商傳媒|林昭衡/綜合外電報導

面對人工智慧(AI)科技的快速發展,企業雇主正面臨日益複雜的資安威脅。專家指出,對於企業退休金計畫管理者而言,與其全面禁止組織內部使用AI工具,更應採行有效的控制措施來管理相關風險。

美國信安金融集團(Principal Financial Group)的商業資訊安全長 David Ogg 表示,保護參與者的退休金資產,需要多層次的防護策略,包含負責任的AI導入、強大的身份保護機制以及持續的教育訓練。Segal 的管理與科技顧問執業資深顧問 Scott Miller 也在文章中提到,單純地不允許在工作場所使用AI,並不足以應對潛在威脅。

為有效管理AI風險,企業退休金計畫管理者可採取多項策略:限制或阻擋員工存取公共AI工具,並部署具備安全防護、監控與資料保護機制的企業級AI平台。Scott Miller 建議一套四步驟的行動計畫:諮詢法律意見、與同行及顧問交流、釐清AI最佳使用案例,並制定一份明確的AI使用政策。這份政策應禁止未經授權的使用、要求員工接受培訓,並納入AI相關詐騙的教育,同時對供應商使用AI工具提出明確要求。

另一位 Segal 的資深顧問 Wayne Leipold 指出,企業在導入AI的同時,仍能維持其問責制與透明度。他引述一個公共退休金系統的案例,該系統將其AI計畫建構成一系列協調的努力,旨在確保AI導入的有效性、良好治理和永續性。此計畫確立了指導原則,強調AI應輔助人類判斷、符合組織價值,並優先考量資料隱私、安全與透明度。其關鍵成果是制定了一份「AI負責任使用政策」,將廣泛的概念轉化為可接受使用、人為監督、培訓要求與問責制的實務準則。

隨著詐騙手法不斷演進,惡意行為者正利用AI驅動的社交工程、假冒身分與憑證填充攻擊,來入侵參與者的帳戶及第三方供應商。一份由 Sagiss 於今年2月發布的調查顯示,64%的受訪者認為AI生成的訊息很有可能冒充他們認識的人,而57%的受訪者認為AI使得駭客的釣魚手法更難辨識,因為攻擊更顯專業化。此外,Salesforce 於2023年進行的一項跨14國員工調查發現,高達55%的受訪員工曾使用未經批准的生成式AI工具,其中69%從未接受過安全與道德使用方面的培訓。

美國勞工部勞工福利安全域性(EBSA)在2024年的網路安全指南更新中建議,退休金計畫的受託人應至少每年對員工進行一次網路安全意識培訓。EBSA 更將網路安全列為其2026年執法專案的優先事項。指南特別指出,身分盜用是導致詐欺性分配的關鍵原因,因此應將其作為培訓重點,著重於利用未經授權存取系統的最新趨勢,包括冒充經授權的計畫官員、受託人、參與者或受益人。

Scott Miller 強調,AI政策不應是「設定後就忘記」的做法,退休金計畫管理者必須持續了解相關法律與AI工具的演變,並隨時更新政策。David Ogg 也補充說,AI及其威脅格局將持續發展,網路安全不僅是資訊科技議題,更是確保退休金準備與參與者長期信任的核心要素。