISO 社区面临着一个历史性的机遇全球个人的安全和隐私 ， 超越我们的组织。当新技术被引入世界时 ， 安全和隐私通常是事后的想法 ，无论是由于商业激励、预算和资源问题 ，