Debevoise数据博客

如今,人们普遍认为,大多数大型组织都受益于维护书面网络安全事件响应计划(“CIRP”),以指导他们对网络攻击的响应。对于在人工智能(“AI”)方面投入巨资的企业来说,人工智能相关事件的风险和实施人工智能事件响应计划(“AIRP”)以帮助减轻人工智能事件影响的价值往往被低估。

cirp和桌面对网络安全的价值

网络安全项目过去主要专注于防止攻击,但随着公司和监管机构接受了即使有强大的网络防御,成功的攻击也会发生,这种情况已经发生了变化。强大的网络计划的一个关键要素是弹性,即公司快速有效地应对成功网络攻击的能力。

监管机构已经认识到,维护CIRP是组织提高网络弹性的最佳方法之一。事实上,许多网络安全法规,包括500.16部分根据纽约金融服务部(“NY DFS”)第500部分金融服务网络安全要求,联邦贸易委员会加强了这些要求安全规则以及全美保险专员协会(National Association of Insurance commissioner)《保险数据安全示范法》,要求公司保持书面的cirp,作为减少网络攻击影响的努力的一部分。监管机构还鼓励企业通过桌面练习来测试他们的cirp。例如,2021年6月30日的纽约DFSRansomware指导规定了cirp“应该进行测试,并且测试应该包括高级领导层——在勒索软件事件期间,首席执行官等决策者不应该首次测试事件响应计划。”

事件响应计划很有帮助,因为在大多数网络和人工智能事件中,事情发展得非常快。对于领导者来说,要获得正确的信息来及时做出决策,多个利益相关者需要在许多不同的任务上并行工作。精心设计的、经过测试的事件响应计划提供了有关谁负责哪些任务以及谁有权做出哪些决定的详细信息。例如,在典型勒索软件攻击的前几个小时,强大的CIRP将提供一个关键任务清单,以及谁负责以下每个任务:

  • 决定是否主动关闭一部分网络以阻止恶意软件的传播;
  • 保护备用系统并测试它们是否可用;
  • 确定公司的电子邮件系统是否可以安全使用,或者是否需要另一种通信系统;
  • 将事件上报法务、执行管理层和/或董事会;
  • 评估任何被加密或被盗数据的性质和数量;
  • 保存证据和保护特权;
  • 决定是否获得外部支持,如果是的话,联系并通报外部法律顾问、网络取证公司、危机沟通公司、勒索软件谈判代表等;
  • 起草内部和外部通讯;
  • 与联邦调查局或其他政府机构接触;
  • 评估保险范围,并作出任何所需的保险公司通知;
  • 确定威胁行为者的身份,以及他们是否受到美国财政部外国资产控制办公室(“OFAC”)的指定或其他制裁;
  • 安排定期会议并决定谁参加哪些会议;
  • 在短时间内评估任何监管或合同违约通知义务,并起草这些通知;而且
  • 为内部和外部查询指派一个或多个联络点。

(1)在事故发生前24小时内最重要的任务是什么;(2)谁负责每一项工作,以及在该工作人员不在的情况下,谁是后备人员;(3)每个团队成员如何向决策者传达信息,如何做出快速有效的反应,这通常是小网络事件不会演变成大事件的原因之一。

相比之下,那些在事件发生的最初几天就在考虑需要做什么以及应该由谁来做的组织,往往会错过遏制攻击的机会,而且还可能因为与员工、客户、投资者、监管机构和公众的沟通不准确或令人困惑而使困难的情况变得更糟。

AI事件的airp和桌面的价值

随着越来越多的公司在其核心业务功能中实施人工智能,人工智能事件的风险也在增加。AI事件的例子包括:

  • 公众对医疗保健、贷款或保险承销使用人工智能工具导致的受保护阶层的偏见或不公平待遇的投诉,例如新闻报道Optum的医疗算法歧视黑人患者,这引发了一场调查纽约DFS。
  • 未能充分披露人工智能正在用于某些任务或决策,如在bluecres在美国,投资者并不知道一个算法交易应用程序管理着他们的很大一部分资金,导致SEC采取了执法行动。
  • 用于核心业务功能的人工智能工具的失败,例如在Zillow该公司的一种房屋定价算法在新冠肺炎疫情引发的新情况下表现不佳,导致数亿美元的损失和几起股东诉讼。

与网络安全一样,拥有一份书面的、详细的、经过测试的AIRP将导致更有效的响应。例如,如果内部举报人或求职者指控一家公司使用对某一类候选人有偏见的人工智能招聘工具,那么公司拥有一份书面的AIRP,提供关键任务清单以及每个任务的负责人,例如:

  • 评估人工智能系统目前是否正在使用,如果是,其使用程度以及执行这些任务的手动和自动化替代方案;
  • 确定人工智能系统是否向关键人工智能或其他IT系统提供数据,或以其他方式与之交互;
  • 评估停止使用人工智能系统的财务影响;
  • 在调查期间,决定是否主动停止使用人工智能系统;
  • 收集和审查人工智能系统的日志;
  • 审查用户对人工智能系统的评论和投诉;
  • 将事件上报法务、执行管理层和董事会;
  • 评估人工智能系统过去做出的决策的性质和数量;
  • 审查培训和测试系统的输入和输出,以及持续监测的任何结果;
  • 保存证据和保护特权;
  • 决定是否获得外部支持,如果是的话,联系并通报外部律师、人工智能审计公司、危机沟通公司等;
  • 起草内部和外部通讯;
  • 评估民事诉讼和监管行动的风险;
  • 评估任何监管或合同通知要求,起草这些通知;
  • 审查对消费者、用户或公众所做的关于人工智能系统的任何陈述;
  • 评估保险范围,并作出任何所需的保险公司通知;
  • 安排定期会议并决定谁参加哪些会议;而且
  • 为内部和外部查询指派一个或多个联络点。

为了认识到airp的价值,美国国家标准与技术研究所(“NIST”)最近发布的关于AI偏差的指南(建立一个识别和管理人工智能偏差的标准(2022年3月15日),包括建议公司“详细说明与此类[人工智能]系统的事件响应相关的任何计划,以防在部署过程中出现任何重大风险。”

欧盟委员会的欧盟《人工智能法》草案,并没有特别要求AIRP,但它确实包括强制向监管机构报告人工智能事件。根据欧盟委员会的草案,提供商将被要求在得知事件后15天内报告涉及高风险人工智能系统的任何“严重事件”。拥有AIRP显然有助于公司赶上潜在的最后期限。

与cirp一样,一旦起草了AIRP,通过模拟桌面练习来测试其有效性是非常有用的,以确保:

  • 主要任务和决策涵盖;
  • 正确的人被分配到这些任务和决策;
  • 沟通、升级和审批得到妥善处理;
  • 确定外部资源,这样公司就不会在实际事件发生时争先恐后地寻找和留住合适的外部顾问;而且
  • 困难的决定(例如是否立即停止使用正在接受审查的人工智能系统)都经过了深思熟虑,因此高管们并不是在实际事件中第一次解决这些复杂的问题。

结论

企业通过做好充分的应对准备,极大地降低了网络攻击的风险和影响。准备工作的一个关键方面是拥有一份经过桌面练习测试的书面事件响应计划。随着公司扩大人工智能的使用,他们发生人工智能相关事件的风险也在增加,拥有AIRP的好处也变得更加明显。

订阅我们的数据博客,请点击这里

作者

Avi Gesser是Debevoise数据战略与安全集团的联合主席。他的业务重点是就广泛的网络安全、隐私和人工智能事务为大型公司提供咨询。可以通过agesser@debevoise.com与他联系。

作者

Anna R. Gressel是该公司数据战略与安全集团及其金融科技和技术实践的合伙人和成员。必威苹果客户端下载她的业务重点是代表客户进行与人工智能和其他新兴技术相关的监管调查、监督审查和民事诉讼。Gressel女士对AI治理和合规方面的法规、监管期望和行业最佳实践有深入的了解。她经常就与人工智能、隐私和数据治理相关的治理、风险和责任问题向董事会和高级法律高管提供建议。可以通过argressel@debevoise.com与她联系。

作者

Michael R. Roberts是Debevoise & Plimpton全球数据战略和安全组的高级助理,也是该公司诉讼部门的成员。他的业务重点是隐私、网络安全、数据保护和新兴技术事务。可以通过mrroberts@debevoise.com与他联系。

作者

科里·戈德斯坦(Corey Goldstein)是德贝沃斯诉讼部门的助理。可以通过cjgoldst@debevoise.com与他联系。

作者

埃里克·鲁宾斯坦(Erik Rubinstein)是Debevoise诉讼部门的助理。他的业务重点是网络安全事件的准备和响应、内部调查和监管辩护。可以通过erubinstein@debevoise.com与他联系。

Baidu
map