Warum KI eine gute Governance braucht
25 September 2023 John Paul Cunningham
Im Laufe meiner Karriere habe ich festgestellt, dass ein Prinzip immer noch gilt: Obwohl sich die Technologie ständig ändert, bleiben die Muster, die sie steuern, stabil.
In den letzten 30 Jahren habe ich große technologische Veränderungen erlebt: vom Mainframe-Computing über Desktop-Computing bis hin zum Cloud-Computing, ganz zu schweigen von einer Vielzahl neuer Code-Entwicklungsansätze. Doch trotz dieser Veränderungen habe ich festgestellt, dass die Governance-Muster gleich bleiben. Ich habe immer wieder gesehen, dass Leute diese Muster ignorierten, was darauf hindeutete, dass die neue Methode die vorherigen Kontrollen nicht mehr benötigt. Und ich habe auch gesehen, wie dieselben Menschen – oft schmerzlich – lernen mussten, dass diese Muster tatsächlich wahr und relevant blieben.
Heutzutage ist Künstliche Intelligenz (KI) in aller Munde. Es ist die heiße neue Technologie, über die alle reden. Die schiere Hive-Mind-Verarbeitungsleistung der KI – ihre Fähigkeit, Sprache zu interpretieren und komplexe Logik anzuwenden, um in Sekundenschnelle Antworten zu finden – hat ein immenses Potenzial.
Dennoch darf man nicht vergessen, dass KI noch in den Kinderschuhen steckt. Die Technologie ist unausgereift, untrainiert und unkontrolliert. Wenn es ein produktiver Teil unserer Gesellschaft werden soll, muss es denselben Prinzipien unterliegen, die alle bisherigen Technologien beherrscht haben.
Welche bewährten Muster müssen wir also auf die KI anwenden? Hier sind fünf:
Inhaltsverzeichnis
KI-Zugriffsrechte müssen kontrolliert und begrenzt werden
Das Bewährte Prinzip des geringsten Privilegs müssen auf KI-Engines und jede Software angewendet werden, die sie enthält. Ich wurde von Anbietern von KI-gestützter Technologie angesprochen und nach dem Schlüssel zum Königreich gefragt – der Fähigkeit, in den sensibelsten Bereichen meines Unternehmens zu lesen und zu schreiben. Organisationen müssen bei der Anbindung an KI-gestützte Technologien große Vorsicht walten lassen.
KI ist eine Identität und muss als solche regiert werden
Alle bewährten Muster für Onboarding, Zertifizierung, Rezertifizierung und Kündigung müssen für eine KI-Identität gelten. Das bedeutet, Best Practices zu integrieren privilegierte Zugriffsverwaltung, Just-in-Time-Zugriff und Dienstkontoschutz mit der KI-Engine. Behandeln Sie es wie eine Person und verwalten Sie es wie jede andere Identität in Ihrer Organisation.
KI muss überwacht werden
Eine umfassende Überwachung ist ein bewährtes Muster zur Erkennung von anomalem Verhalten, einschließlich der Identifizierung betrügerischer oder kompromittierter Insider. Bei KI sollte es nicht anders sein. Wie jedes Unternehmen ist es dem Missbrauch durch böswillige Akteure ausgesetzt und kann dazu manipuliert werden, Regeln zu brechen und außerhalb seines ursprünglichen Zwecks zu handeln. Wir müssen die KI auf Abweichungen und Indikatoren bösartiger Aktivitäten (IoMA) überwachen und in der Lage sein, entsprechend zu reagieren – einschließlich der Sperrung des Zugriffs und der Isolierung von Bedrohungen.
Die Integrität, Genauigkeit und Gültigkeit von KI-Eingaben und -Ausgaben muss häufig durch Validierungen und Regeln überprüft und eingeschränkt werden
Wir haben seit langem den Wert von Peer-Reviews, Eingabe- und Ausgabevalidierungen im Code und anderen Integritätsvalidierungsprozessen bewiesen. Diese Muster müssen auch auf die KI angewendet werden. Wir müssen die Ergebnisse einem Peer-Check unterziehen, vielleicht mit alternativer KI oder menschlichen Akteuren; Wir müssen steuern, welche Eingaben gegeben werden können, indem wir Regeln für Eingabe und Zugriff definieren. wir müssen die Ausgabe steuern; und wir müssen die Grundsätze der Verhinderung von Datenverlust (DLP) und des Schutzes des geistigen Eigentums (IPP) auf jede Implementierung von KI anwenden, die auf unsere kritischen Unternehmensdaten zugreifen könnte.
KI braucht Lebenszyklus- und Softwarekonfigurationsmanagement
Wir müssen die bewährten Prinzipien des Aufbaus von Testumgebungen, der rigorosen Validierung und Kontrolle von Änderungen sowie der Einführung von Genehmigungsprozessen anwenden, bevor wir Änderungen an KI-Systemen zulassen. Denn KI kann sich in der Produktion dynamisch verändern, aber wir sollten Leitplanken setzen. Die Produktionskontrolle ist unerlässlich, um unbeabsichtigte Folgen von KI-gestützter Software zu verhindern, die vor der Implementierung nicht gründlich getestet wurde.
Sicherlich gibt es noch mehr Dinge zu beachten, aber meine Faustregel lautet: Behandeln Sie KI wie jeden anderen Mitarbeiter, jede Identität oder jedes System. Wenden Sie die gleichen Überlegungen und Kontrollen an, die Sie auch bei all diesen Maßnahmen anwenden würden. Gehen Sie nicht davon aus, dass es unfehlbar oder allwissend ist. Wenden Sie darauf bewährte Muster an, genau wie bei früheren Technologien. Auf diese Weise schützen Sie Ihren Ruf, Ihre Kunden und die Kronjuwelen Ihres Unternehmens.
Interessiert daran, zu erfahren, wie Silverfort Kann KI dabei helfen, die KI zu steuern und die Identität zu schützen? Kontaktieren Sie einen unserer Experten heute.
