O lado negro do ChatGPT: como a IA representa uma ameaça à segurança de dados

Views: 287
0 0
Read Time:8 Minute, 30 Second

O ChatGPT não discrimina – é como um filhote ansioso, tentando atender a cada demanda de seu dono, tudo por aquele pequeno agrado (ou, no caso do ChatGPT, um pequeno clique de “curtir”). O ChatGPT, o modelo de linguagem de IA que conhece todas as respostas, tem causado sensação de todas as maneiras certas e erradas. Sim, este robô pode enriquecer nossas vidas profissionais, então, apesar das preocupações sobre empregos perdidos potencialmente e de assumir o controle do mundo, todos estão falando sobre isso. Você, nós e, infelizmente, os criminosos cibernéticos também.

O modelo de linguagem tem boas intenções – ajudar o humano! – o que parece maravilhoso… não apenas para os mocinhos, mas também para os criminosos cibernéticos. Ele pode ser mal utilizado, acidental ou maliciosamente, tornando-se uma ameaça potencial para o seu negócio e seus dados.

Neste artigo, exploraremos algumas maneiras como o ChatGPT é usado para ajudar as empresas, como pode ser uma ameaça à segurança de dados e forneceremos dicas sobre como as empresas podem se proteger.

Como o ChatGPT pode ser usado para negócios?

O ChatGPT é uma ótima ferramenta para muitas coisas nas operações diárias de negócios, desde responder a e-mails até análise e processamento de dados, e até mesmo tarefas mais complicadas. Você poderia até mesmo usá-lo para criar um chatbot para sua empresa ou para organizar toneladas de dados para você sem suar.

Parece tentador? Algumas dessas tarefas levariam horas para serem concluídas por um humano, e um bot pode fazer em menos de um minuto… Você está gritando “Me inscreva!” enquanto lê isso?

Mas, enquanto usar um bot para analisar as informações financeiras mais recentes da sua empresa parece uma ótima ideia para economizar tempo, isso pode sair pela culatra rapidamente.

Por que o ChatGPT pode ser uma ameaça para a segurança de dados?

O ChatGPT tenta simular como o cérebro humano funciona. Ele absorve informações em seu “cérebro” robótico e pode recordar essas informações quando precisa e usá-las em análises e interações subsequentes. Mas, como dizem, com grande poder vem grande responsabilidade – o ChatGPT “sabe” uma quantidade incrível de informações.

Por que você deveria se preocupar?

Enquanto existem milhares de comandos que você pode dar ao ChatGPT, “manter meus dados confidenciais” não é um deles.

O ChatGPT é um modelo de aprendizado profundo, o que permite que ele aprenda com suas conversas com usuários. Em outras palavras, suas conversas não ficarão apenas entre vocês dois. Não importa o quão pessoal o ChatGPT possa parecer, é apenas um programa impessoal e sem emoção, sem consideração por você ou seu negócio.

Considere essas tarefas que você ou seu departamento de TI poderiam pedir ao ChatGPT para ajudar:

  • Auxiliar na redação ou encontrar um bug no código-fonte.
  • Criar notas a partir de uma transcrição de reunião.
  • Otimizar uma sequência de teste para identificar vulnerabilidades internas do sistema.
  • Organizar informações de pagamento do cliente em uma planilha.

Você consegue identificar as ameaças?

Mas espere, tem mais! Além de o ChatGPT lembrar de qualquer entrada que você fornecer para suas análises futuras, os funcionários da OpenAI podem acessar dados de suas conversas com o ChatGPT, adicionando uma camada extra de fator humano a toda essa situação de segurança de dados. Lembre-se, o fator humano está envolvido em 82% de todas as violações de segurança de dados em 2022 (com base no Relatório de Investigações de Violação de Dados da Verizon de 2022). E isso foi antes de o ChatGPT se tornar parte de nossa vida cotidiana.

E ainda não é tudo – se você não for cuidadoso e, digamos, usar uma rede Wi-Fi não segura ou pública para conversar com o ChatGPT, alguém com más intenções poderia potencialmente acessar seu chat e ver quais dados você está compartilhando.

Esses exemplos no início desta seção? Eles vêm de situações da vida real que poderiam facilmente resultar em violações de dados causadas pelo ChatGPT (a maioria delas é de uma investigação na Samsung!).

A dependência excessiva de IA e ChatGPT pode levar à negligência de aspectos importantes da segurança de dados, como revisão e verificação manual.

Medidas de mitigação: Em resumo, não deixe a promessa de uma análise de dados rápida e fácil do ChatGPT nublar seu julgamento. Adote uma mentalidade de segurança em primeiro lugar, eduque seus funcionários, não apenas sobre as políticas de segurança de dados de sua empresa, mas também sobre a IA e as ameaças potenciais que ela pode representar para os negócios. Lembre-se, existem considerações extras quando se trata de trabalhadores remotos.

Criminosos cibernéticos usam o ChatGPT para explorar vulnerabilidades em sistemas de segurança

Existe uma rede obscura prosperando e ganhando milhões com dados roubados pertencentes a organizações e indivíduos em todo o mundo. Na verdade, grupos de ransomware são administrados como negócios regulares, completos com departamentos de marketing e produtos RaaS (ransomware como serviço)! É seguro assumir que, assim que o ChatGPT se tornou disponível para todos explorarem em novembro de 2022, os criminosos cibernéticos tiveram um dia de festa.

