調(diào)研機(jī)構(gòu)普華永道公司表示，到2030年，全球人工智能（AI）市場規(guī)�？赡芨哌_(dá)15．7萬億美元，這是個好消息。與此同時，F(xiàn)orrester公司警告說，網(wǎng)絡(luò)犯罪分子能夠利用人工智能技術(shù)來實(shí)施網(wǎng)絡(luò)攻擊。而關(guān)于人工智能如何取代人類的工作，很多人為此感到擔(dān)憂。此外，機(jī)器學(xué)習(xí)、人工神經(jīng)網(wǎng)絡(luò)（ANN）和深度學(xué)習(xí)得以興起，人們很難知道應(yīng)該如何看待人工智能，以及企業(yè)首席信息安全官（CISO）如何評估新興技術(shù)是否適合他們的組織。

調(diào)研機(jī)構(gòu)Gartner公司提供了一些關(guān)于如何對抗FUD（恐懼、不確定、懷疑）的建議，Gartner公司安全分析師Anton Chuvakin博士和Augusto Barros在他們的文章中揭開人工智能的神秘面紗。以下將討論首席信息安全官（CISO）在投資基于人工智能的網(wǎng)絡(luò)安全產(chǎn)品和解決方案時應(yīng)該考慮的四個實(shí)際問題。

問題1：企業(yè)是否有基于風(fēng)險、連貫和長期的網(wǎng)絡(luò)安全策略？

如果沒有一個清晰、完善和成熟的網(wǎng)絡(luò)安全計(jì)劃，對于人工智能的投資將會有去無回。企業(yè)可能會面臨解決一個問題，卻產(chǎn)生更多新問題的困境，甚至更糟的是，忽略了更危險和緊急的問題。

企業(yè)的數(shù)字資產(chǎn)（即軟件、硬件、數(shù)據(jù)、用戶和許可證）的整體清單是網(wǎng)絡(luò)安全戰(zhàn)略不可或缺的第一步。在云計(jì)算容器時代，物聯(lián)網(wǎng)和外包應(yīng)用的激增，保持最新和全面的庫存是一項(xiàng)挑戰(zhàn)。但是，如果省略這一關(guān)鍵步驟，企業(yè)的大多數(shù)努力和伴隨的網(wǎng)絡(luò)安全支出可能都是徒勞的。

每個公司都應(yīng)該保持一個長期的、基于風(fēng)險的網(wǎng)絡(luò)安全戰(zhàn)略，其目標(biāo)是可衡量的，里程碑是一致的；減輕孤立的風(fēng)險或根除個別威脅不會帶來長期的成功。網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該有一個明確的任務(wù)和責(zé)任范圍，以及實(shí)現(xiàn)目標(biāo)所需的權(quán)利和資源。這并不意味著應(yīng)該提出難以實(shí)現(xiàn)的完美目標(biāo)，而是與企業(yè)董事會就其風(fēng)險偏好達(dá)成一致，并確保按照計(jì)劃逐步實(shí)施的企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略。

問題2：一個完整人工智能基準(zhǔn)可以證明投資回報率和其他可衡量的收益嗎？

作為人工智能的一個子集，機(jī)器學(xué)習(xí)的主要規(guī)則是盡可能避免使用。也許機(jī)器學(xué)習(xí)能夠解決大量輸入和輸出的高度復(fù)雜的問題，往往產(chǎn)生不可靠性和不可預(yù)測性。采用機(jī)器學(xué)習(xí)也可能成本非常高，幾年后才能獲得投資回報，而到那時，企業(yè)的整個商業(yè)模式都可能過時。

例如，訓(xùn)練數(shù)據(jù)集在獲取、構(gòu)建和維護(hù)方面可能成本高昂并且耗時。而且，任務(wù)越復(fù)雜，構(gòu)建、訓(xùn)練和維護(hù)人工智能模型的麻煩和代價越高，就越容易出現(xiàn)誤報和漏報。此外，采用基于人工智能的技術(shù)可以降低成本，但需要更高的維護(hù)投資（通常會超過節(jié)省的成本）時，企業(yè)可能面臨惡性循環(huán)。

最后，人工智能可能不適用于某些任務(wù)和過程，在這些任務(wù)和過程中，決策需要可追溯的解釋，例如，為了防止歧視或遵守法律。因此，確保企業(yè)對人工智能的實(shí)現(xiàn)在短期和長期情況下是否具有經(jīng)濟(jì)實(shí)用性有一個全面的評估。

問題3．維護(hù)最新和有效的人工智能產(chǎn)品需要多少成本？

在人工智能業(yè)務(wù)中，需要訓(xùn)練機(jī)器學(xué)習(xí)模型以執(zhí)行不同任務(wù)的訓(xùn)練數(shù)據(jù)集。

培訓(xùn)數(shù)據(jù)集的來源、可靠性和足夠的數(shù)量是大多數(shù)人工智能產(chǎn)品的主要問題。畢竟，人工智能系統(tǒng)需要和人們投入的數(shù)據(jù)一樣良好。通常，安全產(chǎn)品可能需要在本地進(jìn)行長期的訓(xùn)練，此外，假設(shè)企業(yè)有一個無風(fēng)險的網(wǎng)段，將作為用于培訓(xùn)目的的正常事務(wù)狀態(tài)的示例。在企業(yè)外部進(jìn)行過訓(xùn)練的通用模型可能僅適用于其流程和IT架構(gòu)，而無需在其網(wǎng)絡(luò)中進(jìn)行一些補(bǔ)充訓(xùn)練。因此，企業(yè)需要確保訓(xùn)練和相關(guān)的時間承諾在產(chǎn)品采購之前得到解決。

對于網(wǎng)絡(luò)安全的主要目的，人工智能產(chǎn)品需要定期更新，并與新出現(xiàn)的威脅和攻擊媒介保持一致，或者只是與企業(yè)網(wǎng)絡(luò)中的一些新事物保持一致。因此，企業(yè)需要詢問需要更新的頻率、運(yùn)行更新需要多長時間，以及管理流程的人員。這可能會避免額外的維護(hù)費(fèi)帶來苦惱。

問題4．誰將承擔(dān)法律和隱私風(fēng)險？

機(jī)器學(xué)習(xí)對于隱私來說可能是一個巨大的風(fēng)險。違反GDPR法規(guī)的經(jīng)濟(jì)處罰只是冰山一角，數(shù)據(jù)被非法存儲或處理的團(tuán)體和個人可能對企業(yè)采取法律措施并要求賠償。此外，還必須考慮許多其他適用的隱私法律和法規(guī)，這些法律和法規(guī)可能會超出GDPR法規(guī)最高4％收入上限的處罰。還要記住，大多數(shù)訓(xùn)練數(shù)據(jù)集不可避免地包含大量的個人可識別信息（PII），這些信息可能是在沒有得到同意或其他有效認(rèn)可的情況下收集的。更糟糕的是，即使合法收集和處理個人可識別信息（PII），數(shù)據(jù)主體要求行使GDPR法規(guī)授予的權(quán)利（例如訪問權(quán)或刪除權(quán)）也是不可行的，個人可識別信息（PII）本身是不可提取的。

2010年至2018年，美國提交了近8000項(xiàng)專利，其中18％來自網(wǎng)絡(luò)安全行業(yè)。HPE公司警告說，未經(jīng)許可使用專利人工智能技術(shù)將會面臨法律和業(yè)務(wù)風(fēng)險。因此，將侵權(quán)的法律風(fēng)險轉(zhuǎn)移給供應(yīng)商可能是一個好主意，例如，在合同中添加賠償條款。

企業(yè)高管很少有人意識到，如果他們使用的技術(shù)侵犯了現(xiàn)有專利，企業(yè)可能要承受數(shù)百萬美元的二次侵權(quán)損失。而知識產(chǎn)權(quán)法的主體非常復(fù)雜，許多問題在某些司法管轄區(qū)域仍未解決，這為法律訴訟的結(jié)果帶來了不確定性。因此，企業(yè)務(wù)必與其法律顧問或律師進(jìn)行溝通，以獲取有關(guān)如何最大限度地降低法律風(fēng)險的建議。

最后，企業(yè)需要確保自己的數(shù)據(jù)不會出于“威脅情報”或“訓(xùn)練”目的傳輸?shù)饺魏蔚胤�，無論是否合法。