CLM lista práticas que expõem dados confidenciais no ChatGPT
CLM e Skyhigh relacionam medidas
para salvaguardar a exposição de informações críticas nos aplicativos de
Inteligência Artificial generativa
Ao
usar o ChatGPT usuários
podem inadvertidamente passar dados confidenciais constituindo uma séria ameaça
à segurança física e cibernética das empresas.
A CLM, distribuidor latino-americano de valor
agregado com foco em segurança da informação, proteção de dados, cloud e
infraestrutura para data centers, lista
os principais pontos de
atenção ao se usar essas ferramentas. E, juntamente com a
Skyhigh, líder global em cibersegurança, descreve as melhores práticas e tecnologias,
como CASB[i]
e DLP[ii],
para que não haja a exposição de informações críticas.
Como
se sabe, apps de Inteligência Artificial Generativa, como o ChatGPT, de fato,
melhoram a produtividade dos negócios, facilitam inúmeras tarefas, aprimoram
serviços e simplificam operações. Seus recursos geram conteúdo, traduzem
textos, processam grandes quantidades de dados, criam planos financeiros
rapidamente, depuram e escrevem códigos de programas etc.
No entanto, Bruno Okubo, Gerente de Produtos Skyhigh na CLM, indaga: será que
aproveitar as inúmeras facilidades desses aplicativos compensa os riscos
significativos de exposição de dados confidenciais, sejam de empresas ou de
pessoas? “Mesmo com as inovações e progressos que a OpenIA incorporou ao
ChatGPT, com o novo algoritmo GPT-4, a nova versão sofre com os mesmos
problemas que atormentaram os usuários da versão anterior, especialmente quanto
à segurança das informações”, adverte Okubo.
Para não aumentar ainda mais o risco de violação de dados corporativos e
consequentemente a não conformidade à LGPD, por exemplo, a CLM lista alguns exemplos de como dados
confidenciais podem ser expostos no ChatGPT e em outros
aplicativos de IA baseados em nuvem:
• O texto com PII (personally identifiable information ou informações de
identificação pessoal) pode ser copiado e colado no ChatGPT para gerar ideias
de e-mail, respostas a consultas de clientes, cartas personalizadas,
verificação de análise de sentimento
• Informações de saúde digitadas no chatbot para elaborar planos de tratamento
individualizados, incluindo imagens médicas, como tomografia computadorizada e
ressonância magnética, podem ser processadas e aprimoradas graças à IA
• O código-fonte proprietário pode ser carregado por desenvolvedores de
software para depuração, conclusão de código, legibilidade e melhorias de
desempenho
• Arquivos contendo segredos da empresa, como rascunhos de relatórios de
ganhos, documentos de fusões e aquisições (M&A), anúncios de pré-lançamentos
e outros dados confidenciais podem ser carregados para verificação de gramática
e escrita
•
Informações financeiras como transações corporativas, receitas
operacionais não divulgadas, números de cartão de crédito, classificações de
crédito de clientes, extratos e históricos de pagamento podem ser incluídos no
ChatGPT para fazer o planejamento financeiro, processamento de documentos,
integração de clientes, síntese de dados, conformidade, detecção de fraude etc.
Fato é que, depois de inserir essas informações, o risco de violação de dados é
significativo. “As empresas precisam adotar medidas de prevenção com muita
seriedade para proteger seus dados confidenciais, especialmente se
considerarmos as modernas ferramentas habilitadas para nuvem”, explica o
especialista.
A CLM e a Skyhigh elaboraram uma relação
de providências para evitar vazamentos.
• Monitorar o uso e os excessos
na utilização de aplicativos e limitar a exposição de informações confidenciais
por meio deles, além de proteger esses documentos de perdas acidentais,
vazamentos e roubo
•
É essencial garantir a visibilidade
de tudo que acontece na rede corporativa, com a adoção de ferramentas
automatizadas que monitoram continuamente quais aplicativos (como ChatGPT) os
usuários corporativos tentam acessar, como, quando, de onde, com que frequência
etc.
“A única maneira de uma organização ter a mais
ampla visibilidade de sua rede e introduzir medidas para controlar o uso e o
acesso a esses milhares de novos aplicativos é adotar tecnologias de segurança
que protejam automaticamente dados confidenciais, como o CASB - Cloud Access
Security Broker,” assinala Okubo.
