Gli strumenti di intelligenza artificiale generativa come ChatGPT stanno conquistando il mondo. Come ogni nuova tecnologia, i CISO devono trovare un modo per cogliere le opportunità proteggendo al contempo l’organizzazione dai rischi dell’intelligenza artificiale generativa e di ChatGPT. Esploriamo le opportunità e le migliori pratiche di sicurezza in questo articolo.
Cos'è l'IA generativa?
L'intelligenza artificiale generativa è un tipo di intelligenza artificiale focalizzata sulla creazione e generazione di nuovi contenuti con tecniche ML. Ciò potrebbe includere immagini, testo, musica o video. A differenza della maggior parte degli approcci all’intelligenza artificiale che riconoscono modelli o fanno previsioni basate su dati esistenti, l’intelligenza artificiale generativa mira a produrre risultati originali e creativi.
I modelli di intelligenza artificiale generativa si basano su LLM (Large Language Models), il che significa che sono addestrati su set di dati di grandi dimensioni. Imparano i modelli e le strutture sottostanti presenti nei dati e li trasformano in modelli di probabilità. Quindi, quando ricevono un “suggerimento”, utilizzano la conoscenza appresa per generare nuovi contenuti simili ai dati di addestramento, ma non una copia esatta. Di conseguenza, i modelli di intelligenza artificiale generativa possono progettare immagini realistiche, scrivere storie o poesie coerenti, comporre musica e persino produrre conversazioni realistiche e simili a quelle umane.
Uno dei framework più comuni utilizzati per l’intelligenza artificiale generativa si chiama GAN – Generative Adversarial Network. I GAN sono costituiti da due reti neurali: una rete generatrice e una rete discriminatrice. La rete generatrice genera nuovi contenuti, mentre la rete discriminatrice valuta il contenuto generato e cerca di distinguerlo dai dati reali. Le due reti vengono addestrate insieme in un processo competitivo in cui il generatore mira a produrre contenuti sempre più realistici che ingannano il discriminatore, e il discriminatore si sforza di diventare migliore nell'identificare il contenuto generato. Questa formazione contraddittoria porta alla creazione di contenuti diversificati e di alta qualità.
Gli strumenti di intelligenza artificiale generativa hanno molteplici casi d’uso, tra cui arte, design, intrattenimento e persino medicina. Tuttavia, l’intelligenza artificiale generativa solleva anche considerazioni etiche, come il potenziale di generazione di contenuti falsi, l’uso improprio della tecnologia, pregiudizi e rischi per la sicurezza informatica.
ChatGPT è un chatbot di intelligenza artificiale generativa estremamente popolare rilasciato nel novembre 2022, che ha attirato l'attenzione diffusa sul concetto e sulle capacità degli strumenti di intelligenza artificiale generativa.
Quali sono i rischi dell’intelligenza artificiale generativa?
L’intelligenza artificiale generativa presenta diversi rischi associati di cui i team di sicurezza devono essere consapevoli, come problemi di privacy e phishing. I principali rischi per la sicurezza includono:
Preoccupazioni relative alla privacy
I modelli di intelligenza artificiale generativa vengono addestrati su grandi quantità di dati, che potrebbero includere contenuti generati dagli utenti. Se non vengono adeguatamente anonimizzati, questi dati potrebbero essere esposti durante il processo di formazione e nel processo di sviluppo dei contenuti, con conseguenti violazioni dei dati. Tali violazioni potrebbero essere accidentali, ovvero le informazioni vengono fornite senza che l'utente intenda condividerle pubblicamente, o intenzionalmente, attraverso attacchi di inferenza, in un tentativo dannoso di esporre informazioni sensibili.
Proprio di recente, i dipendenti Samsung incollato dati sensibili in ChatGPT, incluso il codice sorgente riservato e gli appunti delle riunioni private. Tali dati vengono ora utilizzati per la formazione ChatGPT e potrebbero essere utilizzati nelle risposte fornite da ChatGPT.
E-mail di phishing e malware
L’intelligenza artificiale generativa può essere utilizzata dagli aggressori per generare contenuti convincenti e ingannevoli, tra cui e-mail di phishing, siti Web di phishing o messaggi di phishing, in più lingue. Può anche essere utilizzato per impersonare entità e persone fidate. Questi possono aumentare il tasso di successo di attacchi di phishing e portare a informazioni personali o credenziali compromesse.
Inoltre, l’intelligenza artificiale generativa può essere utilizzata per generare codice dannoso o varianti di malware. Tali malware basati sull’intelligenza artificiale possono adattarsi ed evolversi in base alle interazioni con il sistema bersaglio, migliorando la loro capacità di aggirare le difese e attaccare i sistemi e rendendo più difficile per le difese di sicurezza mitigarli.
gestione degli accessi
Gli aggressori possono utilizzare l’intelligenza artificiale generativa per simulare o generare credenziali di accesso realistiche, come nomi utente e password. Questi possono essere utilizzati per indovinare la password, riempimento delle credenziali e attacchi di forza bruta, che consentono l'accesso non autorizzato a sistemi, account o dati sensibili. Inoltre, l’intelligenza artificiale generativa può creare account o profili fraudolenti, che possono essere utilizzati per aggirare processi e sistemi di verifica e per accedere alle risorse.
