Dati & Artificial Intelligence (AI): rischi, sfide e soluzioni

Proteggere i dati sensibili nell'era dell’AI Gen è diventato una priorità per la maggior parte delle aziende. Ma vediamo come le aziende possono affrontare questa sfida. 

Introduzione

Gli esperti di cybersecurity, da quando OpenAI - a fine 2022 - ha reso ChatGPT accessibile al pubblico, hanno osservato che le informazioni condivise dagli utenti con la piattaforma vengono utilizzate come dati di addestramento per il modello di apprendimento automatico e linguaggio esteso (Machine Learning -ML/Large Language Model -LLM). Ne consegue che molte aziende stanno limitando l'uso di ChatGPT e di altre piattaforme di artificial intelligence generativa (AI Gen) gratuite ai propri dipendenti e consulenti, temendo di perdere il controllo e la proprietà delle informazioni dei propri clienti, oltre al rischio di una potenziale diffusione non autorizzata dei propri dati sensibili, dei codici sorgenti o dei segreti industriali.  

Errore umano: fughe dei dati sensibili tramite l’AI Gen 

Le aziende si trovano ad affrontare una vera e propria bomba ad orologeria: le fughe di dati sensibili attraverso strumenti di AI Gen. Ovvero, le aziende devono gestire sempre più situazioni che comportano serie compromissioni per la privacy dei dati e per la conformità normativa e che rischiano, altresì, di comprometterne la reputazione, la stabilità finanziaria e la legittimità legale. Pertanto, è quanto mai urgente agire rapidamente per mitigare tali rischi, pur continuando a sfruttare i vantaggi scaturiti dall'AI.   

Di seguito, un elenco dei principali rischi associati all'uso delle piattaforme di AI Gen. E, precisamente: 

Rischi per la privacy dei dati - Le piattaforme di AI Gen tendono a utilizzare le query degli utenti per addestrare i propri modelli, a meno che non siano in essere contratti aziendali che lo vietino esplicitamente. Le informazioni sensibili, dopo essere state caricate in questi sistemi, si integrano nel set di dati di addestramento del modello, facendo sì che l'organizzazione perda il controllo su di esse. Ciò comporta un rischio considerevole di esposizione di dati privati riguardanti clienti, dipendenti e know-how aziendale. 

Vulnerabilità della sicurezza dei dati - I prompt relativi alla sicurezza, così come i risultati dei penetration test o le configurazioni di rete, sono particolarmente pericolosi se divulgati tramite strumenti di AI Gen, dato che i criminali informatici potrebbero sfruttare queste informazioni per identificare vulnerabilità e lanciare attacchi mirati contro l'organizzazione. 

Problemi di conformità normativa - La condivisione di dati sensibili con gli LLM può comportare la violazione di diverse leggi e normative sulla protezione dei dati, tra le quali: 

• Regolamento generale sulla protezione dei dati (GDPR) e altre simili regolamentazioni in USA, Sud America e altrove - Caricare i dati personali, documenti o file dei cittadini dell'UE o di individui a diverse latitudini, senza adeguate garanzie, potrebbe comportare sanzioni sostanziali ai sensi del GDPR o altre normative di privacy e gestione dei dati in vigore. 
• Healthcare Insurance Portability and Accountability Act (HIPAA)- La condivisione delle informazioni sanitarie dei pazienti con un LLM potrebbe violare le norme sulla privacy dell’HIPAA negli USA. 

• California Consumer Privacy Act (CCPA) - La divulgazione non autorizzata dei dati personali dei residenti in California costituisce una violazione del CCPA e può comportare azioni legali o sanzioni. 

Inoltre, è doveroso ricordare che i segreti commerciali/industriali perdono la loro tutela legale se vengono divulgati tramite sistemi di AI Gen, compromettendo potenzialmente i diritti di proprietà intellettuale. 

Danni alla reputazione -- Una violazione dei dati derivante da un uso improprio di strumenti di AI Gen potrebbe erodere la fiducia dei clienti e danneggiare il valore del brand aziendale, considerando che - oggigiorno - incidenti di questo tipo possono provocare sia reazioni negative da parte dell'opinione pubblica sia danni reputazionali a lungo termine. 

Rischi di immissione di dati errati – È importante sottolineare che i rischi non riguardano solo la fuoriuscita di dati sensibili dall'organizzazione, ma anche le informazioni errate o imprecise generate dai modelli di linguaggio che possono “infiltrarsi” nei flussi di lavoro aziendali. Ne consegue che, se le aziende si basassero su dati inaccurati forniti da strumenti di AI Gen, per prendere decisioni, potrebbero incorrere in errori costosi o in violazioni delle normative.  

Come le aziende possono prevenire i rischi scaturiti dall’utilizzo dell’AI Gen

Le aziende, per mitigare i rischi sopra descritti, devono adottare un approccio strutturato che integri formazione, tecnologia e applicazione delle policy. Ovvero, si tratta di: 

Condurre programmi di formazione e sensibilizzazione - È fondamentale informare i dipendenti - e, all’occorrenza i consulenti - sui rischi associati alla condivisione di dati sensibili. Pertanto, è necessario garantire: 

• Formazione dei dipendenti e dei consulenti sul funzionamento dell'IA Gen e sui motivi per cui caricare informazioni sensibili è rischioso. 
• Insegnamento delle strategie di formulazione delle query che consentano ai dipendenti di ottenere risultati utili senza rivelare informazioni riservate. 

