La rapida adozione della GenAI crea sfide per la sicurezza informatica

I team di sicurezza informatica stanno rimanendo indietro rispetto alla velocità nell'adozione di strumenti di intelligenza artificiale generativa (GenAI), il che rende probabile che il numero di incidenti di violazione dei dati aumenti notevolmente nelle settimane e nei mesi a venire, soprattutto con l'aumento dell'uso dei servizi di IA ombra.

Un sondaggio di ManageEngine rileva che il 70% dei responsabili delle decisioni IT (ITDM) ha individuato un uso non autorizzato di IA all'interno delle organizzazioni e che il 60% dei dipendenti utilizza strumenti di IA non approvati più di quanto facesse un anno fa. Il 91% ha implementato delle politiche specifiche al riguardo, ma solo il 54% ha implementato politiche di governance dell'IA chiare e applicate, oltre a monitorare attivamente l'uso non autorizzato di strumenti di IA generativa.

L'85% riferisce inoltre che i dipendenti stanno adottando strumenti di IA più rapidamente di quanto i loro team IT possano valutarli, con il 32% dei dipendenti che ha inserito dati riservati dei clienti negli strumenti di IA senza attendere l'approvazione dell'azienda. Oltre due terzi (37%) hanno inserito dati privati e interni all'azienda. Più della metà (53%) ha affermato che l'utilizzo di dispositivi personali per attività lavorative legate all'IA sta creando un punto cieco nella sicurezza della propria organizzazione.

Un report separato di Harmonic Security ha rilevato che l'8,5% delle richieste dei dipendenti agli strumenti generativi include dati aziendali sensibili. Quasi la metà dei dati inseriti (48%) erano dati dei clienti, rispetto al 27% che erano invece dati sensibili dei dipendenti.

L'elenco dei potenziali problemi di sicurezza informatica, oltre alla fuga di dati che dovrebbe essere affrontata, include attacchi di prompt injection che generano output dannosi o estraggono dati riservati; avvelenamento deliberato dei dati utilizzato per addestrare i modelli di IA; attacchi informatici mirati specificamente all'infrastruttura di IA e alla supply chain del software utilizzata per creare modelli di IA; infine, il furto dei modelli di IA stessi.

A questo punto, è impensabile vietare l'uso di strumenti di IA generativa e quindi, piuttosto che attendere l'inevitabile violazione, numerosi team che si occupano di sicurezza informatica stanno agendo in modo proattivo per rilevare, controllare e monitorare l'uso dell'IA generativa. Grazie a questi approfondimenti, diventa quindi possibile definire una serie di politiche di governance relative a una serie di strumenti e flussi di lavoro di IA generativa approvati che i team di sicurezza informatica hanno esaminato.

Potrebbe non essere possibile prevenire tutti gli incidenti che si verificheranno con la diffusione degli strumenti e delle piattaforme di IA generativa ma si spera che, grazie a corsi di formazione, il numero di violazioni gravi possa essere notevolmente ridotto.

Naturalmente, non è la prima volta che i professionisti della sicurezza informatica si ritrovano a inseguire una tecnologia emergente dopo che la proverbiale porta della stalla è stata chiusa. Per molti versi, l'adozione di strumenti e piattaforme di IA generativa rappresenta semplicemente l'ultimo esempio di servizi di cloud computing ombra. L'unica differenza è la quantità di dati sensibili condivisi, il che suggerisce che troppi dipendenti non hanno ancora imparato alcuna lezione dai precedenti incidenti di sicurezza del cloud che hanno coinvolto, ad esempio, varie applicazioni Software-as-a-Service (SaaS).

I team che si occupano di sicurezza informatica dovranno ancora una volta tollerare gli incidenti di sicurezza con l'IA generativa, ma è anche possibile che vi siano momenti formativi. Dopotutto, come osservò una volta Winston Churchill, una buona crisi non dovrebbe mai essere sprecata.