Anmerkung der Redaktion: Dieser Artikel, verfasst von Brad Hibbert, Prevalent Chief Operations and Strategy Officer, wurde ursprünglich auf securitymagazine.com veröffentlicht.
Obwohl es künstliche Intelligenz (KI) schon seit geraumer Zeit gibt, hat sich die Einführung und Entwicklung von KI-bezogenen Technologien im letzten Jahr dramatisch weiterentwickelt. Ein Bereich, der bereit zu sein scheint, von KI zu profitieren, ist das Risikomanagement von Drittanbietern - das heißt, wenn KI Unternehmen eine einfachere Möglichkeit bietet, die Risiken von Drittanbietern und Lieferanten zu verwalten und die Einhaltung der komplexen gesetzlichen Vorschriften zu gewährleisten.
Dritte Parteien: Chancen und Herausforderungen
Unternehmen verlassen sich bei der Lieferung einer Vielzahl von Waren und Dienstleistungen zunehmend auf Dritte, da dies weitaus effizienter und kostengünstiger ist, als alles selbst zu produzieren. Leider erhöht diese Praxis auch das Risiko für Anbieter und Lieferanten. Komplexe globale Lieferketten machen es unglaublich schwierig, einen klaren Überblick über die Sicherheits- und Risikomanagementpraktiken einer wachsenden Zahl von Drittanbietern zu erhalten. Und wie können Sicherheitsexperten Risiken mindern, die sie nicht kennen? Das ist eine schwierige, aber wichtige Aufgabe, denn Cyberkriminelle greifen zunehmend Dritte in der Lieferkette an, um sensible Daten zu stehlen und den Betrieb zu stören.
Da die Bedrohungen durch Dritte immer raffinierter werden, benötigen Unternehmen immer mehr Zeit, um Risiken durch Dritte zu erkennen und zu beseitigen. Für diese Entwicklung gibt es drei Hauptgründe:
- Das Volumen der Cyberdaten nimmt weiter zu und stammt aus einer ständig wachsenden Zahl von Quellen. Die riesigen Datenmengen erfordern mehr Zeit und Aufwand für die Analyse und Überprüfung.
- Analyseprozesse erfordern verschiedene Arten von Dokumentation, je nach der Abteilung, die den Anbieter verwaltet, und den Risiken, die sie verwalten wollen. Die Risiken können finanzieller, betrieblicher, gesetzlicher, reputationsbezogener oder informationstechnologischer Art sein, was die Art der für die Analyse erforderlichen Dokumentation - und Fachkenntnisse - erheblich erweitert.
- Die gesetzlichen Anforderungen können sich überschneiden oder unklar sein, aber sie werden auch immer strenger, was die Sanierung und Berichterstattung erschwert.
Das Risikomanagement von Drittanbietern steht nun vor einem Wendepunkt. Wie können Sicherheitsverantwortliche angesichts der anhaltenden Budget- und Ressourcenknappheit die Effizienz ihrer Drittanbieter-Risikomanagementprogramme (TPRM) verbessern? Dies ist unabdingbar, wenn sie das Risiko von Sicherheitsverletzungen verringern, die potenziellen Auswirkungen auf das Geschäft minimieren und den Ruf des Unternehmens schützen wollen.
Kann KI die Prozesse des Risikomanagements für Dritte rationalisieren?
KI könnte die Antwort sein. Im Folgenden werden drei konkrete Möglichkeiten aufgezeigt, wie KI die Herausforderungen für Drittanbieter und Lieferanten verbessern kann.
1. Automatisieren Sie die Erfassung und Analyse von Risikodaten aus einer Vielzahl von Quellen - KI kann die Erfassung und Analyse von Daten aus einer Vielzahl von Quellen automatisieren, z. B. aus Finanzberichten, Sicherheitsprotokollen und Sicherheitszertifizierungen. KI kann dann zukünftige Risiken auf der Grundlage historischer Daten aus diesen Artefakten und aktueller Trends vorhersagen. Dies reduziert den Zeit- und Arbeitsaufwand für die Verwaltung von Risiken Dritter und verbessert die Qualität der Entscheidungsfindung.
2. Bereitstellung von Kontext zur Vereinfachung der Risikoanalyse und der Compliance-Berichterstattung - Die Einhaltung einer komplexen Reihe von Vorschriften kann eine große Herausforderung für Compliance- und Audit-Teams darstellen, denen es oft an klaren Leitlinien für den Umgang mit Risiken fehlt. Häufig sind auch die für die Validierung von Kontrollen identifizierten Prozesse uneinheitlich, was den Prozess zusätzlich erschwert. Doch während die Analyse und Verarbeitung enormer Datenmengen für Menschen zeitaufwändig (und langweilig) ist, können richtig geschulte KI-Systeme große Mengen an Risikodaten automatisch analysieren, um Kontext zu liefern und Muster und Trends zu erkennen. Eine KI-Lösung macht es für Compliance- und Audit-Teams einfacher, Risiken und Kontrollen zu bewerten und Anleitungen und Empfehlungen für Abhilfemaßnahmen zu erstellen.
3. Automatisieren Sie manuelle Aufgaben, damit Risikomanager proaktiver handeln können - Risikomanager verbringen traditionell viel Zeit damit, Tabellenkalkulationen zu sichten, Daten manuell einzugeben und Berichte zu erstellen. Das macht es schwierig, Strategien zu entwickeln, neue Risiken zu analysieren und eine langfristige Planung vorzunehmen. Da KI historische Daten und aktuelle Trends sammelt und analysiert, kann sie künftige Risiken vorhersagen und so Sicherheitsexperten dabei helfen, proaktiver zu werden, da sie tatsächlich die nötige Zeit haben, um Risiken, die die Ziele des Unternehmens bedrohen könnten, vorherzusagen, zu bewerten und zu mindern. Das Ergebnis sind schnellere, genauere und datengesteuerte Entscheidungen in Bezug auf Risiken im Zusammenhang mit Drittanbietern und Lieferanten.
Was Sie von einem AI TPRM erwarten sollten
Im Laufe des letzten Jahres wurde deutlich, dass KI, insbesondere die großen Sprachmodelle (LLMs), die die Nachrichten dominiert haben, nicht unbedingt eine perfekte Lösung für jedes Problem bieten. Unternehmen, die KI-Tools einsetzen, müssen sich einiger potenzieller Risiken bewusst sein und sicherstellen, dass diese berücksichtigt werden.
- Unabhängig davon, ob es sich um statistische Anomalien, falsche Eingaben oder ungeeignete Lernmodelldaten handelt, kann die KI eine ungültige Interpretation als Tatsache ausgeben (und dies mit großer Sicherheit). Dies wird als Halluzination bezeichnet. Um diesem Risiko zu begegnen, müssen KI-TPRM-Lösungen sicherstellen, dass die Daten, die zum Trainieren des Modells verwendet werden, auf echten Risikodaten Dritter basieren - sie müssen genau, vielfältig und repräsentativ für reale Szenarien sein. Solche Lösungen müssen ihre Modelle kontinuierlich verfeinern, um sicherzustellen, dass sie durch das Erlernen von Kontext und Nuancen, die für das Risiko Dritter spezifisch sind, immer besser werden.
- Wenn KI-Systeme mit verzerrten Lernmodelldaten erstellt werden, sind die Antworten zwangsläufig ebenso verzerrt. Verzerrungen können schwer zu erkennen sein, daher ist es wichtig, Trainingsdaten zu verwenden, die vielfältig und repräsentativ für die reale Bevölkerung sind. Es ist wichtig, die KI-Modelle ständig zu aktualisieren und neu zu trainieren, um neue Daten einzubeziehen und mögliche Verzerrungen zu verringern. Menschliche Prüfer sind eine wichtige Möglichkeit, um Verzerrungen in KI-generierten Inhalten und Entscheidungen zu erkennen und die Leistung der Lösung zu bewerten. Dies bedeutet, dass Lösungsanbieter regelmäßige Audits dieser KI-Modelle durchführen müssen.
- Es ist wichtig, daran zu denken, dass die Eingabe von geschützten Daten in LLMs von Drittanbietern keine gute Idee ist, da die Daten dann außerhalb des Unternehmens weitergegeben werden können. Ebenso können LLM-Lösungen Eingaben in ihre Datenmodelle einbetten, die spätere Abfragen auf diese möglicherweise vertraulichen Daten ermöglichen. Um unbefugten Zugriff zu verhindern, müssen sensible Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden, um sie vor solchen Abfragen zu schützen. Wenn KI zur Bewältigung bestimmter TPRM-Aufgaben eingesetzt wird, muss die Lösung strenge Zugangskontrollen und Autorisierungsmechanismen enthalten, um zu verhindern, dass nicht autorisierte Personen oder Systeme auf die Daten zugreifen und sie manipulieren.
Das Management von Drittanbietern und Lieferanten war schon immer eine Herausforderung im Risikomanagement. Von der Due-Diligence-Prüfung über Compliance-Checks bis hin zur laufenden Überwachung - Risikomanager sind mit den Anforderungen an ihre Zeit und Aufmerksamkeit überfordert. Eine entsprechend geschulte und gewartete KI-Lösung für TPRM kann Routineaufgaben automatisieren und fortschrittliche Analysewerkzeuge bereitstellen, damit sich Risikomanager auf strategische Aktivitäten konzentrieren können, die dem gesamten Unternehmen zugute kommen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
