为什么要对员工行为进行安全管控？

ChatGPT的火热已不是一件新鲜事了。而现在更让大家热议的是，ChatGPT带来的网络安全风险，不少安全人员对此担心不已。因ChatGPT引起的网络安全事件，媒体也多有报道。

例如，近日，外媒就报道了三星因ChatGPT泄露了机密信息的安全事件。

据外媒报道，韩国科技巨头三星前不久发生了好几起由ChatGPT引起的信息泄露事件，设备测量、产量数据、内部会议等机密内容都被传输到了海外。

 

三星陆续发生的三起信息泄露事故，均起缘其内部员工的不合规操作所致。据了解，其中一位员工复制了他工作中遇到的问题相关的源代码，并输入到了ChatGPT之中，向该AI询问解决方案；而另一位员工则在 ChatGPT 中输入了与设备良品率相关的程序代码，并向AI请求代码优化；最后一位员工则是将会议内容输入到ChatGPT中要求AI为其编写会议记录。

在事件发生前，批准使用GPT的三星DS部门，曾特别在公告中提醒员工：“注意公司内部信息安全，不要输入敏感内容”。但是在三星DS部门发布政策不到20天的时间里，陆续发生了这三起信息泄露事故。

另外了解到，在ChatGPT的使用指南中，OpenAI也有明确说明输入给ChatGPT的文本内容会被用于进一步训练模型，警告用户不要提交敏感信息。

 

而三星这三位员工的操作就意味着，他们提交的这些数据都被传输给了ChatGPT所属的美国公司OpenAI，并有可能被用作了该模型的训练数据。

三星公司在知悉这些事件后，紧急采取了一系列缓解措施，例如将上传内容限制在1024字节以内等。三星目前正向事故相关职员调查原委，必要时给予处罚。

在高科技带来便利同时，众人也在担忧着高科技带来负面影响，例如大家会担心ChatGPT加剧全球日益严峻的数据安全挑战，给到攻击者更多的可趁之机或造成使用者的敏感信息数据的泄露。此前，就有ChatGPT骗局、安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件、新手利用ChatGPT轻松构建零日恶意软件，等等。以及当下的三星由ChatGPT引起的信息泄露事件。

事物总是存在着两面性，像ChatGPT这样的新事物，是造福人类还是威胁人类，端看使用者对其的利用、安排。而在此次的三星数据泄露事件中，事实上事故的起因都是“员工的行为”，尽管此前三星对其员工有所特别提醒。当然了，ChatGPT所使用的技术本身也存在一定的风险。

 

纵观以往的一些安全事件，数据泄露的原因大致可分为外部入侵和内部风险。外部入侵主要由于入侵者有足够的动机、精力和机会，一方面可以获取巨大的利益；另一方面又由于各个行业的网络是相对开放的，给外部入侵者制造了机会。

而内部风险主要由于内部人员的有意或无意的违规操作，一些内部人员会受到各种各样的诱惑，使得他们铤而走险，通过对外非法提供数据来获取利益。这些有意的内部人员也称之为行业“内鬼”。

据相关报道了解，各行各业由于数据特点不同，其安全风险原因也不同，85%的数据泄露都有人为因素。这其中有外部因素，但更多的还是内部因素。另外，据Tessian 和斯坦福大学的一项研究发现，2020 年88%的数据泄露事件仅仅是因为某个地方有人搞砸了；Verizon发布的《2022年数据泄露调查报告》指出，2022年数据泄露事件中82%的违规行为涉及人为因素。

 

人为泄露数据的事件屡见不鲜，例如，一些快递站点工作人员进行面单拍摄、数据人为导出，后在黑灰产交易平台出售；平安人寿某分公司内部人员利用职务之便泄露了4万条客户信息；近日，极氪员工因操作失误泄露了一份内部文件并在网上流传，中包括，用户姓名、电话、车身VIN码等大量隐私信息，等等。

在过去，诸多企业将数据防泄漏的重点都放在了外部，于是诞生了防火墙、漏洞扫描等安全防护产品。然而，近年来，因人为因素导致的企业数据泄露事件频发，而且随着职场道德问题频发，内鬼作祟导致的泄密事件也已占到了总泄密事件的70%。因此，在不侵犯员工隐私的前提下，企业有必要对员工行为进行安全管控！