CLM e Skyhigh relacionam medidas para salvaguardar a exposição de informações críticas nos aplicativos de Inteligência Artificial generativa
Ao usar o ChatGPT usuários podem inadvertidamente passar dados confidenciais constituindo uma séria ameaça à segurança física e cibernética das empresas.
A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, lista os principais pontos de atenção ao se usar essas ferramentas. E, juntamente com a Skyhigh, líder global em cibersegurança, descreve as melhores práticas e tecnologias, como CASB[i] e DLP[ii], para que não haja a exposição de informações críticas.
Como se sabe, apps de Inteligência Artificial Generativa, como o ChatGPT, de fato, melhoram a produtividade dos negócios, facilitam inúmeras tarefas, aprimoram serviços e simplificam operações. Seus recursos geram conteúdo, traduzem textos, processam grandes quantidades de dados, criam planos financeiros rapidamente, depuram e escrevem códigos de programas etc.
No entanto, Bruno Okubo, Gerente de Produtos Skyhigh na CLM, indaga: será que aproveitar as inúmeras facilidades desses aplicativos compensa os riscos significativos de exposição de dados confidenciais, sejam de empresas ou de pessoas? “Mesmo com as inovações e progressos que a OpenIA incorporou ao ChatGPT, com o novo algoritmo GPT-4, a nova versão sofre com os mesmos problemas que atormentaram os usuários da versão anterior, especialmente quanto à segurança das informações”, adverte Okubo.
Para não aumentar ainda mais o risco de violação de dados corporativos e consequentemente a não conformidade à LGPD, por exemplo, a CLM lista alguns exemplos de como dados confidenciais podem ser expostos no ChatGPT e em outros aplicativos de IA baseados em nuvem:
• O texto com PII (personally identifiable information ou informações de identificação pessoal) pode ser copiado e colado no ChatGPT para gerar ideias de e-mail, respostas a consultas de clientes, cartas personalizadas, verificação de análise de sentimento
• Informações de saúde digitadas no chatbot para elaborar planos de tratamento individualizados, incluindo imagens médicas, como tomografia computadorizada e ressonância magnética, podem ser processadas e aprimoradas graças à IA
• O código-fonte proprietário pode ser carregado por desenvolvedores de software para depuração, conclusão de código, legibilidade e melhorias de desempenho
• Arquivos contendo segredos da empresa, como rascunhos de relatórios de ganhos, documentos de fusões e aquisições (M&A), anúncios de pré-lançamentos e outros dados confidenciais podem ser carregados para verificação de gramática e escrita
Informações financeiras como transações corporativas, receitas operacionais não divulgadas, números de cartão de crédito, classificações de crédito de clientes, extratos e históricos de pagamento podem ser incluídos no ChatGPT para fazer o planejamento financeiro, processamento de documentos, integração de clientes, síntese de dados, conformidade, detecção de fraude etc.
Fato é que, depois de inserir essas informações, o risco de violação de dados é significativo. “As empresas precisam adotar medidas de prevenção com muita seriedade para proteger seus dados confidenciais, especialmente se considerarmos as modernas ferramentas habilitadas para nuvem”, explica o especialista.
A CLM e a Skyhigh elaboraram uma relação de providências para evitar vazamentos.
• Monitorar o uso e os excessos na utilização de aplicativos e limitar a exposição de informações confidenciais por meio deles, além de proteger esses documentos de perdas acidentais, vazamentos e roubo
• É essencial garantir a visibilidade de tudo que acontece na rede corporativa, com a adoção de ferramentas automatizadas que monitoram continuamente quais aplicativos (como ChatGPT) os usuários corporativos tentam acessar, como, quando, de onde, com que frequência etc.
“A única maneira de uma organização ter a mais ampla visibilidade de sua rede e introduzir medidas para controlar o uso e o acesso a esses milhares de novos aplicativos é adotar tecnologias de segurança que protejam automaticamente dados confidenciais, como o CASB – Cloud Access Security Broker,” assinala Okubo.
• É essencial entender os diferentes níveis de risco que cada aplicativo representa para a organização e ter capacidade de definir granularmente as políticas de controle de acesso em tempo real com base em categorizações e condições de segurança que podem mudar ao longo do tempo
• Embora os aplicativos mais explicitamente maliciosos devam ser bloqueados, quando se trata de controle de acesso, muitas vezes a responsabilidade do uso de aplicativos como o ChatGPT deve ser atribuída aos usuários. A empresa, então, tolera e não necessariamente interrompe atividades que possam fazer sentido para um subconjunto de grupos de negócio grupos ou para a maioria deles
• Adotar políticas de controle de acesso que incluam fluxos de trabalho de treinamento em tempo real, acionados toda vez que os usuários abrem o ChatGPT, como pop-ups de aviso personalizáveis que oferecem orientação sobre o uso responsável do aplicativo, o risco potencial associado e uma solicitação de reconhecimento ou justificativa
• Gerenciar a movimentação não intencional ou não aprovada de dados confidenciais entre instâncias de aplicativos em nuvem e no contexto de risco, tanto do aplicativo como do usuário
• Embora o acesso ao ChatGPT possa ser concedido, é fundamental limitar o upload e a postagem de dados altamente confidenciais por meio do ChatGPT e outros vetores de exposição de dados potencialmente arriscados na nuvem
A Skyhigh explica que a limitação de uploads e de postagens de dados confidenciais por meio do ChatGPT só podem ser feitas por meio de técnicas modernas de prevenção de perda de dados (DLP – data loss prevention). alimentadas por modelos de ML e AI, e que sejam capazes de identificar automaticamente fluxos de dados confidenciais e categorizar postagens com o mais alto nível de precisão
Conscientizar os colaboradores sobre aplicativos e atividades consideradas arriscadas. Isso pode ser feito principalmente por meio de alertas em tempo real e fluxos de trabalho de treinamento automatizados, envolvendo o usuário nas decisões de acesso após o reconhecimento do risco.
“Seres humanos cometem erros. Assim, os usuários podem colocar dados confidenciais em risco, muitas vezes, sem perceber. A precisão das ferramentas DLP, fornecidas na nuvem, garantem que o sistema apenas monitore e impeça uploads de dados confidenciais (incluindo arquivos e textos copiados e colados que ficam na área de transferência) em aplicativos como o ChatGPT, sem interromper consultas inofensivas e tarefas seguras”, alerta Okubo.
Vale mencionar que a interrupção seletiva de uploads e postagens de informações confidenciais no ChatGPT, com a inclusão de mensagens visuais de treinamento automatizadas e em tempo real são maneiras de orientar os colaboradores sobre violações, informar sobre políticas de segurança corporativa e, em última instância, mitigar comportamentos de risco.
Sobre a CLM
CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud.
Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e Peru.
A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje.
Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes. www.CLM.tech
Sobre a Skyhigh Security O foco da Skyhigh Security é ajudar seus clientes, em todo o mundo, a proteger os dados. A empresa protege organizações com soluções de segurança nativas da nuvem que reconhecem os dados e são simples de usar. Seu Portfólio de Serviços de Segurança (SSE), líder de mercado, vai além do acesso a dados e se concentra em seu uso, permitindo que as organizações colaborem de qualquer dispositivo e de qualquer lugar sem sacrificar a segurança.
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.