Nuova ricerca dei Netskope Threat Labs: in una tipica azienda di grandi dimensioni, i dati sensibili vengono condivisi con applicazioni di intelligenza artificiale generativa ogni ora della giornata lavorativa
Netskope, leader Secure Access Service Edge (SASE), ha presentato una nuova ricerca che mostra come, per ogni 10.000 utenti aziendali, un’organizzazione aziendale incorre ogni mese in circa 183 incidenti che riguardano dati sensibili pubblicati sull’applicazione. Il codice sorgente è il più largamente condiviso tra i dati sensibili esposti.
I risultati fanno parte del Cloud & Threat Report: AI Apps in the Enterprise, la prima analisi completa realizzata dai Netskope Threat Labs sull’utilizzo dell’intelligenza artificiale (IA) in ambito aziendale e dei rischi di sicurezza che ne derivano. Sulla base di dati provenienti da milioni di utenti aziendali in tutto il mondo, Netskope ha scoperto che l’utilizzo di applicazioni di IA generativa sta crescendo rapidamente, con un aumento del 22,5% negli ultimi due mesi, il che accresce le probabilità che gli utenti espongano dati sensibili.
Utilizzo crescente di applicazioni di intelligenza artificiale
Netskope ha rilevato che le organizzazioni dai 10.000 utenti in su utilizzano in media 5 applicazioni di IA al giorno, con ChatGPT che vanta più di 8 volte gli utenti attivi giornalieri rispetto a qualsiasi altra applicazione di IA generativa. Al tasso di crescita attuale, si prevede che il numero di utenti che accedono alle applicazioni di IA raddoppierà nei prossimi sette mesi.
Nel corso degli ultimi due mesi, l’applicazione di IA che ha registrato la crescita più rapida è stata Google Bard, che sta attualmente aggiungendo utenti a un ritmo del 7,1% a settimana, rispetto all’1,6% di ChatGPT. Ai tassi attuali, Google Bard non arriverà al livello di ChatGPT almeno per un anno, anche se ci si aspetta che lo spazio delle applicazioni di IA generativa evolverà significativamente entro quel periodo, con molte altre applicazioni in fase di sviluppo.
Gli utenti inseriscono dati sensibili in ChatGPT
Netskope ha scoperto che il codice sorgente viene pubblicato su ChatGPT più di qualsiasi altro tipo di dato sensibile, con una frequenza di 158 incidenti ogni 10.000 utenti al mese. Altri dati sensibili condivisi su ChatGPT includono dati regolamentati, tra cui dati finanziari e sanitari, informazioni personali – insieme alla proprietà intellettuale con esclusione del codice sorgente, e, cosa più preoccupante, password e chiavi, di solito incorporate nel codice sorgente.
“È inevitabile che alcuni utenti caricheranno codice sorgente proprietario o testo contenente dati sensibili sugli strumenti di intelligenza artificiale che promettono di aiutare nella programmazione o nella scrittura”, ha dichiarato Ray Canzanese, Threat Research Director, Netskope Threat Labs. “Pertanto, è fondamentale che le organizzazioni applichino dei controlli sull’IA per prevenire perdite di dati sensibili. Gli obiettivi principali sono i controlli che consentono agli utenti di ottenere i benefici dell’IA, semplificando le operazioni e migliorando l’efficienza, riducendo al minimo i rischi. I controlli più efficaci che osserviamo sono una combinazione di DLP (Data Loss Prevention) e un coaching interattivo degli utenti”.
Bloccare o concedere l’accesso a ChatGPT
Netskope Threat Labs sta attualmente monitorando i proxy di ChatGPT e oltre 1.000 URL e domini malevoli utilizzati da attaccanti opportunisti che cercano di trarre vantaggio dall’entusiasmo per l’IA, tra cui diverse campagne di phishing, campagne di distribuzione di malware e siti web di spam e frodi.
Bloccare l’accesso ai contenuti e alle applicazioni correlate all’IA è una soluzione a breve termine per mitigare i rischi e comporta il sacrificio dei potenziali vantaggi offerti dalle applicazioni di IA in termini di innovazione aziendale e produttività dei dipendenti. I dati di Netskope mostrano che nel settore dei servizi finanziari e dell’assistenza sanitaria, entrambi settori altamente regolamentati, circa 1 su 5 organizzazioni hanno imposto un divieto completo sull’uso di ChatGPT da parte dei dipendenti, mentre nel settore tecnologico solo 1 su 20 organizzazioni ha fatto altrettanto.
“Come responsabili della sicurezza, non possiamo semplicemente decidere di vietare le applicazioni senza influire sull’esperienza e sulla produttività degli utenti”, ha detto James Robinson, Deputy Chief Information Security Officer presso Netskope. “Le organizzazioni dovrebbero puntare a far evolvere la consapevolezza della propria forza lavoro e le policy sui dati per andare incontro alle esigenze dei dipendenti che utilizzano prodotti di intelligenza artificiale in modo produttivo. È possibile consentire in modo sicuro l’uso di IA generativa adottando gli strumenti giusti e la giusta mentalità.”
Per consentire l’adozione sicura delle applicazioni di IA, le organizzazioni devono adottare un approccio che miri a identificare le applicazioni consentite e ad applicare controlli che permettano agli utenti di utilizzarle al meglio, proteggendo al contempo l’organizzazione dai rischi. Tale approccio dovrebbe includere filtro dei domini, delle URL e ispezione dei contenuti per proteggersi dagli attacchi. Altri passi per proteggere i dati e utilizzare gli strumenti di IA in modo sicuro includono:
- Bloccare l’accesso alle applicazioni che non servono a scopi legittimi per l’attività aziendale o che presentano un rischio sproporzionato per l’organizzazione.
- Utilizzare il coaching agli utenti per ricordare loro la policy aziendale riguardante l’uso delle applicazioni di intelligenza artificiale.
- Utilizzare tecnologie moderne di prevenzione della perdita di dati (DLP) per individuare testi contenenti informazioni potenzialmente sensibili.
