|

Reveal(x) detecta fugas de datos del uso de ChatGPT por parte de los empleados

Desde que OpenAI lanzó ChatGPT el 30 de noviembre de 2022, el uso de la IA como servicio (AIaaS), incluidas las herramientas de IA generativa, se ha disparado. A los cinco días del lanzamiento, ChatGPT superó el millón de usuarios. Dos meses después, tenía 100 millones de usuarios. En marzo, contaba con 1.000 millones. En comparación, TikTok tardó ocho años en llegar a mil millones de usuarios.

No es de extrañar que estas herramientas hayan tenido, en gran parte, un éxito rotundo, con las mejoras de productividad que prometen (y brindan) para los profesionales en una variedad de ocupaciones, desde el desarrollo de software hasta la investigación farmacéutica. 

Y aunque estas herramientas no se comprenden bien, muchas grandes empresas que ven el enorme potencial de la IA generativa y la AIaaS están destinando importantes recursos para usarlas. Según Gartner Research, la encuesta de ejecutivos de tecnología y CIO de Gartner 2023 mostró que «9 de cada 10 encuestados (92%) clasificaron a la IA como la tecnología que sus organizaciones tenían más probabilidades de implementar para 2025».

¿La baja? Más allá de las preocupaciones éticas, las organizaciones que utilizan herramientas AIaaS han aprendido algunas lecciones duras sobre las fugas de datos y el riesgo de propiedad intelectual (IP) después de que los empleados compartieron información de propiedad con estas herramientas públicas. Es posible que los empleados que usan IA para acelerar las revisiones de códigos y el descubrimiento de nuevos fármacos no se hayan dado cuenta de que, de hecho, están poniendo datos confidenciales en el dominio público: una vez que comparten información patentada con un AIaaS, el servicio continúa usándola para procesar la información de otras personas.

El riesgo inmediato de propiedad intelectual se centra en los usuarios que inician sesión en los sitios web y las API de estas soluciones de IA generativa y comparten datos de propiedad. Sin embargo, este riesgo aumenta a medida que prosperan las implementaciones locales de estos sistemas y las personas comienzan a conectarlos entre sí. Una vez que un servicio de IA determina qué datos compartir con otras IA, el elemento de supervisión humana que actualmente toma esa determinación se pierde. Es poco probable que el servicio de IA comprenda el impacto y las posibles consecuencias de compartir datos a los que tiene acceso y es posible que no notifique a sus controladores humanos que los datos se han compartido fuera de la organización.

Por lo tanto, el riesgo de pérdida de IP y fuga de datos de clientes ha hecho que sea imperativo que las organizaciones comprendan el alcance del uso de IA generativa en sus negocios. Hasta ahora, las organizaciones no han tenido una manera fácil de auditar el uso de estas herramientas por parte de los empleados y el posible uso indebido.

Protección de datos contra el uso no autorizado de IA y el uso indebido accidental

A principios de esta semana, ExtraHop lanzó una nueva capacidad que ayuda a las organizaciones a comprender su posible exposición al riesgo por el uso de OpenAI ChatGPT por parte de los empleados. 

ExtraHop Reveal(x) brinda a los clientes visibilidad de los dispositivos y usuarios en sus redes que se conectan a los dominios de OpenAI. Esta capacidad es esencial a medida que las organizaciones se mueven rápidamente para adoptar políticas que rigen el uso de modelos de lenguaje grandes y herramientas de IA generativa, ya que brindará a las organizaciones un mecanismo para auditar el cumplimiento de esas políticas. Estamos dando este paso como parte de un enfoque de plataforma de seguridad más grande, incorporando el monitoreo AIaaS con nuestras capacidades existentes de detección y respuesta de red (NDR) líderes en la industria.

Al rastrear qué dispositivos se conectan a los dominios de OpenAI, identificar a los usuarios asociados con esos dispositivos y la cantidad de datos que esos dispositivos envían a esos dominios, Reveal(x) permite a las organizaciones evaluar el riesgo asociado con el uso contínuo de los servicios de IA por parte de sus usuarios.

Además, debido a que Reveal(x) muestra la cantidad de datos que se envían y reciben de los dominios de OpenAI, los líderes de seguridad pueden evaluar qué se encuentra dentro de un rango aceptable y qué indica una posible pérdida de IP. Por ejemplo, las consultas simples de los usuarios a un chatbot deben estar dentro de un rango de bytes a kilobytes. Si los equipos de seguridad ven MB de datos que fluyen hacia estos dominios, ese volumen puede significar que los empleados están enviando datos propietarios con su consulta. Las organizaciones podrán identificar el tipo de datos y archivos individuales que los empleados envían a los dominios de OpenAI si el tráfico en cuestión no está encriptado y Reveal(x) puede identificar la exfiltración de datos relacionados y las detecciones de preparación de datos.  

Reveal(x) puede proporcionar esta visibilidad profunda y detección en tiempo real porque usamos paquetes de red como la fuente de datos principal para el monitoreo y el análisis. Con un procesador de flujo en tiempo real, Reveal(x) transforma los paquetes no estructurados en datos de cables estructurados y analiza las cargas útiles y el contenido de OSI Layer 2–7 para una visibilidad completa de la red. Desde el descubrimiento de dispositivos hasta el análisis de comportamiento, la telemetría de red es la fuente inmutable de verdad para comprender el entorno híbrido de una organización. Los registros pueden indicarle que dos dispositivos se comunicaron entre sí, pero Reveal(x) proporciona un rico contexto sobre la comunicación.   

ExtraHop cree que los beneficios de productividad de estas herramientas superan los riesgos de exposición de datos, siempre que las organizaciones entiendan cómo estos servicios utilizarán sus datos (y cuánto tiempo los conservarán), y siempre que las organizaciones no solo implementen políticas que rijan el uso de estos servicios, sino que también tengan un control como Reveal(x) que les permite evaluar el cumplimiento de las políticas y detectar riesgos en tiempo real.

Para más información, haga click aquí.

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.