Libere o poder da IA generativa

A IA generativa representa várias ameaças à segurança de dados. Essas ameaças incluem vazamento de dados, violação de dados e não conformidade com as leis de privacidade de dados.

Aplicativos de IA generativa, como o ChatGPT e Bard, são LLMs que aprendem com as informações que os usuários inserem. Se um usuário estiver revisando, por exemplo, informações sobre o objetivo da atividade de fusão e aquisição que ainda não foi tornada pública, pesquisas subsequentes de outros usuários podem revelar essas informações.

Se um engenheiro de software usasse IA generativa para depurar código de software proprietário, essa propriedade intelectual estaria em risco de se tornar de domínio público — ou pior, acabar em posse de um concorrente. Da mesma forma, se o engenheiro usasse a IA generativa para escrever código, ele talvez pudesse conter malware que forneceria a um invasor uma backdoor para o sistema de uma empresa.

Por fim, as leis de privacidade de dados, como HIPAA, GDPR ou LGPD, obrigam as organizações a proteger rigorosamente os dados pessoais. O uso de IA generativa para qualquer coisa que tenha a ver com Informações de Identificação Pessoal (PII, Personally Identifiable Information), como elaborar uma resposta de e-mail sobre uma consulta de cliente, poderia colocar a empresa em risco de não conformidade, pois essas informações poderiam vazar ou ser usadas incorretamente.

A IA generativa pode ser usada para escrever malware e conteúdo forjado para ataques de phishing e spear-phishing. Fornecedores de IA generativa, como o ChatGPT, também correm o risco de violação de dados, dando aos invasores acesso a dados confidenciais de usuários.

Um exemplo de IA generativa usada para criar malware é apresentado por Aaron Mulgrew da Forcepoint. Mulgrew conseguiu fazer com que o ChatGPT escrevesse código malicioso, apesar do ChatGPT ter proteções para impedir que isso acontecesse.

A segurança de dados de IA generativa requer controle de acesso em tempo real e controles de dados robustos.

Em uma plataforma como o Forcepoint ONE SSE, as organizações podem fornecer acesso a ferramentas de IA generativa para grupos limitados de funcionários que foram aprovados para usá-las. Essas políticas podem ser implementadas em dispositivos gerenciados e não gerenciados, dando às empresas uma ampla gama de controle.

Com o Forcepoint DLP, os usuários do ChatGPT e Bard ficarão limitados em quais informações podem compartilhar com as plataformas para evitar um vazamento de dados acidental. Isso inclui impedir a colagem de informações confidenciais, como números de previdência social, no aplicativo.

O cenário de ameaças de segurança digital está em constante evolução e, embora a IA generativa seja um novo risco, existem tecnologias para mitigá-lo.

A IA generativa corre o maior risco de ser outro caminho para um vazamento de dados ou violação de dados — não muito diferente de qualquer um dos outros aplicativos SaaS que as empresas usam diariamente. Se os funcionários estiverem trabalhando com IA generativa com dados confidenciais, uma violação de dados ou uso indevido desses dados pode afetar a postura de segurança da empresa.

Tratar ferramentas de IA generativa, como o ChatGPT e Bard, como shadow IT é o primeiro passo na direção certa. Defina quem deve poder usar os aplicativos e criar políticas que permitam que esses grupos acessem as ferramentas — impedindo aqueles que não devem. Além disso, introduza controles de dados robustos para garantir que os dados confidenciais permaneçam dentro da organização.

Aplicativos de IA generativa, como o ChatGPT, são construídos e treinados em modelos de linguagem de grande porte. Esses modelos algorítmicos permitem que as plataformas façam ingestão e aprendam com grandes bancos de dados, dando a elas o conhecimento, o contexto e a precisão que os usuários esperam dos chatbots de IA.

Mas como a IA generativa é construída em modelos de linguagem de grande porte, ela continua aprendendo com as informações que nela são alimentadas. Ela está continuamente aprendendo e aplicando o contexto a novas informações com as quais interage, permitindo que suas respostas permaneçam atualizadas e relevantes.

Isso representa um risco significativo para sua empresa. O compartilhamento de informações proprietárias ou confidenciais com o chatbot de IA abre dois caminhos para o risco. Um deles é que o aplicativo entende essas informações como conhecimento público e as compartilha quando solicitadas no futuro. O segundo problema é a empresa por trás da própria ferramenta de IA generativa ser violada e as informações compartilhadas com ela ficarem comprometidas.

Por padrão, você deve operar com o pressuposto de que aplicativos de IA generativa, como o ChatGPT e Bard, provavelmente usarão os dados que você insere para melhorar seus modelos. No entanto, é recomendável fazer uma dupla verificação da plataforma específica que você usa.

Esses dados são coletados com uma série de outras informações, como o dispositivo que você está usando, de onde você está acessando, além de quaisquer detalhes associados à sua conta. A capacidade do aplicativo de treinar-se a partir de seus dados geralmente pode ser desativada nas configurações, dependendo do fornecedor.

Esse é um dos principais riscos do compartilhamento de informações confidenciais com a IA. O compartilhamento de informações confidenciais da empresa, como uma futura estratégia de go-to-market para o lançamento de um produto, com os aplicativos pode efetivamente tornar essas informações disponíveis publicamente, se as precauções adequadas não forem tomadas.

O Forcepoint Data Security ajuda a evitar isso, limitando o acesso apenas a usuários treinados para usar os aplicativos com segurança ou bloqueando a colagem de informações no aplicativo.

Os aplicativos de IA generativa devem ser tratados como qualquer outro fornecedor terceirizado na cadeia de suprimentos digitais. Se a plataforma sofrer uma violação de dados, as informações que você inseriu podem estar em risco. É por isso que as empresas devem desenvolver políticas rigorosas de uso aceitável em torno da IA generativa para garantir que os dados não sejam inesperadamente colocados em risco.

Todas as organizações são responsáveis por estar em conformidade com os regulamentos de privacidade. Ao inserir dados em aplicativos de IA generativa, há uma possibilidade de os indivíduos compartilharem PII, PHI e outros tipos de informações que são reguladas.

O compartilhamento de informações privadas com um aplicativo de IA generativa é uma forma de exfiltração de dados que se enquadra nos regulamentos de privacidade. Para que as organizações permaneçam em conformidade, elas devem ter ferramentas de segurança de dados robustas que impeçam o compartilhamento desse tipo de informação.

Todas as empresas devem analisar como seus funcionários já interagiram ou podem interagir com a IA generativa, que tipos de riscos essas interações representam e como a organização pode impedir que usuários inelegíveis acessem e compartilhem informações confidenciais com a IA generativa.

Como qualquer outro aplicativo SaaS, as empresas devem certificar-se de ter visibilidade completa sobre os usuários que acessam a IA generativa e controle sobre os dados com os quais interagem. Na maioria dos casos, isso envolverá a filtragem de URL por função, dispositivo ou local da tarefa, além das políticas de segurança de dados para evitar quaisquer violações de conformidade.