請教專家──資料安全篇

 

希捷科技的研究報告《資料脈動:釋放人工智慧的潛能》中指出了企業組織在採用人工智慧(AI)的過程中可能面臨到的種種挑戰,例如缺乏明確的策略、缺少足夠的基礎架構或預算,甚至是缺乏適當的人才。若是想要在AI應用這趟旅程中極大化其所能發揮的潛力,企業組織勢必得克服這些挑戰。

資料安全就是其中一項關鍵的要素。該調查顯示,94%的企業組織認為資料安全對AI應用至關重要。然而,令人擔憂的是,超過10%的受訪者並未定期更新與檢視資料安全策略。

資料衍然成為新型態的貨幣,但如果沒有相應的安全措施,資料外洩等事件可能使公司破產,或甚至使人們的性命遭受威脅。

為了幫助企業組織了解並解決這一方面的AI問題,以下是專家們在線上為您提供的一些建議及實用的提示

 

  1. 我的企業組織若是採用AI,需要在哪些方面作出改變以確保資料的安全性?

希捷科技 鄭萬成

資料的使用越來越常依據其關鍵程度來進行分析,例如:資料無法取用時可能產生哪些嚴重的後果。一般認為,醫療手術的資料比電視節目等串流媒體資料還更加重要。

根據由希捷贊助的IDC《Data Age 2025》研究報告,到了2025年,全球資料領域中約有近九成的資料需要受到一定程度的安全防護,但將只有不到一半的資料會真的受到保護;而將近20%的資料將對我們的日常生活佔有關鍵地位,其中近10%將會是超關鍵。

這表示隨著我們的生活變得更加依賴資料,這些攸關生命的關鍵資料若遭受安全威脅,極有可能產生嚴重的後果,從而使公司破產,或使人們的性命遭受威脅。

從關鍵資料的重要性可以看出,確保資料安全是整個企業組織的責任,而不僅僅是IT和安全專業人員所需擔憂的。

儘管企業看似同意資料安全的重要性,但在實踐上仍然存在差距。我們的研究報告《資料脈動:釋放人工智慧的潛能》顯示,超過10%的企業組織並未定期更新與檢視資料安全策略。

在AI的時代,資料就是力量。很顯然地,隨著AI技術導入的不斷增加,企業組織必須更加關注資料安全,以確保資訊和資料的傳遞順暢且安全無虞。穩固的資料基礎架構將為AI的導入提供強大的基礎,不僅可以處理呈指數增長的資料量,還可以確保資料免遭未經授權的存取。

 

Infinite Analytics公司 Akash Bhatia

有鑑於資料是AI的重要基礎,尤其是對海量的資料而言,資料安全變得至關重要。因此,您需要從保護資料來源開始做起。

如果存在多個資料來源,每個來源都將面臨與安全性相關的獨特挑戰。例如:如果其中一些資料來自端點銷售系統(POS),您如何確保POS系統沒有病毒或特洛伊木馬?或者,如果資料來自社群媒體,又該如何確保各項資料的安全規則有確實地被遵守,以防止類似「劍橋分析個資洩漏」事件的發生?這個例子也許過於極端,但事實上,資料外洩可能為任何企業組織帶來衝擊。

因此,最重要的是要確保企業組織無論是在使用雲端系統或內部部署的基礎架構下,皆採用「資料優先」策略,確保其安全性為重。而現今所有的企業組織都必須盡速做到這一點。

 

APD隸屬於GrowthOps公司Andrew Burgess

假設企業組織有意增加其對外部雲端服務的依賴來處理其建構AI模型所需要的資料量和處理資源的規模,那麼就應該先了解該服務供應商在靜態資料儲存的安全性以及資料傳輸能力。

隨著越來越多的服務供應商證明他們是「安全」且合乎當地法規(例如達到資安監控中心的等級),達到合規性和最佳作業流程的責任機會落在企業組織以及能進入這些環境的專業人員。

駭客在知道相關事件和動作完全是仰賴AI模型資料輸出而得出的決策後,可能以隱蔽的方式修改資料並展開一波全新的攔截式攻擊。

試想AI模型可用來預測需求,且系統可按比例自動調整以滿足相關的需求預測。例如:發電機能夠對來自模型的供應端或需求端訊號做出反應,並在當地觸發動作,進而影響整個網路。

如果您可以利用「假的」輸出來模擬AI模型的結果,那麼機器也可以受到操縱,並自動做出決策,進而帶來災難性的後果,好比說錯誤地回應它所讀到的電流波動。它所導致的事件也許不那麼嚴重,但仍然會發出令人困惑的信號並減弱眾人對該機構的信任。

後者的例子發生在夏威夷,由於對自動化系統的監督不利,或是因為眾人不太了解相關流程,而導致全州的導彈警報被誤觸,當時還曾引起一陣恐慌。

 

  1. 在雲端系統的環境中採用AI的企業組織所面臨最主要的資料安全風險/挑戰為何?企業組織可以做些什麼來解決這些問題?

