自2022年11月 ChatGPT 發佈提供給大眾使用後,才短短發佈五天的時間就超過100萬使用者,經過半年時間 2023 年 6 月 ChatGPT 就已經有1億積極的使用者,光速般的現象,不可諱言 AI 人工智慧已進入我們日常生活、工作領域,也逐漸滲透至每個行業組織內。我們思考一下 「企業組織的工作內容,是否 AI 可以來協助呢?」。
國際電腦稽核協會 ( ISACA ) 台灣分會, 今年七月參加 InfoSec Taiwan 2024 演講,此演講主題為AI革命的前景與風險,由現任中華民國電腦稽核協會理事暨專業發展委員會主委,同為兆益數位總經理莊盛祺 ( David Chuang ) 來進行分享,David 是一位超過三十年時間,沉浸在資訊、稽核、審計與管理風險、控制管理工作的環境,也歷經資訊、稽核多個重要里程碑的資深工作者。莊盛祺總經理表示,當企業擁有最大化 AI 人工智慧價值的同時,管理者該要如何具備認知辨別風險,將AI風險降至最低是現階段的一門課題,因此他這次演講與大家分享三件事情,辨別AI的風險與回報、採用持續風險管理的方法,以及建立AI安全計劃。
識別AI的風險
David 表示將系統應用導入企業的前置作業,IT 資訊人員會謹慎仔細進行評估、測試與確認,同理將 AI 應用於企業組織內,我們也需提前識別 AI 可能會產生的風險,風險範疇很廣也細微,他分享 10 個識別AI風險的關鍵,分別為社會風險、智慧財產權洩露和失效、所有權無效、網路安全和韌性衝擊、內部許可權結構薄弱、技能差距、過度反應、預期和非預期使用、數據完整性,以及責任。
我們以 10 個識別 AI 風險的關鍵中的「內部許可權結構薄弱」說明,AI 優化企業內部系統,例如企業ERP資源規劃、定價模型或是庫存系統等,這些多數是商業企業會思考採用,將人工智慧應用納入其中一部分,但是有這些智能工具後,企業員工有可能會透過此工具詢問其他同事的薪資或是企業內敏感資訊等,因此避免企業內部許可權 (使用權) 結構薄弱,必須強化,David 表示。他對於識別AI風險的關鍵,進一步補充現今已經發生有些不法人員利用 AI 人工智慧作為犯罪工具,例如透過AI加速編寫惡意程式、生成出駭客腳本並且發動勒索軟體攻擊,甚至製造虛假資訊,偽造企業 CEO 的影像或聲音等,也呼籲企業組織負責 AI 人工智慧應用單位,需密切關注產官學研究的人工智慧最新發展動態、規範與法規。
持續性風險管理方法
識別 AI 的風險,有初步的概念後,David 接續分享採用持續性風險管理方式,應因 AI 可能帶來的風險,他強調框架應用是一個很好的採用風險管理的方式,例如,美國國家標準與技術研究院(NIST)的AI風險管理框架 ( AI RMF 1.0)或是ISACA今年 ( 2024 ) 正式發布最新的數位信任生態系框架 ( Digital Trust Ecosystem Framework ),也有提及根據人工智慧 ( AI ) 的發展生命週期( 設計、開發與部署) 透過信任生態系框架 ( DTEF ) 的結構性方法,以人員、組織、流程、技術四要素,針對人工智慧 ( AI ) 進行有效的監督,降低可能產生的安全危害,也歡迎大家下載閱讀。
採用持續風險方法的過程有三步驟,識別風險、定義風險承受能力,以及監控和管理風險。第一步識別風險是關鍵的起始點,組織內部高階相關人員的參與、循序漸進討論與研究,對於企業可能會有的損失事件情境及對於組織目標可能的影響面,可透調查、訪談或是腦力激盪會議等方式等進行,內容可從 5 階段依循與制定使命目標、確定服務和產品、確定路徑和資產、建立人工智慧價值鏈和評估 AI 的影響。