E explorar eles exploraram. Os vilões rapidamente aderiram à onda do bot de linguagem, usando-o para encontrar vulnerabilidades em sistemas de segurança de dados, escrever e-mails de phishing convincentes, ajudar a criar ransomware e até mesmo malware personalizado para escapar de sistemas de segurança.

Tudo isso mais rápido, menos detectável e mais gramaticalmente correto do que nunca (e-mails de phishing são conhecidos por levantar suspeitas com seus erros gramaticais).

O ChatGPT está tornando mais fácil para os criminosos cibernéticos executarem ataques e roubarem dados sensíveis de empresas. À medida que as empresas dependem cada vez mais de IA e ChatGPT para processamento e análise de dados, a superfície de ataque para possíveis violações de dados se expande. Isso significa que há mais pontos potenciais de entrada para os criminosos cibernéticos explorarem.

Os ataques cibernéticos também têm o potencial de se tornarem mais sofisticados. O ChatGPT pode ser usado para escapar da detecção por medidas de segurança tradicionais? Provavelmente. Um hacker faria tudo o que pode para usar o ChatGPT a seu favor malicioso? Definitivamente.

Medidas de mitigação: As empresas devem implementar medidas de segurança apropriadas de prevenção de perda de dados (DLP), como criptografia, controles de acesso e auditorias de segurança regulares. Se as ameaças de segurança estão se tornando mais sofisticadas, suas medidas de DLP também devem ser. Um software dedicado de prevenção de perda de dados (como o Safetica NXT) pode ser uma virada de jogo para qualquer PME ou organização maior.

O ChatGPT pode ser usado como uma ferramenta para ameaças internas

IA e ChatGPT também podem ser usados por insiders para realizar violações de dados. Por exemplo, um funcionário pode usar a IA para identificar dados sensíveis e depois usar o ChatGPT para gerar e-mails de phishing bem escritos para outros funcionários ou parceiros comerciais.

As ameaças internas podem ser difíceis de detectar porque o insider já tem acesso a dados sensíveis que podem ser usados para roubar mais dados.

Medidas de mitigação: Para reduzir o risco de ameaças internas, as empresas usam a abordagem de Confiança Zero para limitar o acesso a dados sensíveis apenas para aqueles que precisam. O Safetica ONE é um dos melhores produtos de DLP disponíveis e inclui mecanismos de Proteção contra Ameaças Internas.

Além dos danos potenciais à reputação e finanças de um negócio, violações de dados, incluindo aquelas causadas ou auxiliadas pelo ChatGPT, podem levar a consequências legais e falhas de conformidade regulatória. Por exemplo, as empresas podem estar sujeitas a multas e outras penalidades se forem consideradas violadoras das leis de proteção de dados, como o GDPR, CCPA ou HIPAA. Não há exceções dizendo que não é sua culpa se o robô fez isso!

A Itália até mesmo proibiu o ChatGPT devido a preocupações com a privacidade. Se essas preocupações são justificadas ou não, ainda está para ser visto, pois investigações estão em andamento.

Medidas de mitigação: As empresas precisam ficar atualizadas sobre os regulamentos aos quais precisam obedecer e ter um sistema abrangente de gerenciamento de segurança da informação em vigor (ISO 27001 pode ajudar nisso). Fale com seus funcionários sobre políticas de privacidade e proteção de dados e discuta as ameaças de usar o ChatGPT com eles.

Aqui estão algumas dicas para empresas que buscam se proteger das ameaças potenciais apresentadas pelo ChatGPT:

Compreender os riscos: Esteja ciente dos riscos potenciais associados ao uso de IA e ChatGPT e compartilhe essas informações com sua gerência e funcionários. Não se esqueça de considerar as circunstâncias especiais dos ambientes de trabalho híbridos.

Identificar dados sensíveis: Identifique os dados sensíveis que sua empresa manipula, como informações de clientes, segredos comerciais ou registros financeiros. Uma solução inteligente de prevenção de perda de dados pode ajudar na descoberta e classificação de dados.

Implementar medidas de segurança robustas: Implemente medidas apropriadas de prevenção de perda de dados, como criptografia e controles de acesso, para proteger dados sensíveis. Certifique-se de ter sistemas automatizados de detecção e relatórios em vigor.

Conduzir auditorias de segurança regulares: Uma prática recomendada em prevenção de perda de dados é realizar auditorias regulares de segurança para identificar e abordar quaisquer vulnerabilidades em seus sistemas de segurança de dados. Dessa forma, você pode corrigir quaisquer problemas antes que criminosos cibernéticos ou atores internos possam aproveitá-los.

Treinar os funcionários em segurança de dados: Eduque seus funcionários sobre as melhores práticas de segurança de dados, incluindo como lidar com dados sensíveis e reconhecer ameaças de segurança.

Estar ciente dos requisitos legais e regulatórios: Esteja ciente de quaisquer requisitos legais e regulatórios para segurança de dados, como GDPR, CCPA ou HIPAA, e garanta a conformidade.

Manter-se atualizado com as notícias de segurança de dados: Mantenha-se informado sobre os últimos desenvolvimentos e notícias relacionadas às capacidades de IA.

Procurar aconselhamento profissional: Como proprietário de uma empresa ou profissional de TI, você pode querer consultar um especialista em proteção de dados para garantir que sua empresa esteja adequadamente protegida.

Para saber como se proteger de forma eficaz, converse com a equipe da Neotel.

Esse artigo tem informações retiradas do blog da safetica. A Neotel é parceira da safetica e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS