S odhadovaným počtem 180 milionů globálních uživatelů si bezpečnostní profesionálové nemohou dovolit ignorovat ChatGPT. Nebo spíše rizika spojená s ChatGPT. Ať už jde o zaměstnance společnosti, kteří omylem vkládají citlivá data, útočníci využívající ChatGPT k zacílení na pracovní sílu pomocí phishingových e-mailů, nebo prolomení ChatGPT a odhalení uživatelských informací – existuje mnoho rizik pro organizační data a systémy, která je třeba vzít v úvahu.
V této příručce se ponoříme hluboko do různých rizik, kterým všechny organizace potenciálně čelí v důsledku zranitelností zabezpečení ChatGPT. Ale nejsme tu, abychom vás strašili. Tato příručka nabízí postupy a řešení pro minimalizaci těchto rizik a zároveň umožňuje zaměstnancům využívat výhod produktivity generativní umělé inteligence. Abyste z této příručky vytěžili maximum, doporučujeme přečíst si rizika a osvědčené postupy, porovnat je se svým stackem a celkovým plánem, upozornit na případné mezery, které je třeba vyřešit, a pracovat na odstranění těchto děr.
Co je ChatGPT?
ChatGPT je chatbot s umělou inteligencí, který dokáže porozumět a generovat lidský text na základě vstupu (výzev), který obdrží. To umožňuje ChatGPT provádět širokou škálu všestranných úkolů, jako je psaní e-mailů, kódování, nabízení zasvěcených rad a zapojování se do jemných konverzací napříč různými tématy. V důsledku toho se ChatGPT stal široce populárním a používají jej miliony uživatelů po celém světě.
ChatGPT je poháněn LLM (velký jazykový model) s názvem GPT (Generative Pre-trained Transformer). Modely GPT jsou modely, které zpracovávají informace jako lidský mozek. To jim umožňuje odvodit kontext, relevanci a datové vztahy. Vzhledem k tomu, že modely GPT byly trénovány na různých souborech dat, jejich výstupy jsou použitelné v široké škále aplikací.
ChatGPT i GPT byly vyvinuty OpenAI. Nejnovější model GPT vydaný OpenAI je GPT-4, který je schopen interpretovat textové i obrazové vstupy. ChatGPT může běžet mimo jiné na GPT-4 pro placené uživatele nebo na GPT-3.5 pro neplacené plány.
Navzdory jeho inovativním schopnostem také rostou obavy ohledně zabezpečení ChatGPT a jeho potenciálních rizik. Pojďme se podívat na které.
Proč je zabezpečení ChatGPT rostoucím problémem
Rostoucí obavy o zabezpečení ChatGPT pramení z jeho rozsáhlých schopností při zpracování a generování lidského textu ve spojení s obrovským množstvím dat zadávaných uživateli. To z něj dělá jeden z nejmocnějších moderních nástrojů pro inovace, ale také pro využití. Zájem o bezpečnost ChatGPT není neopodstatněný. Začátkem roku 2023OpenAI identifikovala a opravila chybu, která uživatelům umožňuje vidět tituly a obsah z historie chatu ostatních uživatelů. Pokud tento obsah obsahoval citlivá data, byla odhalena externím uživatelům.
Problémem ChatGPT je potřeba vyvážit produktivitu a bezpečnost. Firmy a jednotlivci stále více spoléhají na ChatGPT pro různé aplikace, od zákaznických služeb po tvorbu obsahu. To však znamená, že se také rozšiřuje možnost zneužití. Proto je důležité zajistit, aby nebyly zadány žádné citlivé nebo důvěrné informace.
Školení zaměstnanců a příslušné bezpečnostní nástroje mohou tyto obavy ChatGPT vyřešit. Mohou chránit před zneužitím a únikem dat a pomáhají zvýšit ostražitost vůči útokům a halucinacím. Kromě toho je důležité zavést pro podniky etické a bezpečnostní pokyny, které se týkají toho, jaké typy dat lze vkládat a které nikoli. Společně – nástroje, školení a procesy mohou podnikům zajistit, aby si užily produktivitu ChatGPT bez bezpečnostních rizik.
