|

Reveal(x) rileva le fughe di dati dovute all’uso di ChatGPT da parte dei dipendenti

Da quando il 30 novembre 2022 OpenAI ha rilasciato ChatGPT, l’uso dell’AI come servizio (AIaaS), compresi gli strumenti di AI generativa, è salito alle stelle. Dopo soli cinque giorni dal lancio, ChatGPT ha superato 1 milione di utenti. Due mesi dopo aveva raggiunto i 100 milioni di utenti. A marzo ne contava 1 miliardo. TikTok ha impiegato otto anni per raggiungere lo stesso risultato.

Non c’è da stupirsi che questi strumenti abbiano avuto tanto successo, visti i miglioramenti di produttività che promettono (e mantengono) per diverse professioni e professionisti, dallo sviluppo di software alla ricerca farmaceutica.

Anche se questi strumenti non sono ancora ben conosciuti, molte grandi aziende che colgono l’enorme potenziale dell’IA generativa e dell’AIaaS stanno impegnando significative risorse per utilizzarla. Secondo Gartner Research, la Gartner 2023 CIO and Technology Executive Survey ha evidenziato che 9 intervistati su 10 (92%) hanno classificato l’IA come la tecnologia che le loro aziende sono più propense a implementare entro il 2025.

Il rovescio della medaglia? Al di là delle preoccupazioni di carattere etico, le aziende che usano strumenti AIaaS hanno imparato alcune importanti lezioni sulle fughe di dati e sul rischio di proprietà intellettuale (IP) dopo che i loro dipendenti hanno condiviso informazioni proprietarie tramite questi strumenti pubblici. Quello che potrebbe non aver capito chi usa l’intelligenza artificiale per accelerare la revisione del codice e la scoperta di nuovi farmaci per esempio, è che in questo modo stanno immettendo dati riservati nel pubblico dominio: una volta condivise le informazioni proprietarie con un AIaaS, il servizio continua a utilizzarle per elaborare le richieste di altre persone in alcuni casi a tempo indeterminato, a seconda delle condizioni del fornitore di AIaaS.

Il rischio immediato per la proprietà intellettuale è rappresentato dagli utenti che accedono ai siti web e alle API di queste soluzioni di IA generativa e condividono dati proprietari. Questo pericolo aumenta man mano che le implementazioni locali di questi sistemi si diffondono e le persone iniziano a collegarli tra loro. Una volta che un servizio di IA determina quali dati condividere con altre IA, l’elemento di supervisione umana che attualmente effettua tali determinazioni viene meno. È improbabile che il servizio di IA comprenda l’impatto e le potenziali conseguenze della condivisione dei dati a cui ha accesso, e potrebbe non notificare ai suoi gestori umani che i dati sono stati condivisi al di fuori dell’azienda.

Pertanto, il rischio di perdita di proprietà intellettuale e di fuga di dati dei clienti ha reso imperativo per le aziende comprendere la portata dell’uso dell’IA generativa nelle loro sedi, anche se finora non avevano un modo semplice per verificarne l’impiego da parte dei dipendenti e il potenziale abuso.

Protezione dei dati dall’uso improprio e dall’abuso accidentale dell’intelligenza artificiale

ExtraHop ha rilasciato una nuova funzionalità che aiuta le aziende a valutare la potenziale esposizione al rischio derivante dall’uso di OpenAI ChatGPT da parte dei dipendenti.

ExtraHop Reveal(x) offre ai clienti visibilità sui dispositivi e sugli utenti delle loro reti che si connettono ai domini OpenAI. Questa funzionalità è essenziale per le aziende che vogliono adottare rapidamente politiche che regolano l’uso di modelli linguistici di grandi dimensioni e strumenti di IA generativa, in quanto fornirà un meccanismo per verificare la conformità a tali politiche. Reveal(x) compie questo passo come parte di un approccio più ampio alla piattaforma di sicurezza, incorporando il monitoraggio dell’AIaaS con le attuali capacità di rilevamento e risposta alla rete (NDR), nelle quali è leader nel settore.

Tracciando quali dispositivi si connettono ai domini OpenAI, identificando gli utenti associati e la quantità di dati che inviano a tali domini, Reveal(x) consente alle aziende di valutare il rischio associato all’uso continuo dei servizi AI da parte dei loro dipendenti.

Inoltre, poiché Reveal(x) mostra la quantità di dati inviati e ricevuti dai domini OpenAI, i responsabili della sicurezza possono valutare cosa rientra in un intervallo accettabile e cosa indica una potenziale perdita di IP. Ad esempio, le semplici richieste degli utenti a una chatbot dovrebbero rientrare in un intervallo compreso tra i byte e i kilobyte. Se il flusso di dati è di MB verso questi domini, può indicare che i dipendenti stanno inviando dati proprietari con le loro query. Le aziende saranno così in grado di identificare il tipo di dati e i singoli file che i lavoratori stanno inviando ai domini OpenAI se il traffico in questione non è crittografato, e Reveal(x) è in grado di identificare i relativi rilevamenti di esfiltrazione e stoccaggio dei dati.

Reveal(x) è in grado di fornire una profonda visibilità e un rilevamento in tempo reale perché utilizza i pacchetti di rete come fonte primaria di dati per il monitoraggio e l’analisi. Utilizzando un processore di flusso in tempo reale, Reveal(x) trasforma i pacchetti non strutturati in dati strutturati e analizza i payload e i contenuti del livello OSI 2-7 per una visibilità completa della rete. Dalla scoperta dei dispositivi all’analisi comportamentale, la telemetria di rete è la fonte immutabile di verità per la comprensione dell’ambiente ibrido di un’organizzazione. I log possono dire che due dispositivi si sono parlati, ma Reveal(x) fornisce un contesto ricco di informazioni sulla loro comunicazione.

ExtraHop ritiene che i vantaggi di questi strumenti in termini di produttività siano superiori ai rischi di esposizione dei dati, a condizione che le aziende comprendano come questi servizi utilizzeranno i loro dati (e per quanto tempo li conserveranno) e che non solo implementino le politiche che ne regolano l’uso, ma dispongano anche di un controllo come Reveal(x) che consenta loro di valutare la conformità alle politiche e di individuare i rischi in tempo reale.

Per vedere l’articolo originale, fare clic qui.

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.