前美國中央情報局（CIA）數位創新副主任Jennifer Ewbank分享AI轉型中的資安經驗，提出七大教訓，強調組織文化、基礎治理及敵對思維對打造韌性AI系統至關重要。她於2019年起領導CIA數位轉型，應對資料爆炸及生成式AI挑戰，成功將資安融入技術核心。隨著AI驅動攻擊及量子運算興起，台灣企業正加速AI部署，需借鏡Ewbank教訓，平衡創新與安全，強化身份管理及自動化遏制，防範供應鏈及雲端漏洞風險。

 

Ewbank於2024年自CIA退休，轉為資安顧問，近期接受Dark Reading專訪，分享CIA AI轉型經驗。2019年，CIA面臨數位時代情報挑戰，Ewbank指出：「招募間諜及收集情報變得極具挑戰，所有行動—移動、聯繫—皆被感測並記錄。」為處理資料洪流，CIA需近即時分析多來源訊號，否則將落後敵手。她強調：「若不正確採用AI，我們將失敗並迅速過時，讓壞人得逞。」為此，CIA成立數位創新局（DDI），由Ewbank領導，統籌數位基礎設施，確保AI部署具資安韌性。

 

教訓一：組織文化是關鍵 Ewbank表示，AI轉型最大挑戰非技術，而是組織文化。CIA早期技術孤島、預算及人力分配僵化，缺乏協作「肌肉記憶」。她運用數十年情報工作經驗，領導全球多站，推動跨部門合作，打破文化壁壘。她說：「技術不是最大挑戰，而是組織對齊。」台灣企業常面臨類似孤島問題，應建立跨部門資安文化，確保技術與業務目標一致。

 

教訓二：AI驅動任務需可信 Ewbank將CISO角色納入DDI，改變資安定位，從安全辦公室轉為數位核心。她說：「CISO需參與系統設計每一步，確保AI安全可靠。」此舉讓CISO、CIO及資料長組成數位高層，加速風險決策。台灣企業應效法，將資安嵌入AI部署，避免如微軟Entra ID漏洞（CVE-2025-55241）導致跨租戶入侵。她警告：「未設資安護欄的AI快速部署，將帶來嚴重後果。」

 

教訓三：教育打破技術孤島 為促進協作，Ewbank創建「數位大學」，要求DDI全員接受跨領域數位訓練，建立共同語言。資料科學家學習網路設計及資安，技術人員了解雲運算。此舉助CIA技術人員協同工作，縮小文化差距。她說：「這不讓人人成專家，但提供技術棧共同詞彙。」台灣企業可透過結構化教育，培訓資安與AI交叉人才，應對生成式AI漏洞，如北韓Kimsuky利用ChatGPT偽造軍ID。

 

教訓四：資安不擁有風險 Ewbank強調，資安風險屬於企業高層，而非僅CISO責任。她說：「CISO提供技術洞察，但CEO、CFO及風險長決定風險承擔。」CIA領導團隊全面了解資安風險，參與決策。台灣企業應讓董事會及高層參與資安治理，評估AI部署的投資與風險平衡，防範如RaccoonO365釣魚攻擊導致資料外洩。

 

教訓五：AI韌性靠基礎治理 AI轉型成功取決於「無趣」的基礎工作：資料治理、身份管理及存取控制。Ewbank說：「沒人想投資這些，但不做好，AI風險將激增。」CIA現代化身份管理，確保架構限制未授權存取損害。台灣企業應強化IAM，參考微軟SFI計畫，部署MFA及條件存取，防範SonicWall雲端備份入侵類事件。

 

教訓六：敵對思維不可少 Ewbank提倡敵對思維，模擬攻擊者意圖，而非僅關注漏洞。她說：「若不思考敵人想做什麼，你錯過拼圖一角。」CIA透過角色扮演及桌面演練，分析AI模型入侵意圖。台灣企業應採用紅隊測試，模擬如FBI警告的UNC6040 vishing攻擊，確保AI系統具備遏制能力。

 

教訓七：不完美勝於無為 Ewbank強調，資安分析癱瘓不可阻礙AI進展。她說：「你永遠不會有完美資訊，但必須行動。無為是最大風險。」CISO需在每步轉型中平衡AI韌性與創新，協助高層權衡不行動風險。台灣企業應採漸進式零信任，逐步部署保護表面，如Illumio的微分段，防範供應鏈攻擊。

 

Ewbank的教訓呼應近期資安趨勢，如微軟Entra ID漏洞暴露IAM缺陷、SonicWall備份入侵顯示雲端風險。台灣資安專家分析，企業需將資安融入AI策略，強化自動化及可視化。行政院資通安全會報表示，將推廣零信任及敵對思維訓練，鼓勵企業投資SIEM及紅隊測試。趨勢科技台灣區總經理洪偉淦指出：「AI轉型需從基礎做起，台灣企業應效法CIA，整合CISO於決策核心，確保AI安全。」企業防範之道包括：實施MFA、監控異常API呼叫、培訓員工辨識AI釣魚。隨著AI普及，台灣需加速資安轉型，確保數位未來安全。

 

出處：Dark Reading 作者：Ericka Chickowski