Chyby zabezpečení ChatGPT
Existují čtyři primární scénáře, ve kterých by se ChatGPT mohl stát vektorem narušení dat:
1. Zneužití zaměstnanci organizace
Při interakci zaměstnanců s ChatGPT mohou do aplikace neúmyslně zadat nebo vložit citlivé nebo vlastnické informace o společnosti. To může zahrnovat zdrojový kód, zákaznická data, IP, PII, obchodní plány a další. To vytváří riziko úniku dat, protože vstupní data mohou být potenciálně uložena nebo zpracována způsoby, které nejsou plně pod kontrolou společnosti.
Za prvé, tato data by mohla být uložena v OpenAI nebo použita pro přeškolení modelu, což znamená, že protivníci nebo konkurenti by k nim mohli získat přístup prostřednictvím svých vlastních výzev. V jiných případech, pokud útočníci poruší OpenAI, mohou získat přístup k těmto datům.
Neoprávněný přístup k citlivým údajům by mohl mít finanční, právní a obchodní důsledky pro organizaci. Útočníci mohou data zneužít pro ransomware, phishing, krádež identity, prodej IP a zdrojového kódu a další. To ohrožuje pověst společnosti, může vést k pokutám a dalším právním opatřením a může vyžadovat značné zdroje na zmírnění útoku nebo zaplacení výkupného.
2. Cílené útoky pomocí schopností ChatGPT
Dokonce ani organizace, jejichž zaměstnanci ChatGPT nepoužívají, nejsou osvobozeny od potenciálního dopadu na jejich bezpečnost. Útočníci mohou používat ChatGPT jako svůj vlastní nástroj na zvýšení produktivity a použít jej k útoku na organizaci. Mohou jej například použít k vytváření sofistikovaných phishingových e-mailů, k útokům sociálního inženýrství, ke shromažďování informací, které by mohly být použity při dalších útocích proti organizaci, nebo k vývoji škodlivého kódu či ladění.
3. Útoky na samotný ChatGPT
V ChatGPT věříme? Miliony lidí se obrátily na ChatGPT se svými nejdůležitějšími pracovními úkoly a osobními ohledy a sdílely důvěrná data. Co se ale stane, když je ohroženo zabezpečení OpenAI? Úspěšné prolomení OpenAI prostřednictvím zranitelností ChatGPT by mohlo znamenat, že útočníci přistupují k citlivým datům zpracovávaným systémem AI. To zahrnuje výzvy zadané uživateli, historii chatu, uživatelská data, jako jsou e-maily a fakturační údaje, a metadata výzev, jako jsou typy a frekvence výzev. Výsledkem může být porušení soukromí, porušení dat nebo krádež identity.
4. Právní rizika a rizika související s dodržováním předpisů
Mnoho organizací používá ChatGPT v prostředích regulovaných zákony na ochranu dat (např. GDPR, HIPAA). Organizace však mohou tato nařízení neúmyslně porušit, pokud ChatGPT zpracovává osobní údaje bez adekvátních záruk, což vede k právním postihům a poškození pověsti.
Bezpečnostní rizika ChatGPT pro podniky
ChatGPT Security odkazuje na všechna bezpečnostní opatření a protokoly implementované k zajištění bezpečnosti a zabezpečení související s používáním ChatGPT. Ty jsou nutné k ochraně před následujícími riziky:
1. Integrita dat a rizika ochrany soukromí
Porušení dat/Krádež dat/Únik dat
Schopnost ChatGPT zpracovávat obrovské množství informací zvyšuje riziko narušení dat. Pokud jsou do modelu zadány citlivé informace, existuje potenciál pro únik dat. K tomu může dojít, pokud jsou ohrožena bezpečnostní opatření platformy nebo pokud jsou tato data použita pro trénování modelu a jsou pak poskytnuta jako odpověď na výzvu konkurenta nebo útočníka.
