chatgpt verspricht, alle Arten von Unternehmensfunktionen zu verändern, und vielleicht werden sich diese rosigen Vorhersagen mit der Zeit als wahr erweisen.
Die Risiken rund um ChatGPTauf der anderen Seite, sind bereits da – und Compliance-Beauftragte müssen sich sofort für den Kampf gegen diese Risiken rüsten.
Warum? Denn ChatGPT (und ähnliche generative KI-Tools, die dicht dahinter folgen) befasst sich nicht nur mit einem bestimmten Geschäftsprozess, wie dies bei einer Tabellenkalkulation, einer Zahlungs-App oder einer Fotobearbeitungssoftware der Fall wäre. ChatGPT ist ein Durchbruch in der allgemeinen Technologie, die alle Geschäftsprozesse unterstützt. In diesem Sinne ähnelt es eher dem Aufstieg sozialer Medien, mobiler Geräte oder sogar des Internets selbst.
In vielerlei Hinsicht ist das großartig; ChatGPT könnte ein Glücksfall für Aufgaben wie Übersetzung, Schreiben von Inhalten, Codierung und mehr sein. Aber die Sicherheits-, Compliance- und Geschäftsrisiken, die eine so leistungsstarke Technologie mit sich bringt, sind ebenso weitreichend. Compliance-Beauftragte haben enorm viel zu tun, wenn Ihr Unternehmen nicht überfordert werden möchte.
Jedes Risiko überall auf einmal
Die größte Herausforderung für Compliance-Beauftragte wird einfach darin bestehen, die Risiken von ChatGPT zu verstehen. Sie werden in verschiedenen Formen und aus allen Richtungen kommen. Beispielsweise werden Sie wahrscheinlich auf Folgendes stoßen:
Interne Sicherheitsrisiken
da Mitarbeiter ChatGPT oder ähnliche Anwendungen verwenden, um beispielsweise Softwarecode zu schreiben. Wenn sie diesen Code ohne vorherige sorgfältige Tests bereitstellen, könnte er Schwachstellen mit sich bringen, von denen das IT-Sicherheitsteam nichts weiß.
Externe Sicherheitsrisiken
weil Angreifer ChatGPT zum Schreiben von Malware, zum Kompromittieren geschäftlicher E-Mails, überzeugenderen und grammatikalisch korrekteren Phishing-Angriffen und ähnlichen Bedrohungen verwenden. Da es einfacher wird, diese Angriffe zu generieren und einzusetzen, werden sie häufiger auftreten.
Compliance-Risiken
wenn Mitarbeiter ChatGPT auf eine Weise nutzen, die möglicherweise gegen gesetzliche Standards verstößt. Beispielsweise könnten sie persönlich identifizierbare Informationen über Kunden in ChatGPT laden, um einen Bericht zu verfassen (was einen Verstoß gegen die Privatsphäre darstellt) oder die App nutzen, um unveröffentlichte Finanzdaten zusammenzufassen (Verstoß gegen das Wertpapierrecht).
Betriebsrisiken
Denn so wundersam ChatGPT auch ist, es gibt immer noch viele Grundfakten falsch. Wenn ein Mitarbeiter die App verwendet, um einen Bericht zu schreiben, der Fehler enthält, und dieser Bericht dann im Rahmen einer kritischen Geschäftsentscheidung an die Geschäftsleitung weitergeleitet wird, kann dies zu vielen Problemen führen.
Strategische Risiken
Da auch Ihr Unternehmen und Ihre Konkurrenten nach den Möglichkeiten suchen, die ChatGPT bietet. Was passiert, wenn Sie ChatGPT zu schnell einführen und die Risiken die Vorteile überwiegen? Was ist, wenn Sie sich zu langsam darauf einlassen und die Konkurrenz atemberaubende neue Leistungen erbringt? Wie finden Sie den richtigen Weg nach vorn und den richtigen Zeitpunkt dafür?
Was ist, wenn Sie sich zu langsam darauf einlassen und die Konkurrenz atemberaubende neue Leistungen erbringt? Wie finden Sie den richtigen Weg nach vorn und den richtigen Zeitpunkt dafür?
Erschwerend kommt hinzu, dass jedes andere Unternehmen die gleichen Einschätzungen zu ChatGPT abgibt. Vielleicht eröffnet der Einsatz generativer KI neue Möglichkeiten für Sie und umgekehrt. Oder vielleicht bringt Ihnen der Einsatz dieser Tools einen Nachteil.
Um Ordnung in dieses Chaos zu bringen, können wir die Risiken und Chancen von ChatGPT in einer Matrix organisieren. Es würde ungefähr so aussehen:
Um die Leistungsfähigkeit von ChatGPT optimal zu nutzen und weise Unternehmen könnten nach Möglichkeit eine unternehmensübergreifende Gruppe zusammenstellen, die sich durch die obige Matrix arbeiten kann – dabei neue Risiken definieren und diese Risiken in einem Protokoll protokollieren Gefahrenregister.
Natürlich sollte der CISO Teil dieser Gruppe sein, zusammen mit den Leitern der Rechts-, Regulierungs-Compliance- und Betriebsteams, die von der Verwendung von ChatGPT profitieren (oder gestört werden) könnten. Am Ende des Prozesses sollten CISOs über eine Liste der Risiken verfügen, die ChatGPT mit sich bringen oder verstärken könnte. CISOs können dann Strategien entwickeln, um diesen Risiken zu begegnen. Andere Risikomanagementfunktionen (zum Beispiel die Einhaltung gesetzlicher und behördlicher Vorschriften) könnten das Gleiche für neue Risiken tun, die ebenfalls gemindert werden müssen.
