Z ocenjenimi 180 milijoni globalnih uporabnikov si varnostni strokovnjaki ne morejo privoščiti, da bi prezrli ChatGPT. Oziroma tveganja, povezana s ChatGPT. Ne glede na to, ali zaposleni v podjetju pomotoma prilepijo občutljive podatke, napadalci izkoriščajo ChatGPT, da ciljajo na zaposlene z lažnim predstavljanjem e-poštnih sporočil, ali pa je prišlo do kršitve ChatGPT in razkritja uporabniških podatkov – obstaja več tveganj za organizacijske podatke in sisteme, ki jih je treba upoštevati.

V tem priročniku se poglobimo v različna tveganja, s katerimi se morebiti soočajo vse organizacije zaradi varnostnih ranljivosti ChatGPT. Ampak nismo tukaj, da bi vas strašili. Ta priročnik ponuja prakse in rešitve za zmanjševanje teh tveganj, hkrati pa omogoča zaposlenim, da uživajo v prednostih produktivnosti generativne umetne inteligence. Če želite kar najbolje izkoristiti ta vodnik, priporočamo, da preberete tveganja in najboljše prakse, jih primerjate s svojim skladom in splošnim načrtom, poudarite morebitne vrzeli, ki jih je treba odpraviti, in si prizadevate zapolniti te luknje.

Kaj je ChatGPT?

ChatGPT je klepetalni robot z umetno inteligenco, ki lahko razume in ustvari človeško besedilo na podlagi vnosa (pozivov), ki ga prejme. To omogoča ChatGPT, da izvaja širok nabor vsestranskih nalog, kot je sestavljanje e-poštnih sporočil, kodiranje, ponujanje pronicljivih nasvetov in sodelovanje v niansiranih pogovorih o različnih temah. Posledično je ChatGPT postal široko priljubljen in ga uporabljajo milijoni uporabnikov po vsem svetu.

ChatGPT poganja LLM (model velikega jezika), imenovan GPT (Generative Pre-trained Transformer). GPT modeli so modeli, ki obdelujejo informacije kot človeški možgani. To jim omogoča, da izpeljejo kontekst, ustreznost in razmerja med podatki. Ker so bili modeli GPT usposobljeni na različnih naborih podatkov, so njihovi rezultati uporabni v številnih aplikacijah.

Tako ChatGPT kot GPT je razvil OpenAI. Najnovejši model GPT, ki ga je izdal OpenAI, je GPT-4, ki je sposoben tolmačiti besedilne in slikovne vnose. ChatGPT lahko med drugim deluje na GPT-4 za plačljive uporabnike ali na GPT-3.5 za neplačane pakete.

Kljub njegovim inovativnim zmožnostim je vedno več zaskrbljenosti glede varnosti ChatGPT in morebitnih tveganj. Poglejmo, katere.

Zakaj je varnost ChatGPT vse večja skrb

Naraščajoča zaskrbljenost glede varnosti ChatGPT izvira iz njegovih obsežnih zmogljivosti pri obdelavi in ​​ustvarjanju besedila, podobnega človeku, skupaj z ogromnimi količinami podatkov, ki jih vnesejo uporabniki. Zaradi tega je eno najmočnejših sodobnih orodij za inovacije, pa tudi za izkoriščanje. Zaskrbljenost glede varnosti ChatGPT ni neutemeljena. V začetku leta 2023, je OpenAI odkril in odpravil napako, ki uporabnikom omogoča ogled naslovov in vsebine iz zgodovine klepetov drugih uporabnikov. Če je ta vsebina vsebovala občutljive podatke, je bila razkrita zunanjim uporabnikom.

Težava s ChatGPT je potreba po ravnotežju med produktivnostjo in varnostjo. Podjetja in posamezniki se vedno bolj zanašajo na ChatGPT za različne aplikacije, od storitev za stranke do ustvarjanja vsebin. Vendar pa to pomeni, da postane tudi možnost zlorabe bolj razširjena. Zato je pomembno zagotoviti, da niso vneseni občutljivi ali zaupni podatki.

Usposabljanje zaposlenih in ustrezna varnostna orodja lahko odpravijo te pomisleke ChatGPT. Zaščitijo lahko pred zlorabo in uhajanjem podatkov ter povečajo pozornost pred napadi in halucinacijami. Poleg tega je pomembno, da podjetjem predstavimo etične in varnostne smernice glede tega, katere vrste podatkov je dovoljeno vnašati in katere ne. Skupaj – orodja, usposabljanje in procesi lahko podjetjem zagotovijo produktivnost ChatGPT brez varnostnih tveganj.