Sběr informací
Zlomyslní aktéři by mohli využít ChatGPT ke shromažďování citlivých informací zapojením se do zdánlivě neškodných konverzací, které jsou určeny k získávání průzkumných dat. To by mohlo zahrnovat informace o systémech a síťových komponentách, které společnosti používají, bezpečnostní praktiky používané jako prostředek k jejich překonání, praktiky, jak napadnout systémy, informace o uživatelských preferencích, uživatelská metadata a další.
Šíření dezinformací
ChatGPT může neúmyslně šířit nepravdivé informace, zavádějící fakta nebo falšovat data. K tomu může dojít kvůli halucinacím nebo pokud útočníci neúmyslně zadají nepravdivé informace do ChatGPT, takže jsou zahrnuty do modelového školení a poskytovány v jiných odpovědích. To by mohlo vést k rozhodování na základě nepřesných informací, což by ovlivnilo integritu a pověst podniku.
Automatická propaganda
Jako příklad výše uvedeného lze uvést, že schopnost generovat přesvědčivý a přizpůsobený obsah může být zneužita k šíření propagandy nebo k manipulaci veřejného mínění ve velkém měřítku.
Vymyšlené a nepřesné odpovědi
Podobně jako u šíření dezinformací, i toto zahrnuje ChatGPT generování nepravdivých nebo zavádějících odpovědí, které by mohly být mylně považovány za faktické, ovlivňující obchodní rozhodnutí a důvěru zákazníků.
2. Předpojatost a etické obavy
Model a výstup zkreslení
Inherentní zkreslení v trénovacích datech může vést ke zkresleným nebo předpojatým výstupům. Pokud například odpovědi rozlišují mezi etnickými skupinami nebo pohlavími při rozhodování o náboru nebo povýšení. To by mohlo vést k neetickému rozhodování a potenciálně vést k problémům s veřejností a právním důsledkům.
Rizika ochrany spotřebitele
Podniky musí procházet tenkou linií mezi využitím schopností ChatGPT pro produktivitu a zajištěním, že neúmyslně nepoškodí spotřebitele prostřednictvím neobjektivních nebo neetických výstupů. Měli by také zajistit, aby zaměstnanci ve výzvách neuváděli PII nebo citlivé informace o zákaznících, což by mohlo porušovat předpisy na ochranu soukromí.
Zmírnění předsudků
Přestože OpenAI vyvíjí úsilí o snížení zkreslení, zůstává riziko, že ne všechny zkreslení budou adekvátně řešeny, což vede k potenciálně diskriminačním praktikám nebo výstupům.
3. Případy škodlivého použití
Vývoj malwaru a ransomware
ChatGPT lze zneužít k vývoji sofistikovaného malwaru nebo skriptů ransomwaru, které představují významné bezpečnostní hrozby pro podniky. I když je používání ChatGPT pro útoky proti zásadám OpenAI, s nástrojem lze stále manipulovat pomocí různých výzev, jako je například požádání chatbota, aby se choval jako tester per nebo psal či ladil zdánlivě nesouvisející kódové skripty.
Generování škodlivého kódu
Jak bylo zmíněno výše, ChatGPT lze použít ke generování kódu, který dokáže zneužít zranitelnosti v softwaru nebo systémech a usnadnit tak neoprávněný přístup nebo narušení dat.
Škodlivé phishingové e-maily
Útočníci mohou pomocí ChatGPT vytvářet vysoce přesvědčivé phishingové e-maily, čímž se zvyšuje pravděpodobnost úspěšných podvodů a krádeží informací. S tímto nástrojem umělé inteligence mohou vytvářet e-maily, které simulují tóny a hlasy, jako veřejně známé osobnosti, znít jako podnikové profesionály, jako generální ředitelé a IT, eliminovat gramatické chyby, které jsou jedním z příznaků phishingových e-mailů, a psát širokou škálu jazyků, což jim umožňuje rozšířit spektrum útoků.
Útoky sociálního inženýrství
Podobně jako phishingové e-maily může ChatGPT generovat kontextově relevantní a přesvědčivé zprávy. To znamená, že může být vyzbrojen k provádění útoků sociálního inženýrství a přimět zaměstnance, aby kompromitovali bezpečnostní protokoly.