Minacce interne
Gli strumenti di intelligenza artificiale generativa possono essere utilizzati in modo dannoso da individui all'interno dell'organizzazione per attività non autorizzate. Ad esempio, un dipendente potrebbe generare documenti fraudolenti o manipolare dati, provocando potenziali frodi, manomissioni dei dati o furti di proprietà intellettuale. I dipendenti potrebbero anche divulgare involontariamente dati a questi strumenti, con conseguenti violazioni dei dati.
Superficie d'attacco aumentata
Le aziende che integrano strumenti di intelligenza artificiale generativa nel proprio stack introducono potenzialmente nuove vulnerabilità. Questi strumenti possono interagire con sistemi e API, creando ulteriori punti di ingresso che gli aggressori possono sfruttare.
Modi in cui le aziende possono mitigare i rischi per la sicurezza legati all'intelligenza artificiale generativa e a ChatGPT
L’intelligenza artificiale generativa presenta opportunità e rischi per la sicurezza. Le aziende possono adottare le seguenti misure per garantire di poter godere dei vantaggi in termini di produttività e della sicurezza ChatGPT senza essere esposte a rischi:
Valutazione del rischio
Inizia mappando i potenziali rischi per la sicurezza associati all’uso di strumenti di intelligenza artificiale generativa nella tua azienda. Identificare le aree in cui l’intelligenza artificiale generativa introduce vulnerabilità della sicurezza o potenziali usi impropri. Ad esempio, potresti evidenziare l'organizzazione tecnica come un gruppo a rischio di fuga di codice sensibile. Oppure potresti identificare le estensioni del browser simili a ChatGPT come un rischio e richiederne la disabilitazione.
Controllo degli accessi, autenticazione e autorizzazione
Implementa solidi controlli di accesso e meccanismi di verifica per governare l'accesso ai tuoi sistemi e le azioni che i tuoi dipendenti possono eseguire negli strumenti di intelligenza artificiale generativa. Ad esempio, a piattaforma di sicurezza del browser può impedire ai tuoi dipendenti di incollare codice sensibile in strumenti come ChatGPT.
Aggiornamenti software e patch regolari
Rimani aggiornato con le ultime versioni e patch di sicurezza per i tuoi sistemi. Applica tempestivamente gli aggiornamenti per risolvere eventuali vulnerabilità note e proteggerti dalle minacce emergenti. In questo modo, migliorerai il tuo livello di sicurezza e ti proteggerai da tutte le minacce, comprese quelle poste dagli aggressori che utilizzano l'intelligenza artificiale generativa.
Monitoraggio e rilevamento anomalie
Distribuisci soluzioni di monitoraggio per rilevare e rispondere a potenziali incidenti di sicurezza o attività insolite legate agli strumenti di intelligenza artificiale generativa. Implementa meccanismi di rilevamento delle anomalie in tempo reale per identificare comportamenti sospetti, come tentativi di accesso non autorizzati o modelli di dati anomali.
Educazione e consapevolezza degli utenti
Formare dipendenti e utenti sui rischi associati all'intelligenza artificiale generativa, inclusi phishing, Ingegneria socialee altre minacce alla sicurezza. Fornire linee guida su come identificare e rispondere a potenziali attacchi o attività sospette. Rafforzare regolarmente la consapevolezza sulla sicurezza attraverso programmi di formazione e campagne di sensibilizzazione.
Per integrare questi corsi di formazione, una piattaforma di sicurezza del browser può aiutare richiedendo il consenso dell’utente o la giustificazione per utilizzare uno strumento di intelligenza artificiale generativa.
Valutazione della sicurezza del fornitore
Se acquisti strumenti di intelligenza artificiale generativa da fornitori di terze parti, conduci una valutazione approfondita della sicurezza delle loro offerte. Valutare le loro pratiche di sicurezza, le procedure di gestione dei dati e l'aderenza agli standard di settore. Garantire che i fornitori diano priorità alla sicurezza e dispongano di un solido quadro di sicurezza.
Risposta agli incidenti e recupero
Sviluppare un piano di risposta agli incidenti che affronti specificamente gli incidenti di sicurezza legati all’intelligenza artificiale generativa. Stabilire procedure chiare per rilevare, contenere e recuperare da violazioni o attacchi alla sicurezza. Testare e aggiornare regolarmente il piano di risposta agli incidenti per adattarlo all'evoluzione delle minacce.
Collaborazione con esperti di sicurezza
Chiedi consiglio a professionisti o consulenti della sicurezza specializzati nella sicurezza dell'intelligenza artificiale e dell'apprendimento automatico. Possono aiutarti a identificare potenziali rischi, implementare le migliori pratiche e garantire che i tuoi sistemi di intelligenza artificiale generativa siano adeguatamente protetti.
In che modo LayerX può prevenire la perdita di dati su ChatGPT e altre piattaforme di intelligenza artificiale generativa
La piattaforma di sicurezza del browser di LayerX mitiga il rischio di esposizione dei dati organizzativi, come i dati dei clienti e la proprietà intellettuale, posto da ChatGPT e altre piattaforme di intelligenza artificiale generativa. Ciò è supportato abilitando la configurazione dei criteri per impedire l'incollaggio di stringhe di testo, fornendo visibilità granulare su ogni attività dell'utente sul proprio browser, rilevando e disabilitando estensioni del browser simili a ChatGPT, richiedendo il consenso dell'utente o la giustificazione per utilizzare uno strumento di intelligenza artificiale generativa e imponendo la protezione dei dati utilizzo su tutte le tue app SaaS. Goditi la produttività consentita dagli strumenti di intelligenza artificiale generativa senza rischi.
