Il nuovo Cloud & Threat Report di Netskope per la prima volta accende i fari sull’uso di applicazioni di IA generativa nelle aziende, sottolineando i rischi cyber derivanti.
“L’ IA generativa è destinata ad assumere un ruolo cruciale nelle operazioni delle aziende”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “grazie ad esse è possibile, infatti, aumentare la produttività degli impiegati. Tuttavia la mancata conoscenza di questa tecnologia potrebbe esporre il patrimonio informativo delle imprese a gravi rischi”.
Ecco come mitigarli.
Indice degli argomenti
IA generativa: i rischi cyber in azienda
Dallo studio di Netskope emerge che l’utilizzo di applicazioni di IA generativa cresce a doppia cifra. L’incremento è pari al 22,5%, solo negli ultimi due mesi. Ciò aumenta le probabilità che gli utenti espongano dati sensibili.
In base al report, le organizzazioni (dai 10.000 utenti in su) sfruttano in media 5 app di IA al giorno. Ma è ChatGPT a registrare più di 8 volte gli utenti attivi giornalieri rispetto ad ogni altra applicazione di IA generativa.
In particolare la pubblicazione del codice sorgente supera su ChatGPT qualunque altro tipo di dato sensibile: la frequenza è di 158 incidenti ogni 10.000 utenti al mese. “Un numero davvero allarmate”, sottolinea Paganini, “che conferma la scarsa conoscenza del personale dei rischi connessi all’uso di sistemi basati su AI generativa“.
“Come emerge dal rapporto”, evidenzia Paganini, “il codice sorgente di progetti delle imprese è il principale dato sensibile pubblicato su ChatGPT. Ciò implica seri rischi per la proprietà intellettuale delle aziende che rappresenta il loro principale asset“.
Altri dati sensibili condivisi su ChatGPT comprendono dati regolamentati. Per esempio, dati finanziari e sanitari, informazioni personali, oltre alla proprietà intellettuale con esclusione del codice sorgente, e, cosa più preoccupante, password e chiavi, di solito incorporate nel codice sorgente.
Come mitigare la condivisione di dati sensibili
Netskope Threat Labs sta monitorando i proxy di ChatGPT e oltre 1.000 URL e domini malevoli usati da attaccanti opportunisti che cercano di avvantaggiarsi dalla IA-mania, tra cui campagne di phishing, di distribuzione di malware e siti web di spam e frodi.
Il blocco dell’accesso ai contenuti e alle applicazioni correlate all’IA rappresenta una soluzione a breve termine per ridurre i rischi. Significa sacrificare i potenziali vantaggi offerti dalle applicazioni di IA in termini di innovazione aziendale e produttività dei dipendenti.
Ma “non potremo fare a meno di applicazioni basate su IA nei processi delle nostre imprese”, mette in guardia Paganini, “per questo motivo occorre implementare controlli efficaci che consentano di prevenire la divulgazione di dati sensibili, per esempio mediante soluzioni DLP disegnate ah hoc“.
Secondo Netskope, nei servizi finanziari e dell’assistenza sanitaria, settori altamente regolamentati, circa 1 su 5 organizzazioni ha imposto un divieto completo sull’uso di ChatGPT da parte dei dipendenti.
Invece, nel settore tecnologico solo 1 su 20 organizzazioni segue questa linea drastica.
“Come responsabili della sicurezza, non possiamo semplicemente decidere di vietare le applicazioni senza influire sull’esperienza e sulla produttività degli utenti”, afferma James Robinson, Deputy Chief Information Security Officer presso Netskope. “Le organizzazioni dovrebbero puntare a far evolvere la consapevolezza della propria forza lavoro e le policy sui dati per andare incontro alle esigenze dei dipendenti che utilizzano prodotti di intelligenza artificiale in modo produttivo. È possibile consentire in modo sicuro l’uso di IA generativa adottando gli strumenti giusti e la giusta mentalità.”
Tuttavia, “accanto all’approccio tecnologico”, conclude Paganini, “è indispensabile aumentare la percezione dei rischi connessi all’uso dell’AI da parte degli utenti, è ciò è possibile grazie a programmi formativi concepiti allo scopo”.