Předstírání identity
Pokročilé jazykové schopnosti ChatGPT z něj dělají nástroj pro vytváření zpráv nebo obsahu, který se vydává za jednotlivce nebo entity, což vede k potenciálnímu podvodu a sociálnímu inženýrství. a dezinformace.
Obcházení systémů pro moderování obsahu
Sofistikované generování jazyka lze použít k vytváření zpráv, které se vyhýbají detekci standardními systémy pro moderování obsahu. To představuje riziko pro online bezpečnost a dodržování předpisů, protože tradiční nástroje zabezpečení jsou méně účinné než dříve.
4. Operační a politická rizika
Duševní vlastnictví (IP) a autorská práva
Vytváření obsahu pomocí ChatGPT by mohlo neúmyslně porušit stávající práva duševního vlastnictví. Pokud ChatGPT vytvoří obsah, který zrcadlí nebo se velmi podobá existujícím materiálům chráněným autorským právem, výsledkem může být porušení IP, což představuje právní a finanční rizika pro podniky.
Krádež duševního vlastnictví
Druhou stranou mince je, když ChatGPT poskytuje odpovědi založené na vašich vlastních proprietárních informacích nebo kreativním obsahu, což vede k finanční ztrátě a konkurenční nevýhodě.
Útoky z vězení (útoky na ChatGPT)
Zlomyslný hráč se pokouší obejít nebo zneužít vestavěná ochranná opatření OpenAI s cílem přimět je provádět úkoly mimo zamýšlené nebo eticky přípustné hranice. To může sahat od generování obsahu, který porušuje zásady použití, až po manipulaci s modelem k odhalení informací, které má zadržovat. Takové útoky by mohly ohrozit integritu dat podniků, které používají ChatGPT a zadaly citlivé informace, a učinit je náchylnými k obchodním a právním důsledkům, pokud použijí nesprávná data z odpovědí ChatGPT.
Chyby ochrany soukromí ChatGPT (útok na ChatGPT)
Chyby zabezpečení nebo chyby v systému, které by mohly potenciálně ohrozit soukromí uživatelů. Mohlo by se jednat o závady, které náhodně odhalují citlivá uživatelská data, nebo mezery, které zlomyslní aktéři využívají k přístupu k neoprávněným informacím. Ty by mohly ohrozit integritu podniku, odhalit obchodní plány, zdrojový kód, informace o zákaznících, informace o zaměstnancích a další.
Změny firemních zásad OpenAI
Změny v zásadách OpenAI týkající se používání ChatGPT by mohly mít důsledky pro podniky, které na jeho technologii spoléhají. Takové změny mohou zahrnovat úpravy pokynů k ochraně soukromí uživatelů, zásad používání dat nebo etických rámců, jimiž se řídí vývoj AI a rozvinutí. Nesoulad mezi těmito novými zásadami a očekáváními uživatelů nebo právními normami, který by mohl vést k obavám o soukromí, snížené důvěře uživatelů, problémům s právními předpisy a dodržováním předpisů nebo problémům s provozní kontinuitou.
Rizika rozšíření ChatGPT
Bezpečnostním rizikem ChatGPT je také používání rozšíření ChatGPT, což jsou doplňky nebo integrace rozšiřující možnosti ChatGPT. Zde jsou některé z klíčových:
- Zranitelnosti zabezpečení – Rozšíření mohou představovat slabé stránky zabezpečení, zejména pokud nejsou vyvíjena nebo udržována podle přísných bezpečnostních standardů. To může zahrnovat zavedení škodlivého kódu do prohlížeče uživatele, exfiltraci dat a další.
- Ochrana soukromí – Rozšíření, která zpracovávají nebo zpracovávají uživatelská data, mohou představovat riziko pro soukromí, zejména pokud nejsou v souladu se zákony na ochranu dat nebo pokud shromažďují, ukládají nebo přenášejí data nezabezpečeným způsobem.
- Přístup k identifikačním údajům – Pomocí škodlivých rozšíření mohou útočníci získat přístup k datům identity – heslům, souborům cookie a tokenům MFA. To jim umožňuje narušit systém a postupovat v něm laterálně.
