人工智慧(AI)的迅速發展,正在為人類帶來嶄新的機遇,同時卻也為網路駭客提供新武器。在這樣的局勢之下,AI治理的重要性顯得更為迫切。為了協助包括金融業與製造業在內,愈來愈多積極引進AI的企業釐清AI治理的實踐方式,台灣微軟日前與商周聯手舉辦《AI治理與防禦:落實資安新藍圖》CXO高階晨峰會,清楚描繪了AI治理的藍圖,以及相關科技解決方案的重要性。
微軟打造有史以來最大的網路安全工程
「AI像油門,資安像煞車。」台灣微軟總經理卞志祥指出,安全一直是微軟最重視的議題。從2023年11月發起的「安全未來倡議」 ( Secure Future Initiative, SFI ),即是微軟最重要的核心準則。微軟始終秉持著「資安至上」的企業文化上,從董事會治理,到最底層的設計、營運等,全部建構於高規格的資安。
「在微軟內部,資安的重要性甚至高過AI!」卞志祥總經理強調,微軟已經投入相當於 34,000名全職工程師的資源,打造有史以來最大的網路安全工程,而在今年,微軟再擴大SFI範圍,統整所有部門,並將安全性視為首要任務,確保微軟的網路安全解決方案能保持穩健,並適應不斷演進的威脅態勢。
卞志祥也指出,從《2024微軟數位防禦報告》來看,可以發現,從地緣政治、國際關係、或全世界商業網路,台灣在全球扮演獨特角色。由於全球所有大廠做完設計後,從晶片、到系統、營運,絕大多數委由台灣進行,也因而讓台灣成為一個全世界駭客攻擊的目標,國家級的駭客攻擊事件不斷。在此同時,微軟正在全球與各國政府合作,提供資安協防工作,致力於「以資安為基石、以雲端為平台、以資料為核心、以AI為應用」的4X4架構。
此外,微軟今年在台灣落地資料中心,以及11月發表整合了資安的Microsoft 365整體SaaS服務,讓金融、政府、醫療等高管制產業,都能運用微軟科技來強化資安協作。藉此,微軟也進一步實踐了對於政府與產業的承諾。
微軟致力提供資安防禦方「非對稱優勢」
微軟亞洲資安負責人Emmanuele Silanesu (Manny) 則引述《2024微軟數位防禦報告》指出,當前的資安問題,越來越複雜、具挑戰性且日益危險。從調查數據來看,每天發生6億次攻擊事件,為了應對這樣的挑戰,從個別使用者到高層主管,都需要專注以對,並提出承諾;而政府則必須施加威懾性措施。
Manny指出,微軟憑藉 50 年的經驗與洞察,微軟結合其數位生態系統的廣泛布局,每天處理多達 78 兆條攻擊訊號,情資團隊追蹤全球超過 1500 個威脅團體,其中包括:600 個國家級威脅行動團體、300 個網路犯罪團體,並將微軟的威脅情資(Threat Intelligence,簡稱 TI)全面整合入微軟的資安產品,並持續分析與更新,以提升全球客戶保護與防禦的能力。
微軟觀察到,與中國、俄羅斯、伊朗等國家有關的的攻擊者,已大量運用AI生成的假訊息,試圖影響他國選舉。為了防禦選舉免受網路犯罪攻擊,需要來自產業界、媒體和政府的集體承諾,否則這類攻擊行為將對國家安全和民主韌性構成重大挑戰。
例如,自2023年7月以來,駭客組織「花崗岩颱風」(Granite Typhoon)已入侵印尼、馬來西亞、菲律賓、柬埔寨和台灣的電信網絡。這個組織的活動,突顯出與中國關聯的攻擊者,正持續進行戰略性網路攻擊,目的是收集情報,並可能干擾南海等戰略重地的軍事活動。
然而,正當駭客大量利用AI進行攻擊,AI也同時成為網路防禦的利器。Manny強調,微軟在AI創新上的重大投資,就是提供資安防禦方更好的「非對稱優勢」,透過生成式AI理解網路攻擊,並制定量身打造的防禦措施。
制訂AI治理藍圖,先從資料治理入手
「制訂AI策略時,要先定義企業價值。」KPMG 安侯企管數位創新服務協理林大中表示,根據Gartner預測,預計到2028年,33%的軟體將會包含AI代理(AI Agent)成分,15%工作內容將被AI代理取代。例如,自動判讀電子郵件,未來將成為全自動,甚至不需要提示(prompt)。
他指出,企業在制訂AI治理藍圖時,應先從資料治理入手,才能確保AI使用的是正確資料。此外,評估各種資料的重要性,並衡量AI為企業帶來的衝擊,也是構建企業AI治理藍圖的重要步驟。
AI治理起手式:準備、發現、保護、治理
那麼,企業究竟該如何開始進行AI治理?台灣微軟專家技術群總經理吳子強指出,企業在運用AI的三大考量,包括了「缺乏保護 AI 中機敏資訊的管控措施」、「隨著AI應用程式激增,缺乏對漏洞的可視性」,以及「監管責任和不確定性增加」。他指出,超過80%的領導者表示,機敏資訊洩露是他們主要關心的問題。同時,也有55%的領導者不瞭解AI的監管方式和將要如何監管,並正在尋求有關如何遵守這些要求的指引。
吳子強建議,企業可以依循微軟制訂的「準備」、「發現」、「保護」、「治理」框架,來著手進行AI治理。他進一步說明,「準備」階段是根據零信任原則做好企業內部資料分級標籤;「發現」階段是瞭解使用者AI工具使用的現況;「保護」階段是為每個生成式AI應用提供開箱即用的風險評估;「治理」階段則是運用微軟Purview解決方案,協助企業評估和管理合規性,依據法規提供行動建議指引。
企業啟動AI治理,從「零信任」做起
微軟亞洲首席資安架構師陳金輝則指出,AI治理的挑戰,包括了數據治理和合規性因國家而異、每個國家的數據治理與合規需求均不相同,以及現有的資料遺失防護(DLP)解決方案局限,以及客製化需求等問題。
面對這些挑戰,微軟Purview解決方案能評估客戶環境,並根據客戶的業務目標和優先事項定義安全路線圖。此外,也能透過結構化流程、技術指導和服務,來支援客戶部署微軟資訊保護(MIP)。他也強調,企業啟動AI治理的三步驟,首先應從「零信任」做起,指派窗口與微軟團隊對接;其次則是選定重點AI治理場景,討論及確認優先執行的數據保護情境;第三則是選定信賴的夥伴,透過微軟的服務與工具,建構落實的能力。
如同微軟技術長Kevin Scott在《2024微軟數位防禦報告》中所言,「AI有可能像電力或現代運算一樣,成為人類的轉型技術革命,甚至可能更強。」與會專家一致認同,當AI工具搭配上創意、創新,就能讓站在防衛與安全性一方的人,領先於具破壞性的威脅行為者,並讓每個人都有機會充分實現AI所能帶來的巨大利益。
