作為CIO，他們非常清楚其物理基礎(chǔ)設(shè)施環(huán)境的狀態(tài)，基礎(chǔ)設(shè)施是采用AI平臺(tái)的最大財(cái)務(wù)成本，36%的人表示這是他們目前最大的支出項(xiàng)目，超過八成的CIO表示，他們認(rèn)為為了使AI系統(tǒng)運(yùn)行所需的數(shù)據(jù)量呈指數(shù)級(jí)增長(zhǎng)，將使他們現(xiàn)有的數(shù)據(jù)中心無法承受，基礎(chǔ)設(shè)施挑戰(zhàn)可能導(dǎo)致業(yè)務(wù)挑戰(zhàn)，約80%的CIO擔(dān)心如果基礎(chǔ)設(shè)施無法跟上AI的步伐，他們的業(yè)務(wù)將被甩在后面，85%的CIO表示，他們已經(jīng)在重新評(píng)估企業(yè)的基礎(chǔ)設(shè)施組合，既因?yàn)椴粩嗌仙脑瞥杀?，也因?yàn)锳I對(duì)數(shù)據(jù)需求的增加，在兩年內(nèi)，40%的CIO預(yù)計(jì)管理這些新數(shù)據(jù)的成本將成為他們最大的預(yù)算項(xiàng)目，近三成的人認(rèn)為一般基礎(chǔ)設(shè)施成本將是他們最大的財(cái)務(wù)需求，招聘人才和培訓(xùn)員工是第三和第四位的財(cái)政優(yōu)先事項(xiàng)。

也有人擔(dān)心AI的速度可能導(dǎo)致公司動(dòng)作過快，在沒有足夠時(shí)間確保其穩(wěn)固的情況下加速開發(fā)新應(yīng)用或平臺(tái)。超過三分之一的CIO表示，當(dāng)前影響他們的最大風(fēng)險(xiǎn)之一是技術(shù)債務(wù)，這僅次于網(wǎng)絡(luò)威脅，并且與管理多個(gè)不同系統(tǒng)環(huán)境的風(fēng)險(xiǎn)并列。

那么，CIO應(yīng)該怎么做呢?對(duì)AI實(shí)施所需的一切進(jìn)行清晰的評(píng)估至關(guān)重要，這些評(píng)估應(yīng)轉(zhuǎn)化為與其他高管之間誠(chéng)實(shí)而坦率的對(duì)話。AI有巨大的潛力，但只有在平臺(tái)可用、穩(wěn)固和一致的情況下才能實(shí)現(xiàn)。

當(dāng)SEC去年秋天對(duì)SolarWinds及其CISO提起訴訟后，標(biāo)志著董事會(huì)和非技術(shù)高管對(duì)網(wǎng)絡(luò)安全的看法發(fā)生了變化。喬治城大學(xué)Psaros金融市場(chǎng)與政策中心的訪問學(xué)者M(jìn)arshall Lux撰寫了一篇關(guān)于董事會(huì)與CIO和CISO之間關(guān)系變化的論文。我與他進(jìn)行了交談，下面是我們對(duì)話的摘錄。

超越微軟和蘋果，英偉達(dá)現(xiàn)在是全球最有價(jià)值的公司，這家AI芯片制造商首次在周二超越了這兩大科技巨頭，并一直保持在榜首。英偉達(dá)的股票在上周因AI領(lǐng)域的重新興奮情緒而上漲，這主要得益于蘋果宣布即將推出的AI功能，分析師對(duì)微軟給予了更高的預(yù)期，以及英偉達(dá)本月早些時(shí)候進(jìn)行的10比1股票拆分。唯一讓英偉達(dá)的上漲放緩(以及微軟和蘋果的股價(jià)在上周也創(chuàng)下了歷史新高)的是周三因六月節(jié)假期休市，然而，今天英偉達(dá)的股價(jià)再次飆升，達(dá)到3.4萬億美元的估值，引發(fā)了何時(shí)成為首個(gè)4萬億美元公司的猜測(cè)。

雖然其他公司在制造AI平臺(tái)，但英偉達(dá)制造了運(yùn)行這些平臺(tái)和數(shù)據(jù)所需的芯片。記者估計(jì)英偉達(dá)控制了AI芯片市場(chǎng)的70%到95%。彭博社的供應(yīng)鏈數(shù)據(jù)估計(jì)，微軟實(shí)際上占英偉達(dá)收入的15%。《華爾街日?qǐng)?bào)》報(bào)道稱，Sequoia Capital在三月估計(jì)公司已經(jīng)在英偉達(dá)芯片上花費(fèi)了500億美元以訓(xùn)練大型語(yǔ)言模型。

英偉達(dá)即將推出的Blackwell平臺(tái)，包括有史以來最強(qiáng)大的芯片。公司在3月份宣布了這些芯片時(shí)，英偉達(dá) CEO Jensen Huang(現(xiàn)為全球第11大富豪)表示，公司已經(jīng)得到了來自Amazon Web Services、Dell Technologies、Google、Meta、Microsoft、OpenAI、Oracle、Tesla和xAI的使用承諾。因此，即使AI平臺(tái)開發(fā)遇到放緩，英偉達(dá)的估值和收入也將繼續(xù)迅速上升。

Microsoft新AI套件中的一些功能正在重新啟動(dòng)。公司決定推遲完全發(fā)布其Recall功能，該功能自動(dòng)保存用戶計(jì)算機(jī)活動(dòng)的截圖——在用戶試圖回憶昨天下午讀過的報(bào)告名稱等信息時(shí)，為AI助手提供參考。Forbes高級(jí)撰稿人Barry Collins寫道，存儲(chǔ)這些截圖的Recall數(shù)據(jù)庫(kù)未加密，意味著任何黑客都能輕易訪問敏感數(shù)據(jù)，包括信用卡號(hào)碼、密碼和銀行信息。Collins寫道，安全研究人員在發(fā)現(xiàn)這一漏洞的幾天內(nèi)，就展示了可以提取這些信息的惡意代碼。

Microsoft在計(jì)劃向公眾發(fā)布新AI PC之前，對(duì)Recall進(jìn)行了一些快速更改。默認(rèn)情況下將關(guān)閉Recall，使用該功能的人在調(diào)用信息之前需要通過認(rèn)證，數(shù)據(jù)庫(kù)將完全加密，但隨后公司決定暫時(shí)不發(fā)布Recall，以確保體驗(yàn)符合我們的高質(zhì)量和安全標(biāo)準(zhǔn)，Microsoft在其Windows Experience博客上寫道。

Collins與幾位專家討論了這一初步失誤是否會(huì)影響Recall的全面推出，預(yù)計(jì)會(huì)有一個(gè)大幅改進(jìn)的版本。Directions on Microsoft的研究分析師Wes Miller表示，這“可能讓許多用戶對(duì)該功能失去了興趣，也可能注定了它在必須保持真正強(qiáng)大的安全、合規(guī)和風(fēng)險(xiǎn)管理方法的組織中的大規(guī)模使用?！?/p>

雖然許多法院和調(diào)查報(bào)告是公開的，但其他一些是保密的——這是有充分理由的。法院處理的個(gè)人問題包括家庭暴力、離婚和子女監(jiān)護(hù)，關(guān)于這些案件的大部分信息不適合公開。去年秋天，F(xiàn)orbes高級(jí)撰稿人Emily Baker-White報(bào)道，一位安全研究人員發(fā)現(xiàn)佛羅里達(dá)州一些縣法院和執(zhí)法系統(tǒng)中存在巨大漏洞，可能允許在線訪問數(shù)百萬份機(jī)密記錄。當(dāng)他們向相關(guān)部門報(bào)告這些漏洞時(shí)，取得的進(jìn)展有限，直到他們?cè)诓┛蜕显敿?xì)描述了其中一些問題后，問題才得到解決。專家告訴Forbes，在網(wǎng)絡(luò)安全方面，許多較小的政府實(shí)體沒有大預(yù)算或時(shí)間來關(guān)注細(xì)節(jié)。雖然一些漏洞只是安全鏈中的薄弱環(huán)節(jié)，但它提醒我們要測(cè)試和重新測(cè)試安全性。畢竟，網(wǎng)絡(luò)攻擊和黑客利用個(gè)人信息的行為變得越來越復(fù)雜，這些數(shù)據(jù)可能很容易被用來對(duì)付普通人。

喬治城大學(xué)訪問學(xué)者M(jìn)arshall Lux關(guān)于董事會(huì)與網(wǎng)絡(luò)安全關(guān)系的觀點(diǎn)

2019年，黑客在軟件公司SolarWinds發(fā)布的更新中插入了惡意代碼，最終導(dǎo)致包括地方、州和聯(lián)邦機(jī)構(gòu)在內(nèi)的3萬多家公共和私人組織的系統(tǒng)被入侵。去年10月，證券交易委員會(huì)宣布對(duì)SolarWinds及其CISO提起訴訟，指控他們對(duì)其網(wǎng)絡(luò)安全計(jì)劃做出誤導(dǎo)性陳述，未能披露其對(duì)漏洞的了解以及未能有內(nèi)部控制措施來保護(hù)其資產(chǎn)。

這些指控是SEC首次對(duì)個(gè)人提起的訴訟，改變了公司董事會(huì)、高管與負(fù)責(zé)網(wǎng)絡(luò)安全的人員之間的動(dòng)態(tài)。喬治城大學(xué)Psaros金融市場(chǎng)與政策中心的訪問學(xué)者M(jìn)arshall Lux撰寫了一篇論文，研究這種關(guān)系的變化。我與他進(jìn)行了交談，討論了他的見解，以及為了保護(hù)公司的數(shù)據(jù)和聲譽(yù)需要做些什么。以下是我們對(duì)話的摘錄，經(jīng)過長(zhǎng)度、清晰度和連貫性的編輯。

SolarWinds攻擊和網(wǎng)絡(luò)安全事件的激增如何影響公司CISO與董事會(huì)及高管之間的關(guān)系?

Lux：我認(rèn)為CISO現(xiàn)在變得非常重要。在我的許多會(huì)議中，CISO每月或每季度向董事會(huì)報(bào)告。我認(rèn)為董事會(huì)正在仔細(xì)審視CISO，并問自己，‘他們是否勝任這項(xiàng)工作?’我認(rèn)為董事會(huì)培訓(xùn)、工具和指標(biāo)的需求非常大。監(jiān)管機(jī)構(gòu)要求人們提高能力并進(jìn)行監(jiān)督并承擔(dān)責(zé)任。

SolarWinds事件的問題是：最終，這是一個(gè)警鐘，存在欺詐行為，對(duì)吧?這沒有被報(bào)告。所以董事會(huì)明白了，他們需要確保事情被報(bào)告、披露，在8-Ks中等等，但這在某些方面只是錦上添花。現(xiàn)在，你必須有知識(shí)，必須有委員會(huì)，必須有合適的人選，你必須了解工具，你必須確保報(bào)告正在進(jìn)行。

當(dāng)事件發(fā)生時(shí)，突然之間就像，‘哦，糟糕。’如果它重復(fù)發(fā)生，我認(rèn)為市場(chǎng)會(huì)對(duì)人們進(jìn)行折扣，他們會(huì)說這個(gè)機(jī)構(gòu)不斷受到攻擊，他們有什么問題?頭條新聞的風(fēng)險(xiǎn)很大，聲譽(yù)損害也很大，客戶的不便也很大，給數(shù)百萬客戶發(fā)送信件，他們獲得免費(fèi)訪問信用局等等，這真是個(gè)麻煩。

基于當(dāng)前的現(xiàn)實(shí)，你認(rèn)為CISO、董事會(huì)和CEO之間的理想關(guān)系應(yīng)該是什么樣的?董事會(huì)成員和高管需要對(duì)網(wǎng)絡(luò)安全問題有多少了解?

我認(rèn)為董事會(huì)需要有基本的并且越來越多的專業(yè)知識(shí)，必須有一個(gè)技術(shù)委員會(huì)來關(guān)注網(wǎng)絡(luò)和技術(shù)。對(duì)于許多公司來說，這是一個(gè)新的概念。通常你有審計(jì)、風(fēng)險(xiǎn)、薪酬、治理等委員會(huì)。在我看來，尤其是公司在技術(shù)上花費(fèi)很多時(shí)，你需要一個(gè)技術(shù)委員會(huì)，你需要仔細(xì)審視你的CISO，并問自己，‘他們是否勝任這項(xiàng)工作?’你需要有指標(biāo)。

很多時(shí)候你會(huì)看到人們?cè)谡故疽恍〇|西，坦白說，這有點(diǎn)技術(shù)性。人們會(huì)說：我們有生產(chǎn)數(shù)據(jù)、非生產(chǎn)數(shù)據(jù)。人們的眼睛就開始發(fā)呆，他們會(huì)說，‘好吧，這聽起來不錯(cuò)?！抑鞒诌^技術(shù)委員會(huì)會(huì)議，我們花費(fèi)大量時(shí)間處理文件并說，‘這是什么意思?’如何讓一個(gè)可能在零售領(lǐng)域工作了一輩子的董事會(huì)成員理解這些內(nèi)容?用簡(jiǎn)單的英語(yǔ)解釋，讓我理解風(fēng)險(xiǎn)是什么。

然后你需要有風(fēng)險(xiǎn)框架，你需要有網(wǎng)絡(luò)框架，這些都是基礎(chǔ)的東西，通常情況下，就像摩爾定律一樣，當(dāng)你掌握了它，它會(huì)變得復(fù)雜百倍，因此你需要持續(xù)教育，正如我所說，每個(gè)月我看到數(shù)據(jù)時(shí)都會(huì)說，‘好吧，讓我理解。為什么這不同?這如何改變事物?’現(xiàn)在有暗網(wǎng)信息的數(shù)據(jù)庫(kù)，你可以深入了解哪里有不良數(shù)據(jù)。

此外，這種情況可能發(fā)生在任何地方，一個(gè)服務(wù)器感染，整個(gè)技術(shù)就會(huì)腐爛，所以你必須高度警惕，你必須檢查每一個(gè)可能的漏洞，外面有很多數(shù)據(jù)可以使用，這將是一個(gè)非?？焖侔l(fā)展的領(lǐng)域。

總是有新的風(fēng)險(xiǎn)出現(xiàn)，CISO如何讓董事會(huì)對(duì)現(xiàn)狀感到滿意，而風(fēng)險(xiǎn)不斷增加?

我堅(jiān)信要指出問題，嚇唬董事會(huì)是可以的，最糟糕的事情就是在情況不好的時(shí)候告訴董事會(huì)一切都好。作為一個(gè)風(fēng)險(xiǎn)人，你的主要忠誠(chéng)對(duì)象不僅是CEO，還有董事會(huì)，所以如果有分歧，如果你受到挑戰(zhàn)，要指出問題。在執(zhí)行會(huì)議上，只與CISO進(jìn)行會(huì)談，請(qǐng)CEO離開，告訴我你擔(dān)心什么。如果你說實(shí)話，你不會(huì)失去工作，如果你說，‘我需要更多幫助，我需要更多資源，我需要更多地向你們匯報(bào)?！艺J(rèn)為這非常有益。