Dall’ultimo Cloud and Threat Report di Netskope emergono i rischi legati all’utilizzo della GenAI nelle imprese nell’arco dell’ultimo anno.
L’uso (o meglio l’abuso) dei dati regolamentati, per alimentare gli algoritmi dell’intelligenza artificiale generativa, costituisce un potenziale problema.
“La ricerca sembra confermare un trend piuttosto evidente all’interno delle organizzazioni, favorito dal fascino esercitato dall’Intelligenza Artificiale generativa”, commenta Enrico Morisi, ICT Security Manager: “Si tratta quindi di una tendenza fortemente sostenuta dalla voracità di questo genere di nuove stupefacenti funzionalità, ma purtroppo non ancora bilanciata, nella maggior parte dei casi, da una altrettanto profonda consapevolezza e attenzione ai rischi che questi sistemi introducono nelle stesse organizzazioni”.
Ecco come mitigare il pericolo di costose violazioni dei dati per le imprese.
Indice degli argomenti
Report: la GenAI in azienda mette a rischio i dati regolamentati
Sfruttando set di dati globali, i ricercatori di Netskope hanno rilevato che il 96% delle imprese utilizza la genAI, cifra triplicata in un anno. In media, le aziende usano quasi 10 applicazioni di genAI, rispetto alle 3 dell’anno scorso. Ma l’1% degli utenti oggi impiega una media di 80 applicazioni, in crescita rispetto alle 14 di un anno fa:
- ChatGPT è l’applicazione più diffusa (oltre l’80% delle aziende la usa);
- Microsoft Copilot ha messo a segno la crescita più significativa nell’utilizzo dal suo debutto nello scorso gennaio (+57%);
- il 19% delle aziende ha vietato totalmente GitHub CoPilot.
L’incremento dell’uso ha generato un balzo della condivisione del codice sorgente proprietario nell’ambito delle applicazioni genAI, che costituisce il 46% di tutte le violazioni documentate di policy DLP.
Secondo Netskope Threat Labs, oltre un terzo delle informazioni aziendali sensibili, che le persone usano per alimentare le app di intelligenza artificiale generativa, risultano dati personali regolamentati. Si tratta di dati che le organizzazioni hanno il dovere legale di proteggere.
GDPR e AI
“Riguardo al tema della condivisione dei dati ‘regolamentati’, sulla base per esempio di normative come il GDPR“, mette in guardia Enrico Morisi, “occorre aver ben chiaro che un sistema di IA è costituito da diversi componenti, e non è detto che siano tutti coinvolti nel processamento di questi dati. Un recente studio dell’Hamburg Commissioner for Data Protection and Freedom of Information ad esempio, tenderebbe ad escludere che si possa ritenere che un LLM (Large Language Model) detenga o processi dati personali, grazie al ricorso alla tecnica dei ‘token‘, porzioni di testo tipicamente più grandi di un singolo carattere ma più piccole di una parola, a dimostrazione di quanto il tema dell’accountability sia complesso da affrontare e gestire, anche e soprattutto in questi ambiti”.
Inoltre, sfiora la metà il numero di organizzazioni che applica controlli focalizzati sui dati.
Tuttavia, “bloccare i sistemi di AI, pur rappresentando una possibile soluzione di mitigazione del rischio, non sarebbe, probabilmente, l’approccio più conveniente, in quanto precluderebbe tutta una serie di opportunità e di vantaggi che potrebbero risultare anche decisivi in termini di performance, competitività e sostenibilità”, spiega Enrico Morisi.
Ecco, allora, come risolvere il problema.
GenAI: come mitigare i rischi
Le dinamiche mutevoli influiscono su come le imprese effettuano monitoraggio sul rischio. Serve un maggior impegno verso una più solida DLP (data loss prevention). Per prevenire questi rischi, è dunque necessario implementare soluzioni evolute di prevenzione della perdita di dati al fine di un’abilitazione sicura della genAI.
I leader tecnologici aziendali devono dunque porre dei limiti, puntando a mitigare il rischio di esfiltrazione di dati sensibili.
Occorre inoltre applicare controlli focalizzati sui dati per ostacolare la condivisione di informazioni sensibili nelle richieste di input da parte degli utenti.
“L’Intelligenza Artificiale e il suo rapido sviluppo tecnologico stanno mettendo le organizzazioni davanti a vantaggi e sfide senza precedenti in termini di implementazione dei sistemi di IA, minacce alla sicurezza e strategie di difesa”, evidenzia Morisi, “comprenderne appieno i rischi e i benefici sarà decisivo per sbloccare tutto il potenziale dell’IA“.
Il ruolo di framework e guide
“I rischi introdotti con i sistemi di IA vanno quindi valutati e gestiti: a tal proposito, tutte le più note agenzie governative e svariati organismi nazionali e internazionali, dal NIST a CISA, dal DHS al Dipartimento Usa del Tesoro, da OWASP a ENISA, solo per citarne alcuni, hanno sviluppato framework e guide per lo sviluppo e l’uso sicuro dei sistemi di AI, per non parlare dell’istituzione da parte delle Nazioni Unite dell’Advisory Body on AI Governance, della creazione dell’U.S. AI Safety Institute, del lancio della World Economic Forum AI Governance Alliance, orientata alla promozione della cooperazione tra pubblico e privato, e dell’introduzione di opportune normative come l’AI Act dell’Unione Europea. Anche l’ACN, da parte sua, ha aderito alle Guidelines for secure AI system development promosse dal NCSC del Regno Unito”, avverte ancora Morisi.
Che aggiunge: “Un ruolo cruciale potrebbe essere giocato anche dagli standard, già pubblicati (e.g. ISO/IEC 42001:2023) o in corso di definizione da parte dei maggiori enti di normazione”.
La gestione proattiva dei rischi
Aumentano però le aziende che applicano una gestione proattiva del rischio nei controlli di sicurezza e di perdita dei dati: per esempio, il 65% delle aziende ora adotta il coaching per gli utenti in tempo reale per offrire una guida delle interazioni degli utenti con le applicazioni genAI.
Secondo lo studio, un efficiente coaching degli utenti svolge un ruolo fondamentale nel proteggere i dati, spingendo il 57% degli utenti ad apportare modifiche alle proprie azioni in seguito agli alert ricevuti.
“La protezione della genAI richiede ulteriori investimenti e maggiore attenzione poiché il suo utilizzo permea le aziende, senza segnali di rallentamento nel breve periodo”, conclude James Robinson, Chief Information Security Officer, Netskope. “Le aziende devono riconoscere che i risultati ottenuti dalla genAI possono inavvertitamente esporre informazioni sensibili, diffondere disinformazione o persino introdurre contenuti malevoli. Richiede un solido approccio alla gestione del rischio per salvaguardare i dati, la reputazione e la continuità aziendale”.
Iniziative come il framework di gestione del rischio AI del NIST e le altre linee guida aiutano infatti a fronteggiare il rischio derivante dalla genAI. In prima fase, si valutano gli usi esistenti dell’intelligenza artificiale e dell’apprendimento automatico, delle pipeline di dati e delle applicazioni genAI, individuando le falle e le lacune nei controlli di sicurezza.
Le altre misure di sicurezza
Si stabiliscono misure di sicurezza come controlli di accesso, meccanismi di autenticazione e crittografia.
Può aiutare una tabella di marcia per controlli di sicurezza evoluti: prendere in esame la modellazione delle minacce, il rilevamento delle anomalie, il monitoraggio continuo e il rilevamento comportamentale per l’identificazione dei movimenti di dati sospetti negli ambienti cloud verso le applicazioni genAI che si discostano dai normali modelli utente.
Si valuta infine con regolarità l’efficacia delle misure di sicurezza, adattandole e perfezionandole in base alle esperienze del mondo reale e alle minacce emergenti.
