作为CIO,他们非常清楚其物理基础设施环境的状态,基础设施是采用AI平台的最大财务成本,36%的人表示这是他们目前最大的支出项目,超过八成的CIO表示,他们认为为了使AI系统运行所需的数据量呈指数级增长,将使他们现有的数据中心无法承受,基础设施挑战可能导致业务挑战,约80%的CIO担心如果基础设施无法跟上AI的步伐,他们的业务将被甩在后面,85%的CIO表示,他们已经在重新评估企业的基础设施组合,既因为不断上升的云成本,也因为AI对数据需求的增加,在两年内,40%的CIO预计管理这些新数据的成本将成为他们最大的预算项目,近三成的人认为一般基础设施成本将是他们最大的财务需求,招聘人才和培训员工是第三和第四位的财政优先事项。
也有人担心AI的速度可能导致公司动作过快,在没有足够时间确保其稳固的情况下加速开发新应用或平台。超过三分之一的CIO表示,当前影响他们的最大风险之一是技术债务,这仅次于网络威胁,并且与管理多个不同系统环境的风险并列。
那么,CIO应该怎么做呢?对AI实施所需的一切进行清晰的评估至关重要,这些评估应转化为与其他高管之间诚实而坦率的对话。AI有巨大的潜力,但只有在平台可用、稳固和一致的情况下才能实现。
当SEC去年秋天对SolarWinds及其CISO提起诉讼后,标志着董事会和非技术高管对网络安全的看法发生了变化。乔治城大学Psaros金融市场与政策中心的访问学者Marshall Lux撰写了一篇关于董事会与CIO和CISO之间关系变化的论文。我与他进行了交谈,下面是我们对话的摘录。
超越微软和苹果,英伟达现在是全球最有价值的公司,这家AI芯片制造商首次在周二超越了这两大科技巨头,并一直保持在榜首。英伟达的股票在上周因AI领域的重新兴奋情绪而上涨,这主要得益于苹果宣布即将推出的AI功能,分析师对微软给予了更高的预期,以及英伟达本月早些时候进行的10比1股票拆分。唯一让英伟达的上涨放缓(以及微软和苹果的股价在上周也创下了历史新高)的是周三因六月节假期休市,然而,今天英伟达的股价再次飙升,达到3.4万亿美元的估值,引发了何时成为首个4万亿美元公司的猜测。
虽然其他公司在制造AI平台,但英伟达制造了运行这些平台和数据所需的芯片。记者估计英伟达控制了AI芯片市场的70%到95%。彭博社的供应链数据估计,微软实际上占英伟达收入的15%。《华尔街日报》报道称,Sequoia Capital在三月估计公司已经在英伟达芯片上花费了500亿美元以训练大型语言模型。
英伟达即将推出的Blackwell平台,包括有史以来最强大的芯片。公司在3月份宣布了这些芯片时,英伟达 CEO Jensen Huang(现为全球第11大富豪)表示,公司已经得到了来自Amazon Web Services、Dell Technologies、Google、Meta、Microsoft、OpenAI、Oracle、Tesla和xAI的使用承诺。因此,即使AI平台开发遇到放缓,英伟达的估值和收入也将继续迅速上升。
Microsoft新AI套件中的一些功能正在重新启动。公司决定推迟完全发布其Recall功能,该功能自动保存用户计算机活动的截图——在用户试图回忆昨天下午读过的报告名称等信息时,为AI助手提供参考。Forbes高级撰稿人Barry Collins写道,存储这些截图的Recall数据库未加密,意味着任何黑客都能轻易访问敏感数据,包括信用卡号码、密码和银行信息。Collins写道,安全研究人员在发现这一漏洞的几天内,就展示了可以提取这些信息的恶意代码。
Microsoft在计划向公众发布新AI PC之前,对Recall进行了一些快速更改。默认情况下将关闭Recall,使用该功能的人在调用信息之前需要通过认证,数据库将完全加密,但随后公司决定暂时不发布Recall,以确保体验符合我们的高质量和安全标准,Microsoft在其Windows Experience博客上写道。
Collins与几位专家讨论了这一初步失误是否会影响Recall的全面推出,预计会有一个大幅改进的版本。Directions on Microsoft的研究分析师Wes Miller表示,这“可能让许多用户对该功能失去了兴趣,也可能注定了它在必须保持真正强大的安全、合规和风险管理方法的组织中的大规模使用。”
