“恶意”技术通常与勒索软件、入侵系统窃取数据或制造计算机病毒等犯罪活动联系在一起,但 这并不是全部。由于技术形势的发展,技术作恶的定义也该相应扩展,以包含那些虽然合法甚至 被广泛接受,但最终会威胁社会福祉的行为。
科技棱镜未来技术趋势分析
随着技术变得越来越复杂,技术被误用滥用的形式也越来越多。人们在日常活动中越来越依赖科技,相应地,他们也越来越受到意想不到的、甚至是恶意的后果的影响。再加上高度的自动化使人类“蒙在鼓里”,以机器的速度做出决策,出错的可能性就会迅速增加。
根据我们的定义,“作恶”技术不仅包括恶意软件和黑客工具等犯罪技术,还包括恶意广告和客户定位。一项技术是否属于作恶,可能是一个视角问题。有些人并不认为互联网广告、跟踪Cookie 或社交媒体传播活动具有侵入性,他们很乐意用自己的数据换取他们认为个性化或特殊价值的服务。有些人则在浏览器中安装了广告拦截软件,并完全避开微博、朋友圈等社交应用。对某些人来说,同意跟踪记录或收集个人数据基本上是一种自动选择;而对另一些人来说,则需要经过谨慎思考。
更重要的是,并非所有的作恶行为都是恶意或蓄意的。算法或机器学习系统中的偏差就是一例。这种偏差可能对某些客户群体表现出恶意倾向,但这种偏差并非由于系统在某方面妥协或设计者有意为之。
相关预兆信号包括:
• 技术日益普及,潜在威胁同时也在扩大。海量的联网设备就是一个简单的例子:IDC 预测,活跃的物联网(IoT)设备的数量到 2025 年将增至 557 亿部。所有这些设备都会有被利用的潜在安全漏洞。
• 消费者对广告和营销技术的态度和行为正在发生变化,接受广泛使用自身数据的人和更关心隐私的人之间的分歧也越来越大
• 对于社交媒体在政治竞选中的使用和影响,以及社交媒体渠道对政治和其他社会舆论的影响,人们日益感到焦虑
• 人工智能和机器学习的应用日益广泛,产生了一些意想不到的后果,例如算法偏见。对恶意影响的担忧促使人们试图控制人工智能在如“招聘”等流程中的使用
• 围绕数据收集、保留和使用的法规得到加强,如《欧洲通用数据保护条例》(GDPR)、《加州隐私权法》(CPRA)以及其他司法辖区的同类规定
机会
防范黑客蓄意攻击和恶意软件变得越来越重要。随着企业受攻击面日益扩大,企业必须大力投入进行防御,以对抗资金雄厚、组织严密的攻击者。然而,随着发生危险的可能性上升,企业还必须考虑恶意技术的其他方面问题。我们相信,尊重客户的意愿,避免“如影随形”的受众定位(如大数据杀熟),并根除算法系统中的偏见,不仅从本质上来说是正确的事情,而且有利于建立信任和积极的公众认知,并最终有利于企业的健康发展。
根据 IBM 的数据,2020 年,全球数据泄露造成的平均损失为 386 万美元。仅 2020 年上半年,欧洲监管机构针对违反 GDPR 的行为开出的罚单总计超过 5,000 万欧元。随着消费者对隐私日益重视,稳健的隐私保护措施已成为某些公司的一大优势。麦肯锡最近的一项调查发现,如果消费者担心一家公司的安全措施,或者认为其在未经许可的情况下泄露敏感数据,那么这些消费者大多数就不会与该公司开展业务。
我们所看到的当前形势
在与英国政府为期七年的一个合作项目中,我们帮助他们改变了与公民互动以及向公民提供公共服务的方式,从一开始就将信任和安全视为重中之重。该项目将不同的政府网站整合为一个强大而便利的平台,增强了公民体验,并大大缩短了部署周期。重要的是,该平台有一个在线身份认证系统提供支持,从而在公民提交服务申请时,同时满足所有必要的数据保护要求,并尊重个人的隐私权。最大限度减少产生负面结果的可能性,增强人们对平台的信心,促进了该平台的迅速普及。
采纳:当下存在的技术,正在业界得到充分利用。
——安全的软件交付。将交付流水线视为高风险的生产系统,因为根据设计,它们用于将软件部署到生产环境中。了解动态数据和静态数据的安全隐患。生成审计跟踪记录,了解并集成异常检测解决方案,以帮助检测安全事件。及时了解影响本地区的法规及其对系统的影响。
分析:受到关注的技术,但依赖不同行业和应用场景。
——现代化的授权机制。不断增加的网络威胁和不利因素,加上去中心化的微服务架构,已经让传统的授权(AuthZ)解决方案不堪重负。随着网络边界信任的逐渐消失,基于网络位置的授权已经失去作用。企业应考虑采用零信任、eyondCorp、BeyondProd 以及信任向量等方法实现 AuthZ 流程的现代化,并在授权决策中纳入更多因素。
预测:成熟度欠缺的技术,可能在未来几年产生重大影响。
——量子计算:量子计算是一个经过验证的概念,但尚未大规模采用,可能需要很长时间才能达到成熟。尽管其潜在应用的全部范围尚不清楚,但它值得密切关注,因为使用 Shor 算法之类的量子算法有可能可以轻松破解对许多系统,甚至整个互联网的加密。
对采纳者的建议
关注安全,人人有责。安全状况是不断变化的,不能只由一个人或一个部门负责;企业所有人员都需要把安全放在首位。同样,您也不能简单地购买一个安全解决方案,安装它,然后就高枕无忧。从概念到生产的整个产品生命周期中都应考虑安全因素。将审计与监控结合起来,这样您就可以主动发现漏洞,并在出现漏洞时迅速做出响应。
宣传企业对于保护隐私的积极立场。制定并传达清晰的策略(例如,承诺客户数据将永远不会离开设备),以此作为企业的差异化优势。确保员工和客户完全理解这些政策。宣传企业对于保护隐私的积极立场。
只采集为消费者提供服务所需的数据。只采集为消费者提供服务所需的数据,而不是简单地收集所有可能采集到的数据。收集和存储非关键业务数据只会增加企业的技术和合规性负担,并为黑客或其他行为不轨者创造更大的攻击目标。
制定一个明确的框架,概括企业检测和避免系统中的偏见的相应政策。制定一个明确的框架,概括企业检测和避免系统中的偏见的相应政策, 并推行合乎道德的技术措施。布鲁金斯学会的“偏见检测和消除算法: 减轻对消费者的危害的最佳实践和政策”就是一个例子。
Rebecca Parsons 博士,首席技术官:到 2022 年,企业将在开发和部署面向客户的系统和产品时,应考虑到比隐私泄露和安全漏洞更广泛的负面影响,并且要了解采取有力措施以最大程度减少意想不到的“作恶”结果,可能会成为竞争优势的一个来源。对富有远见的公司来说,安全和道德实践将体现在团队从事的一切工作中,而不仅仅是一套政策。