DeepSeek si è affermata come un'applicazione di intelligenza artificiale generativa potente e diffusa, promuovendo l'innovazione e sollevando al contempo preoccupazioni in materia di sicurezza e privacy. Questo articolo esplora i rischi per la sicurezza correlati, l'impatto sulle aziende e strategie che le organizzazioni possono adottare per mitigare le minacce e garantire un utilizzo sicuro, produttivo e responsabile.
Cos'è DeepSeek e perché solleva preoccupazioni in materia di sicurezza?
DeepSeek è una popolare applicazione GenAI e LLM lanciata nel gennaio 2025 da un'azienda cinese, nota anche con il nome di DeepSeek. (A differenza dell'applicazione ChatGPT, rilasciata da OpenAI). Simile a ChatGPT, l'applicazione DeepSeek GenAI funziona come un chatbot e offre contenuti agli utenti che la interrogano in linguaggio naturale.
DeepSeek ha attirato una notevole attenzione pubblica grazie alle sue capacità tecnologiche avanzate, simili a quelle offerte da ChatGPT, Gemini, Claude e altre popolari applicazioni di GenAI. Tuttavia, lo ha fatto con costi di addestramento significativamente inferiori e utilizzando circa un decimo della potenza di calcolo. Ciò sconvolge significativamente il panorama competitivo della GenAI e ha anche conseguenze macropolitiche.
Analogamente ad altre applicazioni GenAI, DeepSeek crea rischi per la sicurezza nelle organizzazioni. Tra questi, la necessità di garantire che i dipendenti non espongano dati sensibili, che gli output di DeepSeek (come frammenti di codice) non contengano vulnerabilità o malware e che l'implementazione sia sicura in caso di distribuzione del modello in locale.
Inoltre, la politica "Open Weight" di DeepSeek (a differenza di "open source", con cui DeepSeek viene spesso confuso), implica che le organizzazioni debbano garantire che qualsiasi utilizzo dei parametri distribuito nei loro ambienti sia sicuro.
In questo articolo ci concentreremo sui principali rischi a cui vanno incontro le aziende, in relazione alla sicurezza dei dati e all'esposizione indesiderata e involontaria di dati sensibili nell'applicazione DeepSeel.
I principali rischi per la privacy e la sicurezza di DeepSeek
DeepSeek, come molti altri modelli di GenAI, presenta significative sfide in termini di sicurezza e privacy per le aziende. Sebbene la sua natura tecnologica favorisca l'innovazione e l'accessibilità, introduce anche rischi sostanziali quando viene applicata a informazioni sensibili. Di seguito, esploriamo le principali vulnerabilità e i rischi per la privacy di DeepSeek e il loro impatto sulle aziende.
1. Esfiltrazione dei dati
Quando i dipendenti incollano o digitano dati aziendali in DeepSeek, potrebbero inavvertitamente esporre dati aziendali sensibili. Se DeepSeek viene addestrato o ottimizzato in base alle richieste dell'utente, questi dati potrebbero essere incorporati nel modello e involontariamente esposti in output futuri.
Ciò significa che i dati sensibili condivisi con DeepSeek (ad esempio strategie aziendali riservate, registri dei clienti, codice sorgente o informazioni sui clienti) possono essere recuperati da soggetti indesiderati, siano essi concorrenti o avversari.
2. Mancanza di conformità e governance
DeepSeek, come altre applicazioni di intelligenza artificiale generativa, non include controlli di conformità integrati. Questo rende complicato per le aziende allinearne l'utilizzo a quadri normativi come GDPR, CCPA, HIPAA e SOC 2. Gli utenti non sanno quali dati vengono archiviati, per quanto tempo, in quali circostanze e per quali scopi.
Ciò significa che la condivisione di dati regolamentati con DeepSeek potrebbe comportare che questi vengano archiviati su server internazionali non regolamentati, utilizzati per scopi non approvati e condivisi con soggetti vietati.
3. Estensioni del browser dannose
Alcune implementazioni di DeepSeek, come un DeepSeek dannoso estensione del browser, potrebbero raccogliere, archiviare o trasmettere inconsapevolmente informazioni del browser senza adeguate misure di sicurezza. È noto che le estensioni del browser dannose sfruttano autorizzazioni eccessive per la raccolta di credenziali, il dirottamento di sessione e la raccolta di dati. Queste possono essere utilizzate per infiltrarsi nel browser (e, di conseguenza, nelle reti aziendali), per attacchi di phishing o per esfiltrare informazioni sensibili.
4. Intelligenza artificiale ombra
Se i dipendenti utilizzano DeepSeek senza la supervisione dell'IT, quest'ultimo non può gestirne e monitorarne l'utilizzo. Questo frammenta la governance IT, il che significa che l'IT non può affrontare i rischi per la sicurezza, i problemi di conformità e le problematiche di esposizione dei dati discussi in precedenza. Non può implementare policy, formare i dipendenti o introdurre controlli di sicurezza, semplicemente perché non è consapevole del rischio. Questo aumenta ulteriormente il rischio, rendendo l'organizzazione estremamente vulnerabile.
