【臺灣資安大會直擊】詐騙、網攻、雲端服務出包、AI偽造帶來信任危機!?企業應建立數位信任強化與外界的互動關係

在數位時代，企業或個人使用第三方服務相當普遍，但是將重要系統或資料交給第三方的雲端服務或IDC機房維運就真的能夠高枕無憂，不需擔心資料外洩或誤刪嗎？當雲端服務發生全球大當機，企業營運或服務能夠置身事外嗎？「你覺得使用規模很大的服務商就沒問題嗎？事實上，你會發現他們一旦出現問題就會更嚴重」，安永諮詢執行副總經理曾韵在今年臺灣資安大會上說。

機房大火、雲端服務出包、AI偽造衝擊企業與外界各方的信任關係

舉例來說，幾年前一家歐洲最大規模雲端服務商，因為位於法國一處機房發生大火，一連串反應下，導致數百萬代管網站因此停擺，當時造成不少銀行、線上遊戲、電商、新聞網站都大受影響。

另一案例是個人使用的雲端服務，知名雲端服務大廠的網路相簿導入AI辨識，分類使用者上傳的照片，但是曾有使用者發現特定膚色的人種被錯誤辨識為動物，造成用戶的不滿，讓業者好不容易建立的信任毀於一旦，商譽因此受損。另外，企業使用AI服務，必需確保使用服務不會導致資料外洩風險。

甚至在AI變臉或各種詐騙手法層出不窮下，偽造假消息、虛構影片欺騙民眾或企業，使他們受騙上當，蒙受金錢損失也時有所聞。

上述種種，不論是IT基礎建設因業者錯誤操作或是發生意外災害，或是AI應用如同黑盒子，難以解釋運作方式，甚至是資安攻擊、詐騙都會衝擊數位時代下的數位信任（Digital Trust），危及企業與外界各方利害關係人之間的關係，那麼什麼是數位信任？

曾韵以WEF提出的數位信任定義來看，個人期望數位技術和服務，以及提供這些技術和服務的組織，能保護所有利害關係人的利益，維護社會的期望和價值觀；ISACA則是將數位信任定義為，對數位生態系統內提供者和消費者之間關係、互動及交易完整性的信心，包括對人員、組織、流程、資訊及技術的創建和維護值得信賴的數位世界的能力。

她表示，數位信任涵蓋的面相相當廣泛，資安、詐騙或是可信任AI、負責任的AI，以WEF提出的數位信任框架，建構數位信任的三個目標，其中之一是「安全可靠」（Security and reliability），即組織使用的技術及儲存的資料受到良好的保護，避免受到內外部攻擊、操作或中斷；另一項目標是建立「問責及監督」（Accountability and oversight），將信任責任分配給利害關係人、團隊或職能部門，並制定解決責任無法履行的相關規定；另一目標是包容、道德和負責任使用（Inclusive, ethical and responsibile use），確保可被整個社會廣泛存取及使用，並且負有道德責任感。

WEF也將數位信任涵蓋8大面向或維度（Dimension），包括隱私保護、網路安全（Cybersecurity）、人或社會的安全（Safety）、互通性、透明性、可糾正性、可審計性、公平性（下圖，來源：曾韵）。

如何建立AI的數位信任

以目前熱門的AI應用為例，透明性就是負責任AI，必需與利害關係人溝通，使其知道某項行動背後的原因，可糾正性是必需假設出現錯誤之後，容許糾正錯誤、補救造成的傷害，可審計性則是可供驗證或稽核，至於公平性部分，例如外界關心的A歧視造成的公平性問題。

AI應用需要被妥善的管理，例如目前外界關心的Trusted AI，但是，過度的管理也可能扼殺創新，兩者之間需要尋找平衡點。

「重點在於你拿AI做什麼，金融業自治規範相當強調風險等級，企業需要掌握內部有多少AI應用，對於風險高的應用才是需要注意的，其他的應用則是基本管理即可」，曾韵說。

她以金融業為例，金融業將直接與客戶互動，甚至影響客戶權益者視為高風險應用，儘管金融業因為受到高度監管，業者必需建立自律規範，其他產業的AI應用還沒有迫切的需求，但是政府正在制定AI基本法，未來其他產業也勢必需要加強AI治理，輕忽AI治理，可能造成企業財產或商譽的損失，例如人資依賴AI篩選求職履歷，因為AI偏見可能造成性別歧視。

Trusted AI不只是模型本身，而應該從生命周期角度，從一開始使用訓練資料來源，使用哪些參數、權重設計、過程如何作好保護、還有產出的穩定性，都需要對應的控管，針對評估風險的衝擊，建立風險分級管理框架。曾韵認為，在AI治理中資料治理相當重要，因為資料治理會涉及隱私保護及資料共享，也是目前研擬中的我國AI基本法7大原則之一；另外，她也強調不要過度樂觀認為應用服務不會出錯，任何應用服務都可能出錯，為降低錯誤帶來的風險，可透過第三方風險管理及措施強化數位信任。

對於建構數位信任生態系，曾韵建議企業可以參考ISACA提出的數位信任生態框架 2024（下圖），該框架包含5大要素，關係媒介（Relationship Mediums）、關係（Relationships）、道德商譽及隱私（Ethics, Reputation and Privacy）、利害關係人（Stakeholders）、行動（Activities）。企業根據框架盤點不同的利害關係人，以及企業與他們之間的關係，透過哪些關係媒介互動，與不同關係人的互動行為，例如資料蒐集、資料保護、數位交易、數位互動、數位通訊、數位身分識別等等，這些關係人所在乎或關心的議題，如商品品質、品牌商譽、資料隱私保護、可靠性等等。

對於企業應該如何推動數位信任，可參考WEF建立數位信任的方法論（下圖），首先瞭解企業的商業環境，其次是瞭解數位環境，接下來則是制定數位信任策略，再規畫與實施數位信任瞭解，最後持續的監控執行及改善。

曾韵企業推動數位信任有幾個需要留意的重點，例如企業推動數位信任的目的是和不同的利害關係人建立信任關係，因此需要知道關係人關心的是什麼，考慮不同的關係媒介，設法和他們建立信任，持續監控及改善與他們之間的信任。

為建立國內的數位信任生態系統，目前國內的數位信任協會正在研擬數位信任產業地圖，目前已公告數位信任產業地圖草案，身為協會理事一員的曾韵指出，第一階段已在3月底蒐集外界的意見，未來會再開放各界登錄，協會計畫在今年公告數位信任產業地圖。