Varnostne ranljivosti ChatGPT

Obstajajo štirje glavni scenariji, v katerih lahko ChatGPT postane vektor za kršitve podatkov:

1. Zloraba s strani zaposlenih v organizaciji

Ko zaposleni komunicirajo s ChatGPT, lahko nehote vnesejo ali prilepijo občutljive ali lastniške podatke o podjetju v aplikacijo. To lahko vključuje izvorno kodo, podatke o strankah, IP, PII, poslovne načrte in drugo. To ustvarja tveganje uhajanja podatkov, saj se lahko vhodni podatki shranijo ali obdelajo na načine, ki niso v celoti pod nadzorom podjetja.

Prvič, te podatke bi lahko shranil OpenAI ali uporabil za preusposabljanje modela, kar pomeni, da bi nasprotniki ali konkurenti lahko dobili dostop do njih prek lastnih pozivov. V drugih primerih, če napadalci kršijo OpenAI, lahko pridobijo dostop do teh podatkov.

Nepooblaščen dostop do občutljivih podatkov ima lahko finančne, pravne in poslovne posledice za organizacijo. Napadalci lahko podatke izkoristijo za izsiljevalsko programsko opremo, lažno predstavljanje, krajo identitete, prodajo IP-ja in izvorne kode ter drugo. To ogroža ugled podjetja, lahko povzroči globe in druge pravne ukrepe ter lahko zahteva znatna sredstva za ublažitev napada ali plačilo odkupnin.

2. Ciljni napadi z uporabo zmogljivosti ChatGPT

Tudi organizacije, katerih zaposleni ne uporabljajo ChatGPT, niso izvzete iz morebitnega varnostnega vpliva nanje. Napadalci lahko uporabijo ChatGPT kot lasten spodbujevalec produktivnosti in z njim napadejo organizacijo. Uporabijo ga lahko na primer za izdelavo sofisticiranih lažnih e-poštnih sporočil, za napade socialnega inženiringa, za zbiranje informacij, ki bi jih lahko uporabili pri nadaljnjih napadih na organizacijo, ali za razvoj zlonamerne kode ali odpravljanje napak.

3. Napadi na sam ChatGPT

V ChatGPT zaupamo? Milijoni so se obrnili na ChatGPT s svojimi najpomembnejšimi delovnimi nalogami in osebnimi premisleki ter izmenjavo zaupnih podatkov. Toda kaj se zgodi, če je varnost OpenAI ogrožena? Uspešen vdor v OpenAI prek ranljivosti ChatGPT lahko pomeni, da napadalci dostopajo do občutljivih podatkov, ki jih obdeluje sistem AI. To vključuje pozive, ki jih vnesejo uporabniki, zgodovino klepetov, uporabniške podatke, kot so e-pošta in informacije za obračun, ter metapodatke o pozivih, kot so vrste in pogostost pozivov. Posledica so lahko kršitve zasebnosti, vdori podatkov ali kraja identitete.

4. Pravna tveganja in tveganja skladnosti

Številne organizacije uporabljajo ChatGPT v okoljih, ki jih urejajo zakoni o varstvu podatkov (npr. GDPR, HIPAA). Vendar lahko organizacije nenamerno kršijo te predpise, če ChatGPT obdeluje osebne podatke brez ustreznih zaščitnih ukrepov, kar vodi do pravnih kazni in škode ugledu.

Varnostna tveganja ChatGPT za podjetja

Varnost ChatGPT se nanaša na vse varnostne ukrepe in protokole, ki se izvajajo za zagotavljanje varnosti in varnosti, povezane z uporabo ChatGPT. Ti so potrebni za zaščito pred naslednjimi tveganji:

1. Tveganja za celovitost podatkov in zasebnost

Kršitve podatkov/kraja podatkov/uhajanje podatkov

Zmožnost ChatGPT za obdelavo ogromnih količin informacij povečuje tveganje kršitev podatkov. Če so v model vnesene občutljive informacije, obstaja možnost uhajanja podatkov. To se lahko zgodi, če so varnostni ukrepi platforme ogroženi ali če se ti podatki uporabijo za usposabljanje modela in se nato zagotovijo kot odgovor na poziv konkurenta ali napadalca. 

Zbiranje informacij

Zlonamerni akterji bi lahko izkoristili ChatGPT za zbiranje občutljivih informacij z vključevanjem v na videz neškodljive pogovore, ki so namenjeni pridobivanju izvidniških podatkov. To lahko vključuje informacije o sistemih in omrežnih komponentah, ki jih uporabljajo podjetja, varnostne prakse, ki se uporabljajo kot sredstvo za njihovo premagovanje, prakse o tem, kako napadati sisteme, informacije o uporabniških nastavitvah, uporabniške metapodatke in več.

Razširjanje dezinformacij

ChatGPT lahko nenamerno širi lažne informacije, zavajajoča dejstva ali izmišlja podatke. To se lahko zgodi zaradi halucinacij ali če napadalci namenoma vnesejo lažne informacije v ChatGPT, zato so vključene v usposabljanje modela in na voljo v drugih odzivih. To lahko privede do odločanja na podlagi netočnih informacij, kar vpliva na integriteto in ugled podjetja.

Avtomatizirana propaganda

Na primer, zmožnost ustvarjanja prepričljive in prilagojene vsebine se lahko zlorabi za širjenje propagande ali manipulacijo javnega mnenja v velikem obsegu.

Izmišljeni in netočni odgovori

Podobno kot razširjanje dezinformacij tudi to vključuje ChatGPT ustvarjanje lažnih ali zavajajočih odgovorov, ki bi jih lahko napačno obravnavali kot dejanske, kar vpliva na poslovne odločitve in zaupanje strank.

2. Pristranskost in etični pomisleki

Pristranskost modela in izhoda

Inherentne pristranskosti v podatkih o usposabljanju lahko vodijo do popačenih ali predsodkov rezultatov. Na primer, če odgovori razlikujejo med etničnimi skupinami ali spoloma pri odločanju o zaposlovanju ali napredovanju. To bi lahko privedlo do neetičnega odločanja in potencialno povzročilo težave z odnosi z javnostmi in pravne posledice.

Tveganja varstva potrošnikov

Podjetja morajo krmariti po tanki črti med izkoriščanjem zmogljivosti ChatGPT za produktivnost in zagotavljanjem, da nehote ne škodujejo potrošnikom s pristranskimi ali neetičnimi rezultati. Prav tako bi morali zagotoviti, da zaposleni v pozive ne vključijo osebnih podatkov ali občutljivih podatkov o strankah, kar bi lahko kršilo predpise o zasebnosti.

Zmanjšanje pristranskosti

Medtem ko si OpenAI prizadeva zmanjšati pristranskost, ostaja tveganje, da vse pristranskosti niso ustrezno obravnavane, kar vodi do potencialno diskriminatornih praks ali rezultatov.

3. Primeri zlonamerne uporabe

Razvoj zlonamerne programske opreme in izsiljevalska programska oprema

ChatGPT je mogoče zlorabiti za razvoj sofisticirane zlonamerne programske opreme ali skriptov izsiljevalske programske opreme, kar predstavlja resno varnostno grožnjo podjetjem. Čeprav je uporaba ChatGPT za napade v nasprotju s politiko OpenAI, je z orodjem še vedno mogoče manipulirati prek različnih pozivov, na primer zahtevati od chatbota, naj deluje kot preizkuševalec peres ali napiše ali razhrošči navidezno nepovezane kodne skripte.

Generiranje zlonamerne kode

Kot je navedeno zgoraj, se lahko ChatGPT uporablja za ustvarjanje kode, ki lahko izkorišča ranljivosti v programski opremi ali sistemih, kar omogoča nepooblaščen dostop ali kršitve podatkov.

Zlonamerna e-poštna sporočila z lažnim predstavljanjem

Napadalci lahko uporabijo ChatGPT za ustvarjanje zelo prepričljivih lažnih e-poštnih sporočil, kar poveča verjetnost uspešnih prevar in kraje informacij. S tem orodjem z umetno inteligenco lahko ustvarijo e-poštna sporočila, ki simulirajo tone in glasove, kot so javno znane osebnosti, zvenijo kot podjetniški strokovnjaki, kot so izvršni direktorji in IT, odpravijo slovnične napake, ki so eden od znakov lažnega predstavljanja, in pišejo v širok nabor jezikov, kar jim omogoča razširitev spektra napadov.

Napadi socialnega inženiringa

Podobno kot e-poštna sporočila z lažnim predstavljanjem lahko ChatGPT ustvari vsebinsko pomembna in prepričljiva sporočila. To pomeni, da ga je mogoče uporabiti kot orožje za izvajanje napadov socialnega inženiringa, ki zaposlene pretentajo, da ogrozijo varnostne protokole.

Lažno predstavljanje

Zaradi naprednih jezikovnih zmožnosti ChatGPT je orodje za ustvarjanje sporočil ali vsebine, ki predstavlja posameznike ali subjekte, kar vodi v morebitne goljufije in socialni inženiring. in dezinformacije.

Mimo sistemov za moderiranje vsebine

Sofisticirano generiranje jezika je mogoče uporabiti za izdelavo sporočil, ki se izognejo zaznavanju standardnih sistemov za moderiranje vsebine. To predstavlja tveganje za spletno varnost in skladnost, saj so tradicionalna varnostna orodja manj učinkovita kot prej.

4. Operativna in politična tveganja

Tveganja intelektualne lastnine (IP) in avtorskih pravic

Generiranje vsebine s strani ChatGPT bi lahko nenamerno kršilo obstoječe pravice intelektualne lastnine. Če ChatGPT ustvari vsebino, ki odraža ali je zelo podobna obstoječemu avtorsko zaščitenemu gradivu, je lahko rezultat kršitev IP, kar predstavlja pravno in finančno tveganje za podjetja.

Kraja intelektualne lastnine

Druga plat medalje je, ko ChatGPT zagotavlja odgovore na podlagi vaših lastniških informacij ali ustvarjalne vsebine, kar vodi v finančno izgubo in slabši konkurenčni položaj.

Jailbreak napadi (napadi na ChatGPT)

Zlonamerni akter poskuša zaobiti ali izkoristiti vgrajene zaščitne ukrepe OpenAI, da bi ga prisilil k izvajanju nalog zunaj predvidenih ali etično dopustnih meja. To lahko sega od ustvarjanja vsebine, ki krši pravilnike o uporabi, do manipuliranja z modelom v razkrivanje informacij, ki naj bi jih prikril. Takšni napadi bi lahko ogrozili celovitost podatkov podjetij, ki uporabljajo ChatGPT in so vnesla občutljive podatke, ter jih povzročijo poslovne in pravne posledice, če uporabijo napačne podatke iz odzivov ChatGPT.

Napake zasebnosti ChatGPT (napad na ChatGPT)

Ranljivosti ali napake v sistemu, ki bi lahko ogrozile zasebnost uporabnikov. To so lahko napake, ki pomotoma razkrijejo občutljive uporabniške podatke ali vrzeli, ki jih zlonamerni akterji izkoristijo za dostop do nepooblaščenih informacij. Ti bi lahko ogrozili celovitost podjetja, razkrili poslovne načrte, izvorno kodo, podatke o strankah, podatke o zaposlenih in drugo.

Spremembe politike podjetja OpenAI

Spremembe politik OpenAI glede uporabe ChatGPT bi lahko vplivale na podjetja, ki se zanašajo na njegovo tehnologijo. Takšne spremembe lahko vključujejo spremembe smernic o zasebnosti uporabnikov, politik uporabe podatkov ali etičnih okvirov, ki usmerjajo razvoj AI in uvajanje. Neusklajenost med temi novimi pravilniki in pričakovanji uporabnikov ali pravnimi standardi, kar bi lahko povzročilo pomisleke glede zasebnosti, zmanjšano zaupanje uporabnikov, pravne izzive in izzive glede skladnosti ali izzive z neprekinjenim delovanjem.

Tveganja razširitve ChatGPT

Varnostno tveganje ChatGPT predstavlja tudi uporaba razširitev ChatGPT, ki so dodatki ali integracije, ki širijo zmogljivosti ChatGPT. Tukaj je nekaj ključnih:

  • Varnostne ranljivosti – Razširitve lahko povzročijo varnostne pomanjkljivosti, zlasti če niso razvite ali vzdrževane v skladu s strogimi varnostnimi standardi. To lahko vključuje vnos zlonamerne kode v brskalnik uporabnika, odtujitev podatkov in drugo.
  • Zaskrbljenost v zvezi z zasebnostjo – Razširitve, ki obravnavajo ali obdelujejo uporabniške podatke, lahko predstavljajo tveganje za zasebnost, zlasti če niso v skladu z zakoni o varstvu podatkov ali če zbirajo, shranjujejo ali prenašajo podatke na nevaren način.
  • Dostop do podatkov o identiteti – Z zlonamernimi razširitvami lahko napadalci pridobijo dostop do podatkov o identiteti – gesel, piškotkov in žetonov MFA. To jim omogoča, da prebijejo sistem in napredujejo v njem bočno.