L'impatto dei rischi per la sicurezza di DeepSeek sulle aziende
In che modo i rischi sopra menzionati influiscono sulla sicurezza dell'intelligenza artificiale aziendale?
Informazioni riservate rivelate
La fuga di dati di documenti riservati, basi di codice o piani strategici, che viene ingerita nel modello o inavvertitamente esposta tramite output generati dall'intelligenza artificiale, implica che concorrenti o malintenzionati possano accedere a informazioni aziendali critiche. Ciò potrebbe avere significative implicazioni legali e commerciali.
Potenziale impatto sulle imprese
- Perdita di vantaggio competitivo dovuta all'esposizione di strategie aziendali, algoritmi o progetti di prodotti unici.
- Ransomware da parte di aggressori che minacciano di condividere dati sensibili
- Cause legali intentate da clienti i cui dati personali identificativi sono stati esposti
Sanzioni regolamentari e implicazioni legali
La mancanza di controllo su quali dati vengono condivisi con DeepSeek e su come questi dati vengono archiviati ed elaborati rende difficile per le aziende garantire il rispetto delle leggi sulla protezione dei dati come GDPR, CCPA, HIPAA e delle normative specifiche del settore (ad esempio, SOX, PCI DSS, NIST 800-53).
Potenziale impatto dei rischi di conformità sulle imprese
- Violazioni della privacy
- Fallimenti di audit
- multe
- Ripercussioni legali
Minacce alla sicurezza operativa
Se gli aggressori utilizzano estensioni del browser dannose, possono ottenere l'accesso ai sistemi interni e progredire lateralmente nella rete, rappresentando un'esposizione alla sicurezza informatica di DeepSeek.
Potenziale impatto sulle imprese
- Acquisizioni di conti
- Attacchi di phishing
- Ransomware
- Esfiltrazione di dati
- Arresto operativo
Come le aziende possono proteggere le implementazioni di intelligenza artificiale come DeepSeek
Man mano che i dipendenti integrano modelli di intelligenza artificiale di generazione come DeepSeek nei loro flussi di lavoro, la sicurezza del loro utilizzo diventa una priorità assoluta. Di seguito sono riportate le migliori pratiche chiave per proteggere proattivamente le implementazioni di intelligenza artificiale aziendali.
- Mappa i dati che puoi condividere con Gen AI – Classificare i dati aziendali in base al livello di riservatezza. Determinare quali dati sono proprietari, personali o regolamentati e non devono mai essere divulgati. L'implementazione di strumenti GenAI DLP può contribuire a mitigare i rischi di perdite accidentali di dati.
- Formare i dipendenti sui rischi dell’IA di generazione – I dipendenti devono comprendere che gli strumenti di intelligenza artificiale generativa, sebbene potenti, possono presentare rischi come perdite di dati, output distorti e violazioni della conformità. Sessioni di formazione regolari possono riguardare argomenti che incidono sull'utilizzo dell'intelligenza artificiale, vettori di attacco comuni ed esempi concreti di uso improprio dell'intelligenza artificiale. Il tuo strumento di sicurezza dei dati può aiutarti in questo, avvisando e notificando i dipendenti in caso di utilizzo rischioso.
- Monitora l'utilizzo dell'IA Gen nel browser – Poiché DeepSeek è accessibile tramite applicazioni web, le organizzazioni dovrebbero implementare soluzioni di sicurezza del browser per monitorare queste interazioni. Questo aiuta a identificare e prevenire potenziali esposizioni di dati, estensioni del browser dannose e modelli di comportamento insoliti.
- Monitora le estensioni del browser Gen AI – Le organizzazioni dovrebbero mantenere una lista consentita di estensioni approvate, condurre revisioni periodiche della sicurezza e utilizzare strumenti di sicurezza del browser per rilevare attività sospette. La disattivazione delle estensioni non approvate a livello aziendale può impedire l'accesso non autorizzato ai dati.
- Imporre l’utilizzo di account aziendali per accedere all’IA Gen – Richiedere ai dipendenti di utilizzare i propri account aziendali per i servizi GenAI contribuisce a prevenire l'uso di IA ombra, garantendo una migliore supervisione della sicurezza, verificabilità e applicazione delle policy. Aiuta anche a prevenire il furto di credenziali che può essere utilizzato per esfiltrare la rete. Uno strumento di sicurezza del browser può tracciare le azioni di DeepSeek indipendentemente dall'account utilizzato per l'accesso, personale o privato.
Come proteggere l'uso di DeepSeek
LayerX Security offre una piattaforma di sicurezza del browser completa e senza agenti che protegge le aziende dai rischi e dalle minacce più critici del web moderno, tra cui perdite di dati GenAI, rischi SaaS, minacce all'identità, vulnerabilità web, DLP e altro ancora.
LayerX viene distribuito come estensione del browser aziendale che si integra con qualsiasi browser e fornisce alle organizzazioni visibilità e applicazione complete dell'ultimo miglio senza interrompere l'esperienza utente.
Le aziende utilizzano LayerX per mappare l'utilizzo di GenAI nell'organizzazione, individuare le app di intelligenza artificiale "ombra" e limitare la condivisione di dati sensibili con gli LLM.
