A Netskope divulgou uma nova pesquisa que mostra que, para cada 10.000 usuários corporativos, uma organização está enfrentando aproximadamente 183 incidentes de dados confidenciais postados no aplicativo ChatGPT por mês. O código-fonte é responsável pela maior parte dos dados confidenciais expostos.
As descobertas fazem parte do mais recente Cloud & Threat Report: AI Apps in the Enterprise, a primeira análise abrangente do Netskope Threat Labs sobre o uso de IA na empresa e os riscos de segurança em jogo. Com base em dados de milhões de usuários corporativos em todo o mundo, a Netskope identificou que o uso de aplicativos de IA generativa está crescendo rapidