Nel 2023 ChatGPT è esploso, raggiungendo a gennaio 100 milioni di utenti attivi mensili e diventando l’applicazione consumer con la crescita più rapida della storia.
Non sorprende che le aziende si siano affrettate a capitalizzare tale fenomeno e Microsoft (storica sostenitrice dell’azienda madre di ChatGPT, OpenAI) è stata una delle prime ad assicurarsi una fetta di mercato, offrendo agli utenti di Teams Premium un’integrazione GPT in grado di redigere verbali, riassumere i punti di discussione e suggerire le fasi successive delle riunioni virtuali sulla piattaforma.
Sulla scia di Microsoft, Salesforce ha annunciato un’integrazione ChatGPT per Slack, che aiuta gli utenti a riassumere le conversazioni e a gestire le domande.
Indice degli argomenti
Integrazioni dell’AI in azienda: l’evoluzione degli uffici
Il ricorso all’intelligenza artificiale per ridurre il tempo dedicato alle attività amministrative potrebbe segnare l’inizio di un nuovo modello di lavoro per molte aziende.
La possibilità di aumentare la produttività a livello individuale e aziendale con un investimento minimo rappresenta un vantaggio per tutti. Tuttavia, in termini di sicurezza informatica è difficile ignorare alcuni aspetti critici: che cosa sta succedendo ai dati e come vengono protetti?
Un’indagine condotta da CyberHaven ha rilevato che il 4,9% dei dipendenti trasferisce dati aziendali su ChatGPT e che un’azienda media “fa trapelare materiale confidenziale sulla piattaforma centinaia di volte alla settimana”.
In seguito alla crescente integrazione con applicazioni gestite e affidabili come Teams e Slack, non c’è dubbio che i rischi stiano aumentando.
Una corsa contro il tempo per gli esperti di sicurezza
Mentre un numero sempre maggiore di aziende utilizza i servizi di intelligenza artificiale per incrementare la propria produttività, condividendo le informazioni aziendali su queste piattaforme, il rischio di fughe di dati sensibili aumenta.
Per impostazione predefinita, OpenAI memorizza tutte le conversazioni avvenute sulla piattaforma allo scopo di migliorare il proprio modello e, come indicato nelle FAQ generali, i singoli prompt non possono essere cancellati dai relativi sistemi.
Ciò significa che, se un utente malintenzionato dovesse accedere nel sistema, avrebbe a disposizione i dati potenzialmente sensibili di milioni di utenti e migliaia di aziende.
Di fatto, a marzo abbiamo appreso che un bug di ChatGPT aveva già fatto trapelare le cronologie delle conversazioni degli utenti verso altri utenti.
Le reazioni allarmistiche dei professionisti dell’informazione hanno già portato a una capitolazione, con la conseguente conservazione dei dati solo per 90 giorni e la possibilità per gli utenti di non permettere ai propri dati di addestrare il sistema.
In ogni caso, la selezione di questa opzione richiede una certa esperienza da parte dell’utente. L’intelligenza artificiale generativa è un campo in rapida evoluzione, per cui non si può pretendere che gli utenti siano in grado di identificare con precisione i rischi per la sicurezza.
Le autorità di regolamentazione del Regno Unito hanno espresso preoccupazione riguardo alla disinformazione e il Data Protection and Digital Information Bill attualmente all’esame del Parlamento, mira ad “accrescere la fiducia del pubblico e delle imprese” nell’IA esercitando maggiori tutele quando le informazioni potrebbero essere potenzialmente imprecise o dannose.
La proposta di legge dell’UE sull’intelligenza artificiale riconosce anche l’impatto che questa potrebbe avere sui diritti dei cittadini europei e prevede la possibilità per gli organismi di supervisione di imporne il richiamo o la riqualificazione del modello, qualora si ritenga che sussista un rischio elevato.
In questo modo, si aggiunge un ulteriore livello di protezione rispetto al GDPR e si garantisce che i sistemi di AI utilizzati nell’UE siano conformi ai requisiti e alla legislazione esistente sui diritti umani fondamentali.
Tuttavia, nella regolamentazione delle modalità di elaborazione e archiviazione dei dati da parte delle aziende di AI, sembra esserci meno urgenza, e ciò potrebbe comportare importanti grattacapi per i professionisti della sicurezza.
Per molte aziende non è possibile attendere le indicazioni normative e alcuni leader globali hanno già deciso di prendere in mano la situazione. Walmart, Verizon e Amazon hanno già avvertito i dipendenti di non condividere informazioni aziendali riservate su ChatGPT.
L’ascesa della Shadow AI
Purtroppo, vietare l’uso di piattaforme di intelligenza artificiale ed evitare del tutto le integrazioni potrebbe comunque causare problemi. Man mano che queste piattaforme diventano più utili per i professionisti è probabile che la “Shadow AI” – l’uso non approvato di applicazioni AI di terze parti al di fuori della rete aziendale – continui a prendere piede.
Grazie alle integrazioni ufficiali a livello aziendale, è possibile prevedere ulteriori livelli di protezione e monitorare il flusso di dati da e verso la piattaforma.
Pertanto, per molte aziende, potrebbe rivelarsi più opportuno accettare le integrazioni e investire in nuove politiche e soluzioni di sicurezza per garantire la protezione dei dati, piuttosto che vietarle del tutto.
Porre le giuste domande
Tutte le aziende esposte a integrazioni con l’AI devono lavorare a stretto contatto con i propri fornitori per stabilire una chiara comprensione delle responsabilità per ciascuna area della sicurezza dei dati.
I responsabili della sicurezza devono chiedersi dove vengono archiviate le informazioni sensibili una volta inserite nei sistemi di terze parti, chi può accedere a tali dati, come li utilizzerà e il relativo periodo di conservazione.
I responsabili della sicurezza devono inoltre garantire che l’uso di tali piattaforme sia effettivamente in linea con le politiche di protezione dei dati e che i fornitori soddisfino i relativi standard.
Quest’anno, ad esempio, JP Morgan ha iniziato a limitare l’uso di ChatGPT da parte dei dipendenti, in conformità con il protocollo sulla privacy dei dati relativo ai software di terze parti.
Sarà interessante vedere come le integrazioni di app aziendali spingeranno le app cloud affidabili e riconosciute a entrare in conflitto con tali politiche.
Conclusioni
Detto questo, non è la prima volta che le migrazioni di dati fanno scattare un campanello d’allarme tra gli esperti di sicurezza informatica e, considerati i ritmi dell’innovazione tecnologica, non sarà l’ultima.
Dieci anni fa, l’adozione di massa del cloud ha suscitato reazioni molto simili. È fondamentale, ovviamente, assicurarsi che le operazioni vengano svolte in modo sicuro e protetto.
Le aziende devono mantenere politiche e tecnologie efficaci per la protezione dei dati, garantendo soprattutto un livello di sicurezza adeguato. Sin dall’avvento del cloud sappiamo che, per l’utilizzo e la protezione dei dati a livello di applicazione, è fondamentale applicare criteri granulari basati su una conoscenza approfondita di ciascuna applicazione e del relativo approccio all’elaborazione e all’igiene dei dati.
Questo approccio è il modello principe da seguire per approfondire l’utilizzo dell’intelligenza artificiale per singola applicazione e per estendere i controlli delle policy in modo che riflettano la supervisione e il controllo a livello aziendale.
In definitiva, mantenere una cultura di vigilanza e non buttarsi alla cieca sulla prossima grande tendenza senza adottare processi adeguati aiuterà a gestire i rischi mentre continueremo ad esplorare l’applicazione delle nuove tecnologie, in attesa di istruzioni chiare dalle autorità di regolamentazione.
