ChatGPT & Co.: Come possono le aziende evitare le fughe di dati?
Strumenti di intelligenza artificiale come ChatGPT, Bard e Copilot sono sempre più diffusi, ma mettono a rischio la sicurezza dei dati. Come possono le aziende prevenire con successo la fuga di informazioni riservate e le violazioni dei dati?
L'intelligenza artificiale generativa è già di grande aiuto in numerosi compiti del lavoro quotidiano. Risponde a domande, crea testi per il marketing, traduce e-mail e documenti e ottimizza persino il codice sorgente. Non c'è quindi da stupirsi che i dipendenti utilizzino volentieri questi strumenti per semplificare il loro lavoro e diventare più produttivi. Tuttavia, questo crea rischi per la sicurezza dei dati in azienda: Dati riservati o personali possono facilmente finire in ChatGPT, Bard o Copilot e quindi eventualmente anche nelle risposte di altri utenti. Infine, i fornitori non utilizzano solo i dati disponibili sul web, ma anche i contributi degli utenti per addestrare i loro modelli di intelligenza artificiale e migliorare le loro risposte.
Firewall contro le fughe di dati: una soluzione non ideale
Se le aziende non vogliono perdere il controllo sui propri dati, devono intervenire. Il modo più semplice è quello di addestrare i dipendenti a un uso consapevole dell'IA generativa in termini di sicurezza, ma gli errori possono capitare: nel trambusto del lavoro quotidiano, l'attenzione può venire meno e i dipendenti caricano comunque dati sensibili sui servizi. Per questo motivo alcune aziende scelgono di bloccare gli URL dei vari strumenti di IA con il firewall, ma anche questa non è una soluzione ideale. Da un lato, i blocchi non forniscono una protezione sufficiente perché i dipendenti possono facilmente aggirarli accedendo ai servizi dall'esterno della rete aziendale. Inoltre, le aziende impediscono alla loro forza lavoro di lavorare in modo produttivo e possono causare frustrazione.
L'approccio zero trust come alternativa
Per regolamentare l'accesso agli strumenti di intelligenza artificiale e proteggere i dati, è meglio che le aziende adottino un approccio a fiducia zero. In questo caso, soluzioni di sicurezza come Secure Web Gateway (SWG) e Cloud Access Security Broker (CASB) assicurano che vengano utilizzati solo i servizi autorizzati e solo dai dipendenti autorizzati, indipendentemente da dove si trovino e da quale dispositivo stiano utilizzando. Un insieme centralizzato di criteri riduce l'onere amministrativo e facilita la prevenzione delle violazioni della sicurezza in tutti gli strumenti di AI, i canali di comunicazione e i dispositivi.
Inoltre, è necessario un controllo costante dei dati forniti dai servizi. Solo quando le aziende si rendono conto che i dipendenti condividono dati personali o codice sorgente con proprietà intellettuale tramite chat o caricamento di file con gli strumenti di intelligenza artificiale, ad esempio, possono fermarli. Il prerequisito per questo è la classificazione dei dati e le linee guida che regolano e monitorano la gestione dei dati. Le soluzioni di prevenzione della perdita di dati (DLP) combinano entrambe le cose e riducono al minimo lo sforzo di configurazione, perché sono dotate di classificazioni già pronte per un'ampia gamma di dati e di un'ampia serie di criteri predefiniti.
Concentratevi sui dati da proteggere
Inoltre, di solito le aziende non devono classificare l'intero patrimonio di dati: è sufficiente concentrarsi sui dati da proteggere. Di solito i singoli reparti sanno esattamente quali sono i dati e possono fornire esempi: elenchi di clienti, presentazioni, contratti, frammenti di codice. Le soluzioni DLP li analizzano e sono quindi in grado di identificare in modo affidabile dati simili. A seconda della sensibilità dei dati, consentono reazioni graduali: Per i dati meno critici, di solito è sufficiente avvisare il dipendente di una possibile violazione della sicurezza dei dati; per i dati più importanti, può essere necessaria una liberatoria da parte del supervisore, mentre il caricamento di informazioni particolarmente sensibili viene bloccato direttamente.
"ChatGPT e altri strumenti di intelligenza artificiale risolvono compiti anche complessi in pochi secondi. Questo è estremamente pratico nel lavoro di tutti i giorni, ma può portare a violazioni dei dati se i dipendenti inseriscono accidentalmente dati riservati o personali nei servizi", sottolinea Frank Limberger, Data & Insider Threat Security Specialist del fornitore di servizi di sicurezza informatica Forcepoint. "Con il DLP, le aziende possono proteggere in modo affidabile i loro dati senza limitare l'uso degli strumenti di intelligenza artificiale, che inevitabilmente influirebbe sulla produttività e sulla motivazione dei dipendenti. Le soluzioni possono essere introdotte più rapidamente di quanto le aziende spesso ritengano, e fornire i primi risultati dopo pochi giorni o settimane."
Fonte: Punto di forza
