Libera la potenza dell'IA generativa

L'intelligenza artificiale generativa pone diverse minacce alla protezione dei dati. Tra queste vi sono la perdita e la violazione dei dati e la non conformità con le norme sulla riservatezza dei dati.

Le applicazioni di IA generativa come ChatGPT e Bard sono degli LLM che apprendono dalle informazioni inserite dagli utenti. Ad esempio, se un utente sta esaminando delle informazioni sull'obiettivo dell'attività di fusione e acquisizione che non sono state ancora rese pubbliche, le ricerche successive da parte di altri utenti potrebbero rivelare tali informazioni.

Se un programmatore software utilizza l'IA generativa per eseguire il debug del codice di un software proprietario, la proprietà intellettuale rischia di diventare di dominio pubblico o, peggio ancora, di finire nella mani della concorrenza. Analogamente, se l'ingegnere utilizza l'intelligenza artificiale generativa per scrivere il codice, questo potrebbe contenere un malware che potrebbe fornire a un aggressore una backdoor nel sistema dell'azienda.

Infine, le leggi sulla riservatezza dei dati, come l'HIPAA o la GDPR, impongono alle organizzazioni di proteggere scrupolosamente i dati personali. L'utilizzo dell'intelligenza artificiale generativa per qualsiasi cosa che ha a che fare con Personally Identifiable Information (PII), come la bozza di una risposta via email a una richiesta del cliente, potrebbe esporre l'azienda al rischio di non conformità, dal momento che queste informazioni potrebbero venire diffuse o utilizzate in modo improprio.

L'intelligenza artificiale generativa può essere utilizzata per scrivere malware e contenuti di spoofing per gli attacchi di phishing e spear-phishing. Anche le aziende di IA generativa come ChatGPT sono a rischio di violazione dei dati, visto che danno accesso agli aggressori ai dati sensibili degli utenti.

Un esempio di utilizzo dell'intelligenza artificiale generativa per creare malware è quello di Aaron Mulgrew di Forcepoint. Mulgrew è riuscito a convincere ChatGPT a scrivere un codice malevole nonostante ChatGPT disponga di misure di protezione per impedire che ciò accada.

Al fine di proteggere i dati dall'intelligenza artificiale generativa, è necessario un controllo degli accessi in tempo reale e dei solidi controlli dei dati. 

Una piattaforma come Forcepoint ONE SSE è in grado di fornire alle organizzazioni accesso agli strumenti di IA generativa a un numero limitato di dipendenti che sono stati autorizzati a utilizzarli. Queste politiche possono essere implementate sia su dispositivi gestiti che su quelli non gestiti, offrendo alle aziende un'ampia gamma di controllo.

Con Forcepoint DLP, gli utenti di ChatGPT e Bard saranno limitati in quali informazioni possono condividere con le piattaforme al fine di prevenire la perdita accidentale di dati. Ciò include la prevenzione del copia e incolla delle informazioni sensibili, come i numeri di previdenza sociale, nell'applicazione.

Il panorama delle minacce nella sicurezza informatica è in continua evoluzione e, sebbene l'intelligenza artificiale generativa rappresenti un rischio emergente, vi sono delle tecnologie esistenti per mitigarlo.

L'IA generativa è più a rischio di diventare un'altra via per la perdita o la violazione dei dati, non troppo diversamente da qualsiasi altra applicazione SaaS che le aziende utilizzano quotidianamente. Se i dipendenti lavorano sull'IA generativa con dei dati sensibili, una violazione dei dati o un loro uso improprio potrebbe influire sulla sicurezza dell'azienda.

Trattare strumenti di IA generativa come ChatGPT e Bard come shadow IT è il primo passo nella giusta direzione. Stabilisci a chi è consentito di utilizzare le applicazioni e crea delle politiche che permettano a questi gruppi l'accesso agli strumenti e impedisci l'accesso alle persone a cui non è permesso. Inoltre, introduci controlli solidi sui dati per garantire che i dati sensibili rimangano all'interno dell'organizzazione.