• É essencial entender
os diferentes níveis de risco que cada aplicativo representa
para a organização e ter capacidade de definir
granularmente as políticas de controle de acesso em tempo real
com base em categorizações e condições de segurança que podem mudar ao longo do
tempo
•
Embora os aplicativos mais explicitamente maliciosos devam ser bloqueados,
quando se trata de controle de acesso, muitas vezes a responsabilidade do uso de aplicativos como o
ChatGPT deve ser atribuída aos usuários. A empresa, então,
tolera e não necessariamente interrompe atividades que possam fazer sentido
para um subconjunto de grupos de negócio grupos ou para a maioria deles
• Adotar políticas de controle
de acesso que incluam fluxos de trabalho de treinamento em
tempo real, acionados toda vez que os usuários abrem o ChatGPT, como pop-ups de
aviso personalizáveis que oferecem orientação sobre o uso responsável do
aplicativo, o risco potencial associado e uma solicitação de reconhecimento ou
justificativa
• Gerenciar a movimentação não
intencional ou não aprovada de dados confidenciais entre
instâncias de aplicativos em nuvem e no contexto de risco, tanto do aplicativo
como do usuário
• Embora o acesso ao ChatGPT possa ser concedido, é fundamental limitar o upload e a postagem de dados
altamente confidenciais por meio do ChatGPT e outros vetores de
exposição de dados potencialmente arriscados na nuvem
A Skyhigh explica que a limitação de uploads e de postagens de
dados confidenciais por meio do ChatGPT só podem ser feitas por meio de
técnicas modernas de prevenção de perda de dados (DLP - data loss
prevention). alimentadas por modelos de ML e AI, e que sejam capazes de
identificar automaticamente fluxos de dados confidenciais e categorizar
postagens com o mais alto nível de precisão
•
Conscientizar os
colaboradores sobre aplicativos e atividades consideradas arriscadas.
Isso pode ser feito principalmente por meio de alertas em tempo real e fluxos
de trabalho de treinamento automatizados, envolvendo o usuário nas decisões de
acesso após o reconhecimento do risco.
“Seres humanos cometem erros. Assim, os
usuários podem colocar dados confidenciais em risco, muitas vezes, sem
perceber. A precisão das ferramentas
DLP, fornecidas na nuvem, garantem
que o sistema apenas monitore e impeça uploads de dados confidenciais
(incluindo arquivos e textos copiados e colados que ficam na área de
transferência) em aplicativos como o ChatGPT, sem interromper consultas
inofensivas e tarefas seguras”, alerta Okubo.
Vale mencionar que a interrupção seletiva de uploads e postagens de informações
confidenciais no ChatGPT, com a inclusão de mensagens visuais de treinamento
automatizadas e em tempo real são maneiras de orientar os colaboradores sobre
violações, informar sobre políticas de segurança corporativa e, em última
instância, mitigar comportamentos de risco.
Sobre a CLM
CLM
é um distribuidor latino-americano, de valor agregado, com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud.
Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e
Peru.
A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela
Nutanix, qualidade e agilidade nos serviços prestados aos
canais; o prêmio Lenovo/Intel
Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo
compromisso da CLM com a excelência e busca incansável das melhores soluções e
serviços aos canais e Destaque
no atendimento aos Canais,
pelo Anuário de Informática da Revista Informática Hoje.
Com
extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM
está constantemente em busca de soluções inovadoras e disruptivas para fornecer
cada vez mais valor para seus canais e seus clientes.
www.CLM.tech
Sobre a Skyhigh Security
O foco da Skyhigh Security é ajudar seus clientes, em todo o mundo, a proteger os dados. A empresa protege organizações com soluções de segurança nativas da nuvem que reconhecem os dados e são simples de usar. Seu Portfólio de Serviços de Segurança (SSE), líder de mercado, vai além do acesso a dados e se concentra em seu uso, permitindo que as organizações colaborem de qualquer dispositivo e de qualquer lugar sem sacrificar a segurança. Para obter mais informações, visite www.skyhighsecurity.com.
Nenhum comentário