Bekämpfung des ChatGPT-Risikos mit Richtlinien
Sobald Unternehmen eine Liste der Risiken erstellt haben, die ChatGPT für Ihr Unternehmen mit sich bringen könnte, besteht der nächste Schritt darin, Richtlinien zu implementieren, um diese Risiken zu reduzieren, indem Sie entweder völlig neue Richtlinien einführen oder (wahrscheinlicher) bestehende Richtlinien aktualisieren, um sicherzustellen, dass sie auch im Zeitalter von funktionieren ChatGPT.
Wir wissen zum Beispiel, dass Bedrohungsakteure dies versuchen werden Verwenden Sie ChatGPT, um ihre Angriffe zu verschärfen gegen Unternehmen. In diesem Fall sollten Sie Ihre Betrugsbekämpfungsrichtlinien überdenken. Sie könnten erwägen, zusätzliche Genehmigungen anzufordern, bevor Sie eine Überweisung ins Ausland durchführen, oder die Art der Genehmigung zu ändern: telefonische oder persönliche Genehmigung statt nur elektronische Genehmigungen.
Sie müssten auch Folgendes berücksichtigen Datenschutzverpflichtungen Sie können mit Kundendaten umgehen und dann Ihre ChatGPT-Nutzungsrichtlinien anpassen, um die Einhaltung Ihrer Datenschutzbestimmungen zu gewährleisten. Beispielsweise möchten Gesundheits- und Bildungseinrichtungen ihren Mitarbeitern möglicherweise die Eingabe von Kundendaten in ChatGPT verbieten, da dies eine Verletzung der Privatsphäre darstellen könnte.
Unternehmen könnten auf Probleme stoßen, bei denen sie rechtlich oder ethisch verpflichtet sind, offenzulegen, dass sie ChatGPT in ihren Geschäftsabläufen verwendet haben. Angenommen, Sie nutzen ChatGPT, um Hintergrundrecherchen zu Bewerbern durchzuführen. Geben Sie diese Tatsache frühzeitig bekannt, vielleicht mit einem Haftungsausschluss auf Ihrer Website, in dem es heißt: „Das Unternehmen nutzt möglicherweise KI, um seine Einstellungsprozesse zu unterstützen“? Oder geben Sie Ihren Einsatz von KI gar nicht bekannt?
In jedem Fall müssen Sie verstehen, welche bestehenden Compliance- oder Sicherheitsrisiken bestehen und welche aktuellen Richtlinien Sie zur Bewältigung dieser Probleme anwenden müssen. Dann müssen Sie neue ChatGPT-orientierte Richtlinien einführen, um den neuen Risiken zu begegnen, die Sie identifiziert haben – und Sie müssen den gesamten Aufwand dokumentieren einen Prüfpfad bereitzuhalten, falls Prüfer, Aufsichtsbehörden, Geschäftspartner oder die Öffentlichkeit jemals danach fragen.
Von der Risikoreaktion bis zur ChatGPT-Governance
Generative KI wird uns erhalten bleiben und irgendwann zu einem Werkzeug werden, das im gesamten Unternehmen zum Einsatz kommt. Das bedeutet, dass die Bewertung der Risiken und die Reaktion mit neuen Richtlinien nur der Anfang ist. Letztendlich müssen CISOs mit der Geschäftsleitung und dem Vorstand zusammenarbeiten, um zu regeln, wie diese Technologie in Ihre täglichen Abläufe integriert wird.
Von diesem Punkt aus ergeben sich mehrere Implikationen. Erstens und praktischerweise müssen CISOs dies tun Bereitstellung von Governance-Frameworks für künstliche Intelligenz. Die gute Nachricht ist, dass es bereits mehrere solcher Frameworks gibt, darunter Eine davon wurde Anfang des Jahres vom NIST veröffentlicht Und ein weiteres, das 2021 von COSO veröffentlicht wurde. Keines davon ist speziell auf ChatGPT ausgerichtet, aber sie helfen CISOs und anderen Risikomanagern zu verstehen, wie sie mit dem Aufbau von Prozessen zur Steuerung von ChatGPT oder jeder anderen generativen KI-App beginnen können.
Das ist eine weitere gute Nachricht GRC-Tools sind bereits vorhanden um Ihnen bei der Nutzung dieser Frameworks zu helfen. Die grundlegende Übung besteht hier darin, die Prinzipien und Kontrollen der KI-Frameworks denen von zuzuordnen andere Risikomanagement-Frameworks, die Sie möglicherweise bereits verwenden und auf Kontrollen, die bereits in Ihrem Unternehmen vorhanden sind. Anschließend können Sie mit der Implementierung neuer Kontrollen bei Bedarf fortfahren und einen Prüfpfad erstellen, um Ihre Arbeit nachzuweisen.
Letztlich werden die Geschäftsleitung und der Vorstand diejenigen sein, die entscheiden, wie ChatGPT in Ihrem Unternehmen eingesetzt wird, denn ChatGPT bleibt nur ein Werkzeug, das Menschen dabei hilft, ihre Ziele zu erreichen. Die Rolle des CISO besteht eher darin, diese Tools risikobewusst zu nutzen und gleichzeitig Ihren gesetzlichen Verpflichtungen nachzukommen.
Andererseits ist das mit all den Risiken und Chancen, die generative KI verspricht, schon genug Arbeit.
Die Post ChatGPT ist da und damit auch seine Herausforderungen beim Risikomanagement erschien zuerst auf Hypersicher.
*** Dies ist ein syndizierter Blog von Security Bloggers Network Hypersicher Autor: Matt Kelly. Lesen Sie den Originalbeitrag unter: https://hyperproof.io/resource/chatgpt-risk-management/