Le applicazioni di IA generativa come ChatGPT sono costruite e addestrate sulla base di modelli linguistici di grandi dimensioni. Questi modelli algoritmici consentono alle piattaforme di acquisire e apprendere da database di grandi dimensioni, fornendo loro la conoscenza, il contesto e la precisione che gli utenti si aspettano dai chatbot IA.

Ma poiché l'IA generativa è costruita su modelli linguistici di grandi dimensioni, continua ad apprendere dalle informazioni che vi vengono inserite. Apprendendo e applicando continuamente il contesto alle nuove informazioni con cui interagisce, le sue risposte sono sempre aggiornate e pertinenti.

Ciò comporta un rischio notevole per la tua attività. Condividere informazioni proprietarie o sensibili con il chatbot IA apre due strade verso il rischio. Una è rappresentata dal fatto che l'applicazione considera tali informazioni come di dominio pubblico e le condivide qualora le venisse richiesto. Il secondo pericolo è che l'azienda dietro lo strumento di IA generativa stessa venga violata e le informazioni condivise con questa vengano compromesse.

Occorre tenere presente che, di default, le applicazioni di IA generativa come ChatGPT e Bard utilizzano i dati a esse fornite per migliorare i propri modelli. Tuttavia, è buona norma controllare le policy dell'applicazione specifica che utilizzi.

I dati vengono raccolti insieme a una serie di altre informazioni come, ad esempio, il dispositivo che utilizzi, da dove stai eseguendo l'accesso e qualsiasi dettaglio associato al tuo account. A seconda del fornitore scelto, solitamente è possibile disattivare la funzione di apprendimento dai tuoi dati dell'applicazione.

Questo rappresenta uno dei rischi principali della condivisione di informazioni sensibili con l'IA. Condividendo con questo tipo di applicazioni dati aziendali sensibili come, ad esempio, la strategia di lancio sul mercato di un prodotto, se non vengono prese le dovute precauzioni, è possibile che tali informazioni vengano rese pubbliche.

Grazie alle soluzioni di protezione dei dati di Forcepoint, puoi impedire che ciò accada limitando l'accesso alle applicazioni unicamente agli utenti che sanno come utilizzarle in modo sicuro o bloccando la possibilità di fornire informazioni a tali applicazioni.

Le applicazioni di IA generativa devono essere trattate come qualsiasi altro fornitore di terze parti nella supply chain digitale. In caso di violazione dei dati della piattaforma, le informazioni che hai inserito potrebbero essere a rischio. È per questo che le aziende devono sviluppare politiche di utilizzo dell'IA generativa rigorose al fine di garantire che i dati non vengano inaspettatamente messi a rischio.

Tutte le organizzazioni sono responsabili della conformità alle normative sulla privacy. Quando vengono forniti dati alle applicazioni di IA generativa, le persone possono condividere informazioni PII, PHI e altri tipi di dati regolamentati.

La condivisione di informazioni private con un'applicazione di IA generativa è una forma di fuoriuscita di dati compresa nelle normative sulla privacy. Le organizzazioni possono garantire la conformità dotandosi di strumenti di protezione dei dati validi che impediscano la condivisione di questo tipo di informazioni.

Le aziende devono esaminare il modo in cui i propri dipendenti interagiscono attualmente o potrebbero interagire con l'IA generativa, quali tipi di rischi comportano tali interazioni e come è possibile impedire agli utenti non idonei di accedere e condividere informazioni sensibili con l'IA generativa.

Come accade per qualsiasi altra applicazione SaaS, le aziende devono assicurarsi di avere una visibilità completa sugli utenti che accedono all'IA generativa e il pieno controllo dei dati con cui interagiscono. Nella maggior parte dei casi, ciò comporta il filtraggio degli URL in base al ruolo ricoperto, al dispositivo o alla posizione e l'applicazione di policy di protezione dei dati per prevenire eventuali violazioni della conformità.