虽然许多法院和调查报告是公开的,但其他一些是保密的——这是有充分理由的。法院处理的个人问题包括家庭暴力、离婚和子女监护,关于这些案件的大部分信息不适合公开。去年秋天,Forbes高级撰稿人Emily Baker-White报道,一位安全研究人员发现佛罗里达州一些县法院和执法系统中存在巨大漏洞,可能允许在线访问数百万份机密记录。当他们向相关部门报告这些漏洞时,取得的进展有限,直到他们在博客上详细描述了其中一些问题后,问题才得到解决。专家告诉Forbes,在网络安全方面,许多较小的政府实体没有大预算或时间来关注细节。虽然一些漏洞只是安全链中的薄弱环节,但它提醒我们要测试和重新测试安全性。毕竟,网络攻击和黑客利用个人信息的行为变得越来越复杂,这些数据可能很容易被用来对付普通人。
乔治城大学访问学者Marshall Lux关于董事会与网络安全关系的观点
2019年,黑客在软件公司SolarWinds发布的更新中插入了恶意代码,最终导致包括地方、州和联邦机构在内的3万多家公共和私人组织的系统被入侵。去年10月,证券交易委员会宣布对SolarWinds及其CISO提起诉讼,指控他们对其网络安全计划做出误导性陈述,未能披露其对漏洞的了解以及未能有内部控制措施来保护其资产。
这些指控是SEC首次对个人提起的诉讼,改变了公司董事会、高管与负责网络安全的人员之间的动态。乔治城大学Psaros金融市场与政策中心的访问学者Marshall Lux撰写了一篇论文,研究这种关系的变化。我与他进行了交谈,讨论了他的见解,以及为了保护公司的数据和声誉需要做些什么。以下是我们对话的摘录,经过长度、清晰度和连贯性的编辑。
SolarWinds攻击和网络安全事件的激增如何影响公司CISO与董事会及高管之间的关系?
Lux:我认为CISO现在变得非常重要。在我的许多会议中,CISO每月或每季度向董事会报告。我认为董事会正在仔细审视CISO,并问自己,‘他们是否胜任这项工作?’我认为董事会培训、工具和指标的需求非常大。监管机构要求人们提高能力并进行监督并承担责任。
SolarWinds事件的问题是:最终,这是一个警钟,存在欺诈行为,对吧?这没有被报告。所以董事会明白了,他们需要确保事情被报告、披露,在8-Ks中等等,但这在某些方面只是锦上添花。现在,你必须有知识,必须有委员会,必须有合适的人选,你必须了解工具,你必须确保报告正在进行。
当事件发生时,突然之间就像,‘哦,糟糕。’如果它重复发生,我认为市场会对人们进行折扣,他们会说这个机构不断受到攻击,他们有什么问题?头条新闻的风险很大,声誉损害也很大,客户的不便也很大,给数百万客户发送信件,他们获得免费访问信用局等等,这真是个麻烦。
基于当前的现实,你认为CISO、董事会和CEO之间的理想关系应该是什么样的?董事会成员和高管需要对网络安全问题有多少了解?
我认为董事会需要有基本的并且越来越多的专业知识,必须有一个技术委员会来关注网络和技术。对于许多公司来说,这是一个新的概念。通常你有审计、风险、薪酬、治理等委员会。在我看来,尤其是公司在技术上花费很多时,你需要一个技术委员会,你需要仔细审视你的CISO,并问自己,‘他们是否胜任这项工作?’你需要有指标。
很多时候你会看到人们在展示一些东西,坦白说,这有点技术性。人们会说:我们有生产数据、非生产数据。人们的眼睛就开始发呆,他们会说,‘好吧,这听起来不错。’我主持过技术委员会会议,我们花费大量时间处理文件并说,‘这是什么意思?’如何让一个可能在零售领域工作了一辈子的董事会成员理解这些内容?用简单的英语解释,让我理解风险是什么。
然后你需要有风险框架,你需要有网络框架,这些都是基础的东西,通常情况下,就像摩尔定律一样,当你掌握了它,它会变得复杂百倍,因此你需要持续教育,正如我所说,每个月我看到数据时都会说,‘好吧,让我理解。为什么这不同?这如何改变事物?’现在有暗网信息的数据库,你可以深入了解哪里有不良数据。
此外,这种情况可能发生在任何地方,一个服务器感染,整个技术就会腐烂,所以你必须高度警惕,你必须检查每一个可能的漏洞,外面有很多数据可以使用,这将是一个非常快速发展的领域。
总是有新的风险出现,CISO如何让董事会对现状感到满意,而风险不断增加?
我坚信要指出问题,吓唬董事会是可以的,最糟糕的事情就是在情况不好的时候告诉董事会一切都好。作为一个风险人,你的主要忠诚对象不仅是CEO,还有董事会,所以如果有分歧,如果你受到挑战,要指出问题。在执行会议上,只与CISO进行会谈,请CEO离开,告诉我你担心什么。如果你说实话,你不会失去工作,如果你说,‘我需要更多帮助,我需要更多资源,我需要更多地向你们汇报。’我认为这非常有益。
