S-a remarcat faptul că datele sunt uleiul erei informației. Și dacă acesta este cazul, atunci este esențial ca organizațiile să-și amintească faptul că informațiile lor sunt valoroase.
Cu tot mai multe soluții care implementează AI și ingerează datele utilizatorilor, munca hibridă și mai mulți utilizatori, dispozitive, drepturi și medii ca niciodată, există riscuri noi și complexe pentru datele organizațiilor.
Să trecem în revistă unele dintre aceste noi riscuri, inclusiv modul în care asistenții digitali și modelele de AI pot introduce noi riscuri de securitate, de ce soluțiile de guvernanță și administrare a identității (IGA) formează baza protecției datelor și să sugerăm câteva bune practici pe care organizațiile le pot adopta pentru a-și menține datele în siguranță.
Preluați controlul asupra datelor dvs.
Preluarea controlului asupra datelor este mult mai ușor de spus decât de făcut.
Fiecare dispozitiv, utilizator, cont de mașină și resursă creează, transmite și procesează date. De aceea, organizațiile au nevoie de un program IGA, care să le ofere capacitățile de care au nevoie pentru a:
• Menține vizibilitatea și controlul asupra tuturor datelor organizației: Nu poți controla ceea ce nu vezi sau nu înțelegi. IGA ajută la asigurarea faptului că conturile potrivite au acces la datele corecte prin aplicarea unor revizuiri regulate ale accesului și prin împuternicirea proprietarilor de date să aprobe sau să revoce permisiunile, după cum este necesar. De asemenea, oferă administratorilor vizibilitate asupra a ceea ce utilizatorii pot accesa în prezent.
• Asigurarea conformității continue: Un beneficiu al IGA și al vizibilității asupra datelor organizației tale? Demonstrarea acestui control autorităților de reglementare. IGA poate automatiza fluxurile de lucru, rapoartele de audit și certificările de acces pentru a demonstra conformitatea cu GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA și alte reglementări cheie.
• Proteja datele sensibile: Soluțiile IGA pot oferi echipei tale de securitate informații utile despre accesul la date pentru a identifica și atenua accesul neautorizat, ajutând la protejarea datelor clienților și a proprietății intelectuale.
AI generativă creează noi riscuri pentru confidențialitatea datelor
Modelele de AI generativă și modelele de limbaj larg (LLM) introduc noi riscuri de care organizațiile trebuie să țină cont. Instanțele Microsoft Copilot, DeepSeek, Claude și ChatGPT se bazează pe intrările utilizatorilor pentru a-și antrena modelele. În linii mari, aceasta înseamnă că orice introduce un utilizator într-un prompt devine parte a modelului. Mai mult, dacă organizația dvs. utilizează un asistent AI, atunci instrumentul poate avea acces mai larg la datele organizaționale și este posibil să nu aibă garanții care să limiteze când, dacă sau cum ar trebui să utilizeze aceste date.
Acest lucru poate introduce, evident, riscuri semnificative. Uitați-vă la serviciul Azure Health Bot de la Microsoft, care „a permis mișcarea laterală în rețea și, prin urmare, accesul la datele sensibile ale pacienților”, conform TechRadar. Un raport din aprilie 2024 a menționat că 20% dintre companiile din Marea Britanie „aveau date corporative potențial sensibile expuse prin utilizarea de către angajați a AI
generativă (GenAI)”, conform Infosecurity Magazine. Cisco a estimat că un sfert dintre companii au interzis AI generativă din cauza acestor preocupări.
Aceste preocupări sunt bine întemeiate. LLM-urile au nevoie de o gamă largă de date despre clienți pentru a-și antrena modelele, iar utilizatorii au fost instruiți să aibă încredere în „cutia magică” din căutările Google și să tasteze orice caută fără teamă. Acest lucru poate pune în pericol informațiile financiare, IP, PII sau alte date sensibile.
Nu doar informațiile introduse de utilizatori sunt riscante. Dacă un LLM este instruit cu privire la datele dvs., atunci terțe părți pot să le interogheze pentru a găsi informații pe care preferați să nu le faceți publice. De asemenea, există riscul ca asistentul însuși să difuzeze informații pe orice canal de ieșire pe care îl poate comunica.
Cele mai bune practici pentru menținerea securității LLM-urilor
Dacă organizația dvs. va instala un asistent digital, există câteva bune practici pe care trebuie să le adoptați pentru a-l menține în siguranță pe acesta și echipa dvs.
În primul rând, rugați echipa dvs. de conducere să explice care sunt riscurile.
Explicați ce tipuri de informații pot introduce utilizatorii și ce nu. La RSA, am explicat echipei noastre că pot introduce informații destinate consumului public.
Orice altceva nu ar trebui să facă parte dintr-o interogare a utilizatorului.
În al doilea rând, asigurați-vă că activați controalele corecte. Acestea s-ar putea să nu fie întotdeauna setările implicite ale asistentului: dacă sunt configurate incorect, asistenții AI ar putea avea acces la tot ce ține de organizație. Asigurați-vă că chatbot-ul dvs. știe ce informații poate interoga și ce informații poate returna.
Organizațiile trebuie să izoleze datele în mod corespunzător, astfel încât Utilizatorul X să nu primească răspunsuri bazate pe fișierele Utilizatorului Y; în caz contrar, riscați ca angajații dvs. să își citească reciproc e-mailurile și să acceseze informații neintenționate.
De asemenea, trebuie să știți la ce poate accesa sistemul dvs., când are acest acces și când face recomandări utilizatorilor. Asigurați-vă că aplicați aceste seturi de reguli în cadrul tuturor instrumentelor de inteligență artificială pe care le-ați implementat (există mai multe versiuni ale Copilot de la Microsoft). Și aceste instrumente trebuie să se încadreze într-un stâlp de securitate aliniat. sigur.
În cele din urmă, întrebați furnizorul ce se întâmplă cu căutările, datele și răspunsurile dumneavoastră. Furnizorul le păstrează? Dacă da, pentru cât timp? Sunt alte instanțe ale soluției antrenate pe modelul dumneavoastră sau totul rămâne privat pentru dumneavoastră?
AI potrivită pentru securitatea cibernetică
Am discutat în mare parte despre riscurile pe care le prezintă modelele LLM și AI generativă pentru posturile de securitate cibernetică ale organizațiilor. Aceste modele de IA tind să primească majoritatea titlurilor și reprezintă unele dintre cele mai mari riscuri, chiar dacă tot mai mulți utilizatori introduc solicitări în ChatGPT, Copilot etc.
Securitatea cibernetică poate beneficia, de asemenea, de AI – dar echipa dumneavoastră trebuie să utilizeze modelul potrivit. În general, modelele LLM și AI generativă nu sunt potrivite pentru operațiunile de securitate în prezent. Sunt o cutie neagră care produce rezultate pe care un operator uman nu le poate valida întotdeauna, iar rezultatele lor nu sunt întotdeauna utile.
Aceste modele se bazează pe modele nedeterministe (eu introduc valori X, nu știu ce iese). Modelele deterministe (introduc valori X, știu care va fi rezultatul și cum va ajunge soluția la acel rezultat) pot fi extrem de utile pentru securitatea cibernetică.
Folosim RSA® Risk AI de zeci de ani pentru a oferi informații în timp real despre cererile de autentificare. Risk AI este un model determinist de învățare automată bazat pe risc care evaluează adresa IP și semnalele de rețea ale unui utilizator, analiza comportamentului, geolocalizarea, semnalele bazate pe timp, semnalele aplicației, semnalele legate de dispozitiv și multe altele pentru a evalua riscul.
Dacă aceste semnale și comportamente reflectă comportamentul tipic al utilizatorului în raport cu sine însuși și cu restul organizației, atunci acestea sunt considerate a avea risc scăzut și se pot autentifica folosind metode standard. Dacă aceste comportamente deviază semnificativ, atunci sistemul automatizează o provocare de autentificare intensificată și o poate semnala echipei de securitate.
Este important de menționat că RSA Risk AI nu colectează informații despre organizații și nu folosim nicio informație dintr-o anumită implementare pentru a antrena iterații viitoare. Evaluăm prin hashing și tokenizăm toate datele Risk AI.
Fiecare instanță Risk AI este implementată pentru fiecare organizație clientă, iar aceste implementări sunt ajustate fin pe baza datelor lor și doar pe baza datelor lor.
Datele dumneavoastră sunt valoroase. Păstrați-le în siguranță
Nu lăsați cele mai bune practici tehnice sau aspectele legate de arhitectura de securitate să ascundă ideea principală: datele dumneavoastră sunt valoroase. Merită ca organizațiile să investească timp și resurse în instrumentele, procesele și procedurile care le pot menține în siguranță.
Soluțiile de securitate IT, risc si conformitate RSA, Divizia de Securitate a EMC, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.