Kako varno uporabljati ChatGPT

Prišli smo do svojega najljubšega dela – kaj storiti? Obstaja pot do empower vašo delovno silo, da izkoristi ogromen produktivni potencial ChatGPT, hkrati pa odpravi njihovo zmožnost nenamernega razkrivanja občutljivih podatkov. Takole:

Razvijte jasne politike uporabe

Določite podatke, ki vas najbolj skrbijo: izvorna koda, poslovni načrti, intelektualna lastnina itd. Vzpostavite smernice o tem, kako in kdaj lahko zaposleni uporabljajo ChatGPT, s poudarkom na vrstah informacij, ki jih ne smete deliti z orodjem ali jih smete deliti le pod strogimi pogoji.

Izvedite programe usposabljanja in ozaveščanja

Poučite zaposlene o morebitnih tveganjih in omejitvah uporabe orodij AI, vključno z:

  • Varnost podatkov in tveganje deljenja občutljivih podatkov
  • Možna zloraba umetne inteligence pri kibernetskih napadih
  • Kako prepoznati poskuse lažnega predstavljanja, ki jih ustvari AI, ali drugo zlonamerno komunikacijo

Spodbujajte kulturo, v kateri se orodja umetne inteligence uporabljajo odgovorno kot dopolnilo človeškemu strokovnemu znanju in ne kot nadomestilo.

Uporabite razširitev brskalnika Enterprise

Do ChatGPT dostopate in ga uporabljate prek brskalnika, kot spletne aplikacije ali razširitve brskalnika. Zato tradicionalnih orodij za varnost končne točke ali omrežja ni mogoče uporabiti za zaščito organizacij in preprečiti zaposlenim, da bi prilepili ali vtipkali občutljive podatke v aplikacije GenAI.

Toda razširitev brskalnika podjetja lahko. Z ustvarjanjem posebnega pravilnika ChatGPT lahko brskalnik prepreči deljenje občutljivih podatkov s pojavnimi opozorili ali popolnim blokiranjem uporabe. V skrajnih primerih lahko brskalnik podjetja konfigurirate tako, da v celoti onemogoči ChatGPT in njegove razširitve.

Zaznajte in blokirajte tvegane razširitve

Preglejte brskalnike svoje zaposlene, da odkrijete nameščene zlonamerne razširitve ChatGPT ki bi ga bilo treba odstraniti. Poleg tega nenehno analizirajte vedenje obstoječih razširitev brskalnika, da jim preprečite dostop do občutljivih podatkov brskalnika. Onemogočite zmožnost razširitev za pridobivanje poverilnic ali drugih občutljivih podatkov iz brskalnikov vašega zaposlenega.

Okrepite svoje varnostne kontrole

Glede na sposobnost napadalcev, da uporabljajo ChatGPT v svojo korist, naj bo kibernetska varnost višja prednostna naloga. To vključuje:

  • Okrepljen nadzor proti lažnemu predstavljanju, zlonamerni programski opremi, vbrizgavanju in izsiljevalski programski opremi
  • Omejitev dostopa do vaših sistemov za preprečitev nepooblaščene uporabe, ki bi lahko nastala zaradi zmožnosti napadalcev, da npr.
  • Ohranjanje vaše programske opreme s popravki in posodobljenostjo
  • Izvajanje varnostnih ukrepov končne točke
  • Zagotavljanje higiene gesel
  • Nenehno spremljanje za odkrivanje sumljivega vedenja in poskrbite za razvoj in izvajanje svojih načrtov za odzivanje na incidente.

Predstavljamo ChatGPT DLP podjetja LayerX

LayerX je rešitev brskalnika za podjetja, ki ščiti organizacije pred spletnimi grožnjami in tveganji. LayerX ima edinstveno rešitev za zaščito organizacij pred izpostavljenostjo občutljivih podatkov prek ChatGPT in drugih generativnih orodij AI, ne da bi motili izkušnjo brskalnika.

Uporabniki lahko preslikajo in definirajo podatke, ki jih je treba zaščititi, kot je izvorna koda ali intelektualna lastnina. Ko zaposleni uporabljajo ChatGPT, se izvajajo kontrole, kot so pojavna opozorila ali blokiranje, da se zagotovi, da varni podatki niso izpostavljeni. LayerX zagotavlja varno produktivnost in popoln izkoristek potenciala ChatGPT brez ogrožanja varnosti podatkov.

Za več podrobnosti kliknite tukaj.