Viscovery創意引晴 周俊男

其中一項關鍵的安全挑戰是資料上傳及下載時被竊取的風險。

為了盡可能降低此風險,企業組織還應考慮資料加密並採用呼叫API的認證機制來增強其資料安全性。我們也鼓勵進行定期的安全稽核。

而當AI作為組織決策輔助系統,或改善營運流程的工具時,雲端共用平台若發生異常,容易造成大規模的服務受影響,例如某一企業多家分店/分公司共用之平台若發生異常,恐全面性地影響該企業組織的日常營運。

為了盡量減少潛在的資料故障發生,我們建議資料以區域性的方式,分散機房儲存,降低全面癱瘓的風險。

在AI導入的過程中,第三項安全風險是資料可能儲存在境外,尤其是在這個沒有國界的數位時代。

選擇AI服務部署在公有雲上時,需以「該雲端資料庫是否在境內有資料中心機房」為優先考量,尤其是金融產業之資料多無法儲存在境外,只能儲存在境內,而部分國家法規對於機密性較高的個人資料之保存,有地域性的限制。

 

  1. 在操作AI系統時,我該如何在維持系統彈性和確保整個組織的資料安全性之間取得平衡呢?

Infinite Analytics公司 Akash Bhatia

我不認為維持系統彈性和資料安全性有何衝突。追求速度和彈性並不表示我們必須犧牲資料安全性。

確保資料的健全具有至高無上的重要性。如果這會影響速度,那麼就應該考慮增加伺服器/虛擬機,以達到加速目的。

 

  1. AI系統的運用同時也表示我們可以管理更多資料。您可以分享一些能確保企業組織資料安全性的最佳方式嗎?

希捷科技 鄭萬成

從組織的角度來看,定期召開與IT管理團隊的會議來找出潛在問題或漏洞是非常重要的。

我們需要定期檢查資料資產,以確保資料獲得足夠的保護。公司的IT和資料安全政策,也需要定期審查和更新,例如個人自備裝置(BYOD)、網路安全、網際網路存取、遠端存取。

此外,確保資料儲存的解決方案具備企業等級的安全功能也很重要,例如:自加密技術、即時安全抹除和安全下載與診斷。

最後,還要定期進行軟體和硬體更新。

從基礎架構的角度來看,加密、複雜的存取控制,或是進階的資料保護策略等各個方面,很顯然都是確保資料可用且防止未經授權存取的關鍵。

作為資料儲存的領導者和信賴計算組織(TCG)的創始成員,希捷科技一直是資料安全保護的先驅,且仍然是建立和推廣資料安全標準的主要推手。希捷科技為業界提供廣泛選擇,讓業界得以使用各種符合標準的自動加密儲存設備。

透過將Seagate Secure與管理軟體相互結合,企業和最終用戶將能使用功能完整的靜態資料加密解決方案

此外,由於其可擴展性、成本效益和便利性,雲端儲存仍是吸引眾多組織的解決方案。

如果您的企業使用雲端或混合式的雲端儲存模型,則需像部署內部儲存設備一樣採用資料安全解決方案。

儘管您選用的安全控制系統部分取決於您的資料用途和業務需求,但仍有其他需格外注意的事項,包括雲端安全解決方案應該應用的點對點加密、防火牆、操作控制和安全控管措施。

 

APD (隸屬於GrowthOps公司) Andrew Burgess

大型資料集在某些特定資訊隱藏的狀態下,其本質上比小型資料集還更安全,尤其是在建構和調整AI模型所需的原始資料型式下。其原因在於推斷或理解大型資料集所需使用的專業技能和工具可能涉及個人或商業機密。

也許更大的問題在於遵守歐盟GDPR等資料治理規則。

我們可能很難知道原始資料集的資料和模型處理所建立的資料衍生物位於何處,以及這些資料周圍有哪些控制物件。

雖然初級資料可能相當安全,但其所衍生的資料產品很容易在無意中遭受攻擊或違反相關的安全規範。

因此,企業組織應該做的是在事前制定能受制於稽核制度的相關政策及作法,而不是在安全問題發生後的危機時刻才來處理這些問題。

 

Viscovery創意引晴 周俊男

一個完善的AI系統需持續收集資料、訓練、優化,且這些資料必須加以分類管理。作為訓練用的資料在訓練完成後,不需長時間保留在系統上,便可以封存保管,避免資料被駭。

若採取外包方式建置AI系統,需要將資料提供給外包廠商進行AI模型的訓練,這時組織在相關IT政策及合約規範上,必須明確定義資料使用的範圍及限制,並規範雙方權利及義務,避免資料外洩或其他與AI系統不相關的重要資料被攜出。

員工需意識到對於導入AI系統所面臨的潛在資料安全問題,避免將敏感性資料在沒有加密或安全防護下傳遞至外部系統或交付給外部人員。

 

2018-10-29T06:24:40+00:00

Leave A Comment