國際通商法律事務所(以下簡稱Baker McKenzie台北所)和GDDA(全球數位產業聯盟協進會),今(19)日合作舉行〈國際AI資安論壇〉,邀集國內外律師、產官界重要人物與會,共同討論AI風潮下的資安風險。
這是GDDA和Baker McKenzie台北所第2次合辦AI資安論壇,聚焦於近兩年國際企業遇到的網路攻擊與資安建議。GDDA創會理事長邱月香表示,過去她擔任中華軟協理事長時,即向前總統蔡英文提出「資安即國安」的產業建言;今年新內閣上任,就喊出「AI力即國力」的口號,足見AI與資安密不可分。今年論壇與Baker McKenzie台北所,合作邀來國際法律、資訊科技等專業人才,與台灣企業分享。
數位發展部部長黃彥男,身為GDDA的創始理事,這次參與論壇、帶來主題演講。黃彥男指出,生成式AI的發展和應用正在不斷增加,預測在2030年AI對世界經濟貢獻將達到17.5兆美元,超過中印兩國的經濟量總和;且有97%企業認為使用ChatGPT等生成式AI工具對企業有幫助。因此伴隨AI發展而來的資安威脅,值得企業關注。
黃彥男分享國際國內已發生的AI關聯攻擊案件,有國際電子業大牌員工使用ChatGPT校正程式碼,導致企業研發資訊外洩;或是精心設計的提示語(prompt injection),讓AI吐出機敏資料、或危及人類危安等的回覆,甚至導致模型出錯。
他並說明,數位發展部將設計一套「AI評測認驗證體系」,運用風險分級的概念,偕同各產業主管機關,讓資安風險得以受到評估和管理。在去年(2023)底,數發部先成立了AI的產品、系統評測中心,接下來將推出驗證機構、測試實驗室等,一系列措施,協助公私部門進行風險管理。
科技犯罪日新月異 資安防護首重「減緩傷害」
Baker McKenzie台北所的執行合夥律師,黃麗蓉(Anna L.J Hwang)律師在論壇分享,過往參與奧地利航太公司網路釣魚案件的經驗。她指出,當時在刑事警察缺乏科技偵查能力與經驗的狀況下,她和合作律師團隊找到國際刑警,請求緊急凍結銀行帳戶;她認為有效遏止科技犯罪的方法,不是提高罰金,而是讓政府和警調單位擁有調查、科技偵查,快速扣押疑似犯罪的相關物證,如帳戶等資料的能力。
黃麗蓉和Baker McKenzie紐約所、雪梨所律師對談,分享給企業的資安防護建議,包含在平常就要做好資料的風險層級分析和保護,在遇到案件時,即時通報,讓律師採取法律行動,進行封鎖、查證和反擊。
Baker McKenzie紐約所合夥律師暨前紐約曼哈頓檢察官萬斯(Cyrus Vance Jr.)認為,在任何事情發生之前,事先做好利害關係人溝通,擬定風險層級與分析,與律師保持聯繫是值得的。就像是為了漏水而花上1萬塊修理屋頂,而避免了颶風來襲、掀翻屋頂而花的25萬塊。
如今駭客也善用AI和深偽(deepfake)技術進行更精準快速的打擊,萬斯認為人們應該體認到防止攻擊是較困難的,「減緩傷害」(mtigate damage)是更為實際的做法。為此,人們應該建立起社群,確保事件發生時,找得到對的人、合適的團隊來控制傷害範圍,盡快彌補損害。
在生成式AI蔚為風潮的當代,企業在使用AI工具時,需要注意其中可能的資安風險,提早預備,才能在提高生產力與營運效率的同時,避免攻擊造成大量損失。