Jak bezpečně používat ChatGPT
Dosáhli jsme naší oblíbené části – co dělat? Existuje způsob, jak ePomozte svým zaměstnancům využít obrovský potenciál produktivity ChatGPT a zároveň eliminovat jejich schopnost neúmyslně odhalit citlivá data. Zde je postup:
Vytvořte jasné zásady použití
Určete data, která vás nejvíce zajímají: zdrojový kód, obchodní plány, duševní vlastnictví atd. Stanovte pokyny, jak a kdy mohou zaměstnanci používat ChatGPT, s důrazem na typy informací, které by neměly být sdíleny s nástrojem nebo by měly být sdíleny pouze za přísných podmínek.
Provádějte školicí a osvětové programy
Poučte zaměstnance o možných rizicích a omezeních používání nástrojů AI, včetně:
- Zabezpečení dat a riziko sdílení citlivých dat
- Potenciální zneužití AI při kybernetických útocích
- Jak rozpoznat pokusy o phishing nebo jinou škodlivou komunikaci generované AI
Podporujte kulturu, kde jsou nástroje umělé inteligence používány zodpovědně jako doplněk lidské odbornosti, nikoli jako náhrada.
Použijte rozšíření Enterprise Browser Extension
ChatGPT je přístupný a spotřebovaný prostřednictvím prohlížeče jako webová aplikace nebo rozšíření prohlížeče. K zabezpečení organizací a zabránění zaměstnancům ve vkládání nebo zadávání citlivých dat do aplikací GenAI proto nelze použít tradiční nástroje zabezpečení koncových bodů nebo sítě.
Ale ... rozšíření podnikového prohlížeče umět. Vytvořením vyhrazené zásady ChatGPT může prohlížeč zabránit sdílení citlivých dat prostřednictvím vyskakovacích varování nebo zcela zablokovat použití. V extrémních případech lze podnikový prohlížeč nakonfigurovat tak, aby ChatGPT a jeho rozšíření úplně zakázal.
Detekce a blokování rizikových rozšíření
Prohledejte prohlížeče svých zaměstnanců a zjistěte nainstalované škodlivá rozšíření ChatGPT to by mělo být odstraněno. Kromě toho průběžně analyzujte chování stávajících rozšíření prohlížeče, abyste jim zabránili v přístupu k citlivým datům prohlížeče. Zakažte možnost rozšíření extrahovat přihlašovací údaje nebo jiná citlivá data z prohlížečů vašich zaměstnanců.
Posilte své bezpečnostní prvky
Vzhledem ke schopnosti útočníků využívat ChatGPT ve svůj prospěch, udělejte z kybernetické bezpečnosti vyšší prioritu. To zahrnuje:
- Posílení kontroly proti phishingu, malwaru, injekcím a ransomwaru
- Omezení přístupu k vašim systémům, abyste zabránili neoprávněnému použití, které by mohlo být důsledkem schopnosti útočníků, jako je MFA
- Udržujte svůj software opravený a aktuální
- Implementace bezpečnostních opatření koncových bodů
- Zajištění hygieny hesla
- Nepřetržité monitorování, abyste odhalili podezřelé chování a zajistili, že vytvoříte a procvičíte své plány reakce na incidenty.
Představujeme ChatGPT DLP od LayerX
LayerX je řešení podnikového prohlížeče, které chrání organizace před webovými hrozbami a riziky. LayerX má jedinečné řešení pro ochranu organizací před vystavením citlivým datům prostřednictvím ChatGPT a dalších generativních nástrojů AI, aniž by to narušilo zážitek z prohlížeče.
Uživatelé mohou mapovat a definovat data k ochraně, jako je zdrojový kód nebo duševní vlastnictví. Když zaměstnanci používají ChatGPT, jsou vynucovány ovládací prvky, jako jsou vyskakovací varování nebo blokování, aby bylo zajištěno, že nebudou vystavena žádná zabezpečená data. LayerX zajišťuje bezpečnou produktivitu a plné využití potenciálu ChatGPT, aniž by byla ohrožena bezpečnost dat.
Více podrobností, klikněte zde.