Ob KI zugelassen und übernommen werden soll, mit Erkenntnissen aus der öffentlichen Cloud
Die Fähigkeit, Daten besser als die Konkurrenz zu operationalisieren, hat sich für Unternehmen als entscheidender Vorteil erwiesen. Daher münden die scheinbar endlosen Diskussionen über ChatGPT und generative KI schnell in einer Welle zielsicherer Produktveröffentlichungen und der Finanzierung erster Startups. Diese Fähigkeiten stellen Fortschritte um viele Größenordnungen dar, sofern sie sicher, präzise, objektiv usw. funktionieren und skalierbar sind. Dies fühlt sich an wie die Anfangszeit der öffentlichen Cloud, sowohl was den Hype als auch den technischen Vorteil betrifft, aber dieses Mal wird es schwieriger, weil der Sprung so viel größer ist.
Amazon Web Services (AWS) hat SQS im Jahr 2004 eingeführt, gefolgt von S3 und EC2 im Jahr 2006. Wenn wir diese Zeitpunkte als den Beginn der Zeitachse der öffentlichen Cloud bzw. als den Zeitpunkt ihrer breiten Nutzung akzeptieren, dann bedeutet das , dass die Unternehmen, die die öffentliche Cloud bis jetzt noch nicht eingeführt haben, zwei Jahrzehnte Opportunitätskosten in Kauf genommen haben . Im Jahr 2006 war die öffentliche Cloud für regulierte Unternehmen wahrscheinlich zu riskant, aber wie sieht es im Jahr 2016 oder 2026 aus? Wir haben erlebt, dass Finanzinstitute, staatliche Stellen und andere Organisationen, die traditionell eher risikoscheu sind, die öffentliche Cloud für einen Teil oder sogar alle ihrer Applications und Daten nutzen. Die Vorteile – beispielsweise für diejenigen, die lernen, ihre Daten zu operationalisieren und gleichzeitig die zugrunde liegende Technologie zu skalieren – sind so groß, dass es für alle, die noch nicht mit der Einführung begonnen haben, möglicherweise zu spät ist, den verpassten Vorteil noch zu nutzen.
Anders als bei der öffentlichen Cloud haben Unternehmen nicht Jahrzehnte Zeit, Funktionen wie KI zu bewerten und zu übernehmen, wenn sie wettbewerbsfähig bleiben möchten. Dies ist für Unternehmen ein Problem, da die KI-Zeitachse nicht mit ChatGPT beginnt. Die Entwicklungen in diesem Bereich sind zu schnell und die Möglichkeiten scheinen um viele Größenordnungen fortgeschrittener zu sein als das, was alternative Technologien kurzfristig wahrscheinlich bieten werden. Konversations-KI mit vertrauten Benutzeroberflächen wie ChatGPT hat eine schnellere Akzeptanz bei einer vielfältigeren Gruppe von Menschen ermöglicht, ohne dass Spezialkenntnisse erforderlich sind, wie dies bei der öffentlichen Cloud der Fall war und immer noch der Fall ist. Neue Anwender halten es für innovativ, während Kenner des Bereichs auf andere Fortschritte verweisen und sich fragen, warum ihm plötzlich so viele Menschen Aufmerksamkeit schenken.
Wer die Technologie vor der Konkurrenz einführt, wird einen überwältigenden Vorteil haben, wenn sie hält, was sie verspricht. Und es wird ihm Nachsicht gewährt, wenn (nicht falls) er schon früh in der Einführungskurve einen Fehltritt begeht. „Der Bereich befindet sich noch in einem frühen Entwicklungsstadium und wir lernen alle noch dazu, aber hier bei <ACME> bleiben wir führend in diesem spannenden und wettbewerbsintensiven Bereich …“ Generative AI wird wahrscheinlich die Pressemitteilung schreiben und die Märkte werden den rauchenden Krater schnell vergessen, während sie die nächste Iteration belohnen, wie wir es bei den vielen Schlagzeilen zu Verbrauchersicherheit und Datenschutzverletzungen gewohnt sind.
Wie bei der öffentlichen Cloud wird die Einführung ohne Rücksicht auf rechtliche Bedenken sowie Bedenken hinsichtlich der IT, Sicherheit und Compliance erfolgen. Die Vorreiter werden die KI direkt in ihre Prozesse und Produkte integrieren. Dies wird die indirekte Akzeptanz bei den Unternehmen vorantreiben, die noch abwarten, da sie – ob sie es wissen oder nicht – Software oder SaaS verwenden werden, in die KI eingebettet ist. Das bedeutet, dass ihre Daten in diese Systeme gelangen werden, sofern dies nicht bereits geschehen ist. Einige davon werden offensichtlich sein, wie etwa die Tatsache, dass Technologieunternehmen Risiken schnell akzeptieren und die Folgen nach der Bereitstellung abschätzen. Das schwieriger zu handhabende Risiko für Sicherheitsprogramme wird jedoch in KI Applications unterhalb der Wasserlinie liegen, wie wir sie bereits im Finanz- und Versicherungswesen gesehen haben. Wir sehen in der Analyse von Datenschutzverletzungen weiterhin Hinweise darauf, dass das Risikomanagement von Drittanbietern nicht in der Lage ist, die nachgelagerte Datennutzung und die unter der Wasserlinie liegenden Unterdienstleister angemessen zu inventarisieren, insbesondere bei weniger regulierten Datenklassifizierungen, die nicht in den Anwendungsbereich von Bestimmungen wie der DSGVO, dem HIPAA und anderen fallen. Daher wissen Sicherheitsprogramme wahrscheinlich auch nichts über die Verwendung von KI in der Lieferkette ihrer Lieferanten oder verstehen diese nicht.