• Promozione di una cultura di responsabilità secondo cui dipendenti e consulenti sono consapevoli del proprio ruolo nella salvaguardia dei dati aziendali. 

Monitorare l'accesso e l'utilizzo dei file – Si tratta di implementare sistemi per il monitoraggio dell’accesso ai file sensibili e come questi file siano utilizzati. Pertanto, è necessario implementare: 

• Meccanismi di controllo degli accessi per limitare l'utilizzo dei file in base ai ruoli. 
• Strumenti di monitoraggio che segnalino attività insolite che coinvolgono file o sistemi sensibili. 

Investire in soluzioni tecnologiche – Esistono sul mercato diverse soluzioni tecnologiche progettate per prevenire caricamenti non autorizzati. Ovvero: 

• Software di prevenzione della perdita di dati Data Loss Prevention (DLP) in grado di bloccare i tentativi di caricare file sensibili su piattaforme esterne. 
• Strumenti di AI Gen, sicuri a livello aziendale, in grado di soddisfare i requisiti normativi in materia di privacy e di conformità. 

• Funzionalità di Digital Right Management (DRM) in grado di consentire la condivisione di dati sensibili e, al contempo, impedire che tali dati vengano scaricati o inoltrati. 

Strumentazioni approvate dall'impresa – Si tratta di fornire ai dipendenti – e all’occorrenza ai consulenti - alternative sicure alle piattaforme di AI Gen gratuite e: 

• Assicurarsi che gli strumenti approvati dall'azienda siano facili da usare e accessibili. 
• Rivedere e aggiornare regolarmente gli strumenti aziendali per soddisfare le mutevoli esigenze e i progressi tecnologici. 

CyberGrant a fianco delle aziende

Cyber Grant è una società con sede a Menlo Park, California (USA) in grado di potenziare le aziende con soluzioni sicure e innovative per garantire l’integrità dei dati e prevenirne l’esfiltrazione. 

Uno dei modi più efficaci per affrontare le sfide poste dall’AI Gen è utilizzare Filegrant Enterprise di CyberGrant, ovvero, una soluzione progettata specificamente per le aziende preoccupate dalla “fuga” di dati sensibili.  

Filegrant Enterprise, grazie alle proprie funzionalità, è in grado di offrire: 

• Blocco del data scraping dell’AI, per proteggere da sistemi di AI Gen come CoPilot o ChatGPT, oltre a salvaguardare i diritti d’autore e la proprietà intellettuale da apprendimento non autorizzato. 
• Crittografia standard AES-256 e chiavi di cifratura generate e scambiate tramite l’algoritmo CRYSTALS-Kyber (standard post-quantum) per garantire la massima sicurezza nei documenti cifrati. 

• Crittografia in modalità offline per assicurare che i file rimangano protetti anche in modalità offline, grazie alla crittografia «a riposo». 

• Crittografia integrata nel PDF per consentire un'anteprima sicura con qualsiasi lettore PDF. 

• Sicurezza via API, ovvero, i file possono essere rapidamente crittografati e protetti con una semplice chiamata API. 

• Massimo controllo delle operazioni per fornire - in tempo reale e in maniera dettagliata - le informazioni su tutte le attività effettuate dai singoli utenti – secondo le procedure di accesso basate sui ruoli (Role-based access control - RBAC) - sui file presenti nella piattaforma in termini di accessi, di modifiche, di download, verificando il comportamento degli utenti. 

• Semplificazione del percorso alla conformità, fornendo alle organizzazioni gli strumenti necessari per soddisfare e per superare le rigorose esigenze delle leggi sulla protezione dei dati e sulla privacy. 

Conclusione 

L'ascesa dell’AI Gen presenta sia opportunità sia sfide per le aziende di tutto il mondo. Sebbene questi strumenti offrano da un lato vantaggi in termini di efficienza senza precedenti, dall’altro lato, introducono rischi significativi legati alla diffusione di dati sensibili. Un problema destinato ad aumentare con il proliferare dell'utilizzo degli LLM. 

Per questo motivo, le aziende devono agire tempestivamente, implementando programmi di formazione solidi, sistemi di monitoraggio e soluzioni avanzate come Filegrant Enterprise di CyberGrant, considerando, altresì, il contesto normativo in continua evoluzione e che si focalizza sempre più sulla sicurezza dei dati e sulla cybersecurity.  

In conclusione, adottare soluzioni come Filegrant Enterprise è fondamentale, poiché non è solo una scelta strategica, ma una leva essenziale per garantire la resilienza e la fiducia delle aziende che operano nell'economia digitale. 

Per saperne di più su Filegrant Enterprise e sulla protezione dei dati sensibili contatta CyberGrant.