Oavsett var i världen jag befinner mig pratar alla om generativ artificiell intelligens (AI). Det är uppenbart att detta är den viktigaste nyheten 2023 för aktiemarknaden, teknikföretag, säkerhetsproffs på RSA-konferensen och teknikbranschen.
Det är nästan omöjligt att hålla jämna steg med den växande listan över generativa AI-verktyg som släpps och uppdateras under 2023. De flesta av dem har gratisversioner som är tillgängliga på internet via en webbläsare – från välkända Chat GPT och Bard till hundratals roliga verktyg att leka med till generativa AI-verktyg för utvecklare och mycket mer.
Det jag oroar mig för är inte Gen-AI-verktygens mångfald, produktivitetsvinster eller andra många fördelar.
Det handlar snarare om huruvida dessa nya verktyg nu fungerar som en slags trojansk häst för företagen.
Tar slutanvändarna saken i egna händer genom att använda dessa appar och strunta i policyer och rutiner för acceptabel användning av icke-godkända appar under processen? Jag tror att svaret för många organisationer är ja.
Policyer som förbjuder användning av generativ AI finns sannolikt inte ens i vissa organisationer, så slutanvändare kanske tekniskt sett inte ens bryter mot några regler. I andra fall kan tillämpningen av policyer för acceptabel användning, säkerhet, data eller integritet vara slapp eller obefintlig.
Den verkliga frågan är denna: Vad gör cio:er och ciso:er när det gäller styrning för att hantera den flod av generativa AI-appar som kommer till dem medan vi pratar? Utan tvekan vill alla chefer vara kända som innovativa och ”möjliggörare” av ny teknik som ger effektivitet och andra fördelar.
Som ciso i Michigan fick jag nästan sparken för att jag hade lagt in veto mot ett WiFi-projekt för 20 år sedan, så jag lärde mig den här läxan på det hårda sättet. I vår nuvarande miljö vill väldigt få ledare bli kända för att vara emot generativ AI, så hur kan vi hantera detta?
Vad kan gå fel med AI som skugg-it?
Innan vi går in på vad som händer just nu i globala företag när det gäller användningen av generativa AI-verktyg måste vi ta en kort omväg för att ta itu med frågan: vilka är problemen med skugg-it?
Det finns dussintals bra studier som visar vilka faror som följer med skugg-it. Några av problemen är minskad kontroll över känsliga data, en ökad attackyta, risk för dataförlust, efterlevnadsproblem och ineffektiv dataanalys.
Ja, det finns många andra säkerhets-, integritets- och juridiska problem som kan uppstå med skugg-it. Men det som oroar mig mest är den häpnadsväckande tillväxten av generativa AI-appar – och hur snabbt dessa appar börjar användas av en mängd olika anledningar. Om internet bäst kan beskrivas som en accelerator för både gott och ont – vilket jag tror är sant – så ökar generativ AI denna acceleration i båda riktningarna.
Många menar att införandet av generativa AI-appar bäst kan jämföras med internets tidiga dagar, med potential för en global tillväxt utan motstycke. Det som är tydligt just nu är att företag som erbjuder AI-möjligheter får mest uppmärksamhet och påskyndar införandet.
Utöver Chat GPT:s rekordstora ökning till 100 miljoner användare, tillsammans med 1,6 miljarder besök på webbplatsen i juni 2023, misstänker jag att studier kommer att publiceras senare i år som visar snabb generativ AI-tillväxt i många företag, till skillnad från något vi någonsin har sett tidigare. Vi talar om verkliga spelförändrare.
Genuin oro för generativ AI och säkerhet
Det är tydligt för mig att chefer nu tänker mer på den här frågan (jämfört med för sex månader sedan) och konsekvenserna för deras data.
Oron växer när det gäller användningen av kostnadsfria generativa AI-verktyg som också kan medföra problem med licenser, upphovsrätt, juridik, immateriella rättigheter, felaktig information och annat.
Den övergripande utmaningen med att hantera slutanvändarnas beteende är inte ny. Säkerhets- och teknikchefer har i årtionden försökt att möjliggöra och stödja slutanvändare i företag samtidigt som de hanterar och säkrar data.
Men i en till synes oändlig dragkamp om kontrollen över vem som ser vilken data, när och hur, erbjuder Chat GPT och andra generativa AI-appar övertygande nya skäl att gå bortom företagsauktoriserade applikationer för att slutföra affärsuppgifter.
Om du undrar om generativa AI-appar kvalificerar sig som skugg-it beror det som alltid på din situation. Om applikationen är korrekt licensierad och all data stannar inom ramen för organisationens säkra kontroll kan generativ AI passa bra in i företagets portfölj av godkända appar. Google säljer till exempel Vertex AI, som kan säkerställa att all data från den offentliga eller privata sektorn är konfigurerad för att stanna inom ditt företag. Liknande erbjudanden kommer från andra företag.
De flesta organisationer kämpar fortfarande med implementering
Men köpta applikationer är inte vad jag pratar om. Gratisversionen av Google Bard eller OpenAI:s Chat GPT eller andra generativa AI-appar har sina egna villkor som sannolikt inte matchar det språk som föredras av din organisations jurister. Och hur skyddas data som matas in i systemet? Slutligen är det oklart vem som har rätt till upphovsrätt eller äganderätt till AI-genererade verk. Hur används resultaten i affärsprocesser?
Jag begränsar denna diskussion till gratis generativa AI-appar som är tillgängliga för slutanvändare på internet. Du kanske tänker: ”Köp bara licensen för företagsversionen om du gillar en produkt.” (Använd till exempel Google Vertex AI i stället för Google Bard.) På den punkten kan vi vara överens. Men många människor (och företag) kommer inte att göra det, åtminstone inte till en början.
Enkelt uttryckt är det svårt att konkurrera med gratis. De flesta organisationer går långsamt fram när det gäller att skaffa ny teknik, och denna budgeterings- och implementeringsprocess kan ta månader eller år.
Slutanvändare, som sannolikt redan bryter mot policyer genom att använda dessa kostnadsfria generativa AI-verktyg, är i allmänhet ovilliga att gå samman och insistera på att företagets cto (eller andra chefer) köper nya produkter som kan kosta miljontals dollar för företagsanvändning över tid. Den avkastningen kan komma under de närmaste åren, men under tiden experimenterar de med gratisversioner eftersom alla gör det.
Vad kan göras för att styra data i en tid av generativ AI?
Jag vill erbjuda några potentiella lösningar på de frågor jag har tagit upp. Vissa läsare kanske tänker att vi redan har hanterat den här frågan om skugg-it för flera år sedan _ det här är ett klassiskt CASB-problem (Cloud Access Security Broker).
Till stor del skulle de ha rätt. Företag som Netskope och Zscaler, som är kända för att erbjuda CASB-lösningar i sina produktsviter, erbjuder verktyg för att hantera företagspolicyer för hantering av generativa AI-appar.
Utan tvekan finns det andra lösningar som kan hjälpa till att hantera generativa AI-appar från ledande CASB-leverantörer, och den här artikeln ger fler potentiella CASB-alternativ. Dessa CASB-lösningar måste dock driftsättas och konfigureras på rätt sätt för att CASB ska kunna bidra till styrningen.
För att vara tydlig: CASB-verktygslösningar löser inte alla problem med generativa AI-appar. Organisationer måste fortfarande ta itu med andra frågor relaterade till licensiering, applikationsspridning, säkerhets- och sekretesspolicyer, procedurer och mer.
Det finns också utbildningsaspekter, produktutvärderingar och hantering av affärsarbetsflöden att ta hänsyn till. Enkelt uttryckt, vem undersöker de olika alternativen och optimerar vilka generativa AI-metoder som är mest meningsfulla för din offentliga eller privata organisation eller för ett visst affärsområde?
Insatserna har aldrig varit högre när det gäller att fatta beslut om säkerhet
Dessa CASB-verktyg kan dock utgöra grunden för att genomdriva policyer och förfaranden som är tillåtna för användning av generativa AI-appar. Jag är rädd att detta tidskrävande styrningsarbete inte görs på ett genomtänkt sätt, om ens alls, i många organisationer inom den offentliga och privata sektorn. Enligt min uppfattning har vi gått in i en fas där slutanvändarna är hänförda av generativ AI och kommer att vara det under en (kanske lång) säsong. De experimenterar med olika kostnadsfria generativa AI-verktyg, som har en verklig potential att dramatiskt förändra deras produktivitet, utan att tänka så mycket på de potentiella negativa konsekvenserna för säkerhet, integritet och annat.
Historien upprepar sig. Precis som tidigare säkerhetschefer hanterade ny teknik som WiFi-nätverk, molntjänster, byod-policyer och IoT-enheter, måste säkerhetsproffs ta sig an denna utmaning och försöka möjliggöra det som är bra och inaktivera det som är dåligt med ny generativ AI-teknik. Vem som fattar besluten om vad som är tillåtet och inte är ett affärsbeslut som varje organisation måste arbeta sig igenom. Men en sak är klar: insatserna har aldrig varit högre.