Angesichts der Aufmerksamkeit, die ChatGPT mit seiner Benutzerfreundlichkeit und Leistung erregt hat, liegt die Wahrscheinlichkeit, dass ein Mitarbeiter geschützte oder vertrauliche Information aus Ihrem Unternehmen an ChatGPT gesendet hat, bei nahezu 100 %. Herzlichen Glückwunsch, Ihr Unternehmen hat generative KI eingeführt, auch wenn Sie Ihre Mitarbeiter gebeten haben, dies nicht zu tun . Dieses Gefühl dürfte Ihnen bekannt vorkommen, denn wahrscheinlich haben Sie sich auch so gefühlt, als Sie erlebt haben, wie jemand in der Entwicklungsabteilung seine Kreditkarte zückte, um die neue Application seines Teams in der öffentlichen Cloud bereitzustellen, und dann vom Unternehmen für die schnellere Markteinführung, den innovativen Ansatz und den Einsatz modernster Technologie belohnt wurde. Wenn man heutzutage in den meisten Umgebungen ein Technologieteam auffordert, die öffentliche Cloud nicht zu verwenden, ist das so, als würde man einen Mitarbeiter auffordern, bei seiner täglichen Arbeit nicht die Google-Suche zu verwenden.
Hier muss die Sicherheit der Einführung einen Schritt voraus sein und sie auf einen risikogerechten Weg lenken. Sie muss ihr Fachwissen nutzen, um ihren Kollegen bei der Entwicklung einer risikogerechten Anlagethese, eines Reifegradmodells und einer Roadmap zu helfen, bevor Dritte und Aufsichtsbehörden versuchen, ihren eigenen Ansatz vorzuschreiben. Bevor Sie sich in die Tiefen des Künstliche Intelligenz Risk Management Framework (AI RMF 1.0) des NIST stürzen und eine Lückenanalyse Ihrer aktuellen Praktiken durchführen, sind hier einige Beispiele für erste Gespräche, die Sicherheitsteams intern und mit ihren Kollegen führen sollten:
- Wie bestimmen wir, wie viel von dem versprochenen Wert geliefert wird, ob erhofft oder unwahrscheinlich? Welche Eigenschaften müssten wir sehen, bevor wir in ein Experiment statt in eine Produktentwicklung oder eine höhere Investitionssumme investieren?
- Wie wahrscheinlich ist es, dass unsere Konkurrenten die Lösung vor uns einführen? Ist bei Erfolg die Weiterführung dieser Strategie für uns die einzige Möglichkeit, die Lücke zu schließen, oder haben sie sich damit einen uneinholbaren Vorteil verschafft?
- Handelt es sich bei dieser Entscheidung um eine Einbahn- oder eine Zweibahntür? Sind mit der Adoption bekannte Risiken verbunden? Welche wesentlichen Auswirkungen werden entstehen, wenn wir neue Risiken eingehen und entdecken?
- Inwieweit können wir diese Technologie intern besitzen und die positive Kontrolle über unsere Daten und Systeme behalten? Verfügen wir über die erforderlichen Talente oder können wir diese mit angemessenen Mitteln beschaffen? Ist es sicherer, sich bei dieser Technologie auf einen Drittanbieter zu verlassen?
Keine dieser Fragen erwähnt ChatGPT oder KI. Sie sind im Allgemeinen ein sinnvoller Gesprächsstarter für jedes risikobasierte Sicherheitsprogramm, um frühe Technologien vor der Einführung zu evaluieren, sei es BYOD (Bring Your Own Device), öffentliche Cloud, Container, maschinelles Lernen oder schließlich KI. Dies war nicht der Ansatz, den viele Teams mit der öffentlichen Cloud verfolgten, und sie waren unvorbereitet und ahnungslos, als sie erkannten, wie häufig diese direkt und indirekt in ihren Organisationen verwendet wurde. Die Bedrohungsakteure brauchten nicht lange, um sich anzupassen, da sie die Eigenschaften der öffentlichen Cloud schneller erlernten und ausnutzten als die meisten Verbraucher – jede Technologie hat eine doppelte Verwendung.
Die Richtung und die Einführung der Technologie lassen sich nur schwer bis unmöglich vorhersagen, aber dass sie sich weiter beschleunigen wird, ist vorhersehbar . Wenn die aktuelle oder eine in naher Zukunft liegende Version der KI an ihre Grenzen stößt und sich nicht weiter entwickelt, oder sich die KI in größeren technischen Maßstäben oder aus Kostengründen als nicht durchführbar erweist, wird sie für Unternehmen bereits einen nutzbaren und investitionswürdigen Zustand erreicht haben. Wenn KI nicht an ihre Grenzen stößt, wird sie wahrscheinlich zu einer erwarteten Investition und einem Mittel zur Interaktion mit Daten, Produkten und Unternehmen werden, wie wir dies bereits in den Bereichen Vertrieb, Marketing, Gesundheitswesen und Finanzen erlebt haben. Daher ist es eine aktuelle – und nicht eine zukünftige – Realität, dass sich Sicherheitsteams mit der Frage auseinandersetzen müssen, wie sie ihre Datensicherheit und ihr Risikomanagement gegenüber Drittanbietern weiterentwickeln können, um mit dieser Technologie Schritt zu halten. Sie müssen mit der bereits zunehmenden Akzeptanz Schritt halten und ihr einen Schritt voraus sein, um nicht noch einmal die Erfahrung machen zu müssen, dass die öffentliche Cloud der Cloud-Sicherheit den Rang abläuft.