Kod źródłowy stanowi największą część ujawnianych danych wrażliwych w ChatGPT wynika z raportu firmy Netskope Threat Labs

Netskope, lider w dziedzinie Secure Access Service Edge (SASE) oraz cyberbezpieczeństwa prezentuje dane, z których wynika, że statystyczna firma zatrudniająca do 10 000 pracowników notuje miesięcznie średnio 183 incydentów związanych z przesyłaniem wrażliwych danych do aplikacji AI (sztuczna inteligencja). Kod źródłowy stanowi największą część ujawnianych danych wrażliwych. 

Wyniki są częścią raportu Cloud & Threat Report: AI Apps in the Enterprise, pierwszej kompleksowej analizy Netskope Threat Labs dotyczącej wykorzystania sztucznej inteligencji w przedsiębiorstwach i związanych z tym zagrożeń bezpieczeństwa. Opierając się na danych pochodzących od milionów użytkowników korporacyjnych na całym świecie, Netskope stwierdził, że wykorzystanie generatywnych aplikacji AI szybko rośnie, o 22,5% w ciągu ostatnich dwóch miesięcy, zwiększając ryzyko na ujawnienie wrażliwych danych.

 

Rosnące wykorzystanie aplikacji AI

Firmy i przedsiębiorstwa zatrudniające co najmniej 10 000 lub więcej użytkowników korzystają średnio z 5 aplikacji AI dziennie. Przy czym  należy podkreślić, że ChatGPT odnotowuje ponad 8 razy więcej aktywnych użytkowników niż jakakolwiek inna generatywna aplikacja AI. Przy obecnym tempie wzrostu oczekuje się, że liczba użytkowników korzystających z aplikacji AI podwoi się w ciągu najbliższych siedmiu miesięcy. W ciągu ostatnich dwóch miesięcy najszybciej rozwijającą się aplikacją AI był Google Bard. Tygodniowo liczba użytkowników korzystających z tego rozwiązania rośnie o ponad 7%, w porównaniu do 1,6% w przypadku ChatGPT. Przy obecnym tempie Google Bard nie jest w stanie dogonić ChatGPT w ciągu najbliższego roku, choć oczekuje się, że zakres i liczba generatywnych aplikacji AI znacznie się rozwinie do tego czasu, także biorąc pod uwagę inne rozwiązania, które są w fazie rozwoju.

 

Użytkownicy wprowadzają wrażliwe dane do ChatGPT: kod źródłowy, dane finansowe, dane medyczne oraz dane osobowe

Analitycy Netskope odkryli, że kod źródłowy jest publikowany w ChatGPT częściej niż jakikolwiek inny rodzaj wrażliwych danych, w tempie 158 incydentów miesięcznie na 10 000 użytkowników. Inne wrażliwe dane udostępniane w ChatGPT obejmują także dane poufne – w tym dane finansowe i dotyczące opieki zdrowotnej, dane osobowe – wraz z własnością intelektualną oraz, co najbardziej niepokojące, hasła i klucze, zwykle osadzone w kodzie źródłowym.

 

„Nieuniknione jest, że niektórzy użytkownicy będą przesyłać zastrzeżony kod źródłowy lub tekst zawierający poufne dane do narzędzi AI, które obiecują pomóc w programowaniu lub redakcji tekstu. Dlatego konieczne jest, aby firmy i przedsiębiorstwa kontrolowały sztuczną inteligencję, aby zapobiec wyciekom wrażliwych danych. Trzeba wdrożyć mechanizmy kontrolne, które umożliwiają użytkownikom czerpanie korzyści ze sztucznej inteligencji, usprawniając operacje i poprawiając wydajność, przy jednoczesnym ograniczaniu ryzyka chociażby kradzieży danych. Najskuteczniejszym rozwiązaniem powinno być połączenie wydajnych rozwiązań informatycznych z zakresu cyberbezpieczeńśtwa z edukacją użytkowników” – powiedział Ray Canzanese, dyrektor ds. badań nad zagrożeniami w Netskope Threat Labs.

 

Blokowanie lub udzielanie dostępu do ChatGPT

Netskope Threat Labs śledzi obecnie serwery proxy ChatGPT i ponad 1000 złośliwych adresów URL oraz domen stworzonych przez cyberprzestępców, którzy chcą wykorzystać popularność sztucznej inteligencji do kradzieży danych. Blokowanie dostępu do treści związanych ze sztuczną inteligencją i aplikacji AI tylko częściowo ogranicza ryzyko wypływu wrażliwych danych. Przy okazji odbywa się to kosztem potencjalnych korzyści, jakie aplikacje AI oferują w celu wdrożenia innowacji korporacyjnych i zwiększenia produktywności pracowników. Dane Netskope pokazują, że w usługach finansowych i opiece zdrowotnej – obu wysoce regulowanych branżach – prawie 1 na 5 organizacji wdrożyła całkowity zakaz korzystania z ChatGPT przez pracowników, podczas gdy w sektorze technologicznym tylko 1 na 20 organizacji postąpiła podobnie.

 

Jako liderzy bezpieczeństwa nie możemy po prostu zdecydować się na zakazanie stosowanie aplikacji AI. Organizacje powinny skupić się na rozwijaniu świadomości pracowników i polityk dotyczących wysyłania i pobierania danych, aby zaspokoić potrzeby pracowników korzystających z produktów AI. Istnieje dobra droga do bezpiecznego stosowania  generatywnej sztucznej inteligencji w firmach. To po prostu odpowiednie zabezpieczenia, ale także zwykły rozsądek poparty przez wewnętrzne regulacje” – powiedział James Robinson, zastępca dyrektora ds. bezpieczeństwa informacji w Netskope.

 

Aby umożliwić organizacjom bezpieczne wdrażanie aplikacji AI, muszą one skoncentrować swoje podejście na identyfikowaniu dozwolonych aplikacji i wdrażaniu kontroli, które umożliwią użytkownikom korzystanie w pełni ich potencjału, jednocześnie chroniąc organizację przed zagrożeniami. Takie podejście powinno obejmować filtrowanie domen, filtrowanie adresów URL i kontrolę treści w celu ochrony przed atakami. Inne kroki w celu ochrony danych i bezpiecznego korzystania z narzędzi AI obejmują także blokowanie dostępu do aplikacji, które nie służą żadnemu uzasadnionemu celowi biznesowemu lub które stanowią nieproporcjonalne ryzyko dla organizacji. Należy także wdrożyć programy edukacyjne, które mogą przypomnieć użytkownikom o polityce firmy dotyczącej korzystania z aplikacji AI.

 

Microsoft wyróżnił najlepsze firmy partnerskie tytułem Partner of the Year Awards 2023, podczas konferencji Microsoft Inspire 2023