調(diào)研機(jī)構(gòu)普華永道公司表示，到2030年，全球人工智能（AI）市場(chǎng)規(guī)�？赡芨哌_(dá)15．7萬(wàn)億美元，這是個(gè)好消息。與此同時(shí)，F(xiàn)orrester公司警告說(shuō)，網(wǎng)絡(luò)犯罪分子能夠利用人工智能技術(shù)來(lái)實(shí)施網(wǎng)絡(luò)攻擊。而關(guān)于人工智能如何取代人類的工作，很多人為此感到擔(dān)憂。此外，機(jī)器學(xué)習(xí)、人工神經(jīng)網(wǎng)絡(luò)（ANN）和深度學(xué)習(xí)得以興起，人們很難知道應(yīng)該如何看待人工智能，以及企業(yè)首席信息安全官（CISO）如何評(píng)估新興技術(shù)是否適合他們的組織。

調(diào)研機(jī)構(gòu)Gartner公司提供了一些關(guān)于如何對(duì)抗FUD（恐懼、不確定、懷疑）的建議，Gartner公司安全分析師Anton Chuvakin博士和Augusto Barros在他們的文章中揭開(kāi)人工智能的神秘面紗。以下將討論首席信息安全官（CISO）在投資基于人工智能的網(wǎng)絡(luò)安全產(chǎn)品和解決方案時(shí)應(yīng)該考慮的四個(gè)實(shí)際問(wèn)題。

問(wèn)題1：企業(yè)是否有基于風(fēng)險(xiǎn)、連貫和長(zhǎng)期的網(wǎng)絡(luò)安全策略？

如果沒(méi)有一個(gè)清晰、完善和成熟的網(wǎng)絡(luò)安全計(jì)劃，對(duì)于人工智能的投資將會(huì)有去無(wú)回。企業(yè)可能會(huì)面臨解決一個(gè)問(wèn)題，卻產(chǎn)生更多新問(wèn)題的困境，甚至更糟的是，忽略了更危險(xiǎn)和緊急的問(wèn)題。

企業(yè)的數(shù)字資產(chǎn)（即軟件、硬件、數(shù)據(jù)、用戶和許可證）的整體清單是網(wǎng)絡(luò)安全戰(zhàn)略不可或缺的第一步。在云計(jì)算容器時(shí)代，物聯(lián)網(wǎng)和外包應(yīng)用的激增，保持最新和全面的庫(kù)存是一項(xiàng)挑戰(zhàn)。但是，如果省略這一關(guān)鍵步驟，企業(yè)的大多數(shù)努力和伴隨的網(wǎng)絡(luò)安全支出可能都是徒勞的。

每個(gè)公司都應(yīng)該保持一個(gè)長(zhǎng)期的、基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全戰(zhàn)略，其目標(biāo)是可衡量的，里程碑是一致的；減輕孤立的風(fēng)險(xiǎn)或根除個(gè)別威脅不會(huì)帶來(lái)長(zhǎng)期的成功。網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該有一個(gè)明確的任務(wù)和責(zé)任范圍，以及實(shí)現(xiàn)目標(biāo)所需的權(quán)利和資源。這并不意味著應(yīng)該提出難以實(shí)現(xiàn)的完美目標(biāo)，而是與企業(yè)董事會(huì)就其風(fēng)險(xiǎn)偏好達(dá)成一致，并確保按照計(jì)劃逐步實(shí)施的企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略。

問(wèn)題2：一個(gè)完整人工智能基準(zhǔn)可以證明投資回報(bào)率和其他可衡量的收益嗎？

作為人工智能的一個(gè)子集，機(jī)器學(xué)習(xí)的主要規(guī)則是盡可能避免使用。也許機(jī)器學(xué)習(xí)能夠解決大量輸入和輸出的高度復(fù)雜的問(wèn)題，往往產(chǎn)生不可靠性和不可預(yù)測(cè)性。采用機(jī)器學(xué)習(xí)也可能成本非常高，幾年后才能獲得投資回報(bào)，而到那時(shí)，企業(yè)的整個(gè)商業(yè)模式都可能過(guò)時(shí)。

例如，訓(xùn)練數(shù)據(jù)集在獲取、構(gòu)建和維護(hù)方面可能成本高昂并且耗時(shí)。而且，任務(wù)越復(fù)雜，構(gòu)建、訓(xùn)練和維護(hù)人工智能模型的麻煩和代價(jià)越高，就越容易出現(xiàn)誤報(bào)和漏報(bào)。此外，采用基于人工智能的技術(shù)可以降低成本，但需要更高的維護(hù)投資（通常會(huì)超過(guò)節(jié)省的成本）時(shí)，企業(yè)可能面臨惡性循環(huán)。

最后，人工智能可能不適用于某些任務(wù)和過(guò)程，在這些任務(wù)和過(guò)程中，決策需要可追溯的解釋，例如，為了防止歧視或遵守法律。因此，確保企業(yè)對(duì)人工智能的實(shí)現(xiàn)在短期和長(zhǎng)期情況下是否具有經(jīng)濟(jì)實(shí)用性有一個(gè)全面的評(píng)估。

問(wèn)題3．維護(hù)最新和有效的人工智能產(chǎn)品需要多少成本？

在人工智能業(yè)務(wù)中，需要訓(xùn)練機(jī)器學(xué)習(xí)模型以執(zhí)行不同任務(wù)的訓(xùn)練數(shù)據(jù)集。

培訓(xùn)數(shù)據(jù)集的來(lái)源、可靠性和足夠的數(shù)量是大多數(shù)人工智能產(chǎn)品的主要問(wèn)題。畢竟，人工智能系統(tǒng)需要和人們投入的數(shù)據(jù)一樣良好。通常，安全產(chǎn)品可能需要在本地進(jìn)行長(zhǎng)期的訓(xùn)練，此外，假設(shè)企業(yè)有一個(gè)無(wú)風(fēng)險(xiǎn)的網(wǎng)段，將作為用于培訓(xùn)目的的正常事務(wù)狀態(tài)的示例。在企業(yè)外部進(jìn)行過(guò)訓(xùn)練的通用模型可能僅適用于其流程和IT架構(gòu)，而無(wú)需在其網(wǎng)絡(luò)中進(jìn)行一些補(bǔ)充訓(xùn)練。因此，企業(yè)需要確保訓(xùn)練和相關(guān)的時(shí)間承諾在產(chǎn)品采購(gòu)之前得到解決。

對(duì)于網(wǎng)絡(luò)安全的主要目的，人工智能產(chǎn)品需要定期更新，并與新出現(xiàn)的威脅和攻擊媒介保持一致，或者只是與企業(yè)網(wǎng)絡(luò)中的一些新事物保持一致。因此，企業(yè)需要詢問(wèn)需要更新的頻率、運(yùn)行更新需要多長(zhǎng)時(shí)間，以及管理流程的人員。這可能會(huì)避免額外的維護(hù)費(fèi)帶來(lái)苦惱。

問(wèn)題4．誰(shuí)將承擔(dān)法律和隱私風(fēng)險(xiǎn)？

機(jī)器學(xué)習(xí)對(duì)于隱私來(lái)說(shuō)可能是一個(gè)巨大的風(fēng)險(xiǎn)。違反GDPR法規(guī)的經(jīng)濟(jì)處罰只是冰山一角，數(shù)據(jù)被非法存儲(chǔ)或處理的團(tuán)體和個(gè)人可能對(duì)企業(yè)采取法律措施并要求賠償。此外，還必須考慮許多其他適用的隱私法律和法規(guī)，這些法律和法規(guī)可能會(huì)超出GDPR法規(guī)最高4％收入上限的處罰。還要記住，大多數(shù)訓(xùn)練數(shù)據(jù)集不可避免地包含大量的個(gè)人可識(shí)別信息（PII），這些信息可能是在沒(méi)有得到同意或其他有效認(rèn)可的情況下收集的。更糟糕的是，即使合法收集和處理個(gè)人可識(shí)別信息（PII），數(shù)據(jù)主體要求行使GDPR法規(guī)授予的權(quán)利（例如訪問(wèn)權(quán)或刪除權(quán)）也是不可行的，個(gè)人可識(shí)別信息（PII）本身是不可提取的。

2010年至2018年，美國(guó)提交了近8000項(xiàng)專利，其中18％來(lái)自網(wǎng)絡(luò)安全行業(yè)。HPE公司警告說(shuō)，未經(jīng)許可使用專利人工智能技術(shù)將會(huì)面臨法律和業(yè)務(wù)風(fēng)險(xiǎn)。因此，將侵權(quán)的法律風(fēng)險(xiǎn)轉(zhuǎn)移給供應(yīng)商可能是一個(gè)好主意，例如，在合同中添加賠償條款。

企業(yè)高管很少有人意識(shí)到，如果他們使用的技術(shù)侵犯了現(xiàn)有專利，企業(yè)可能要承受數(shù)百萬(wàn)美元的二次侵權(quán)損失。而知識(shí)產(chǎn)權(quán)法的主體非常復(fù)雜，許多問(wèn)題在某些司法管轄區(qū)域仍未解決，這為法律訴訟的結(jié)果帶來(lái)了不確定性。因此，企業(yè)務(wù)必與其法律顧問(wèn)或律師進(jìn)行溝通，以獲取有關(guān)如何最大限度地降低法律風(fēng)險(xiǎn)的建議。

最后，企業(yè)需要確保自己的數(shù)據(jù)不會(huì)出于“威脅情報(bào)”或“訓(xùn)練”目的傳輸?shù)饺魏蔚胤剑瑹o(wú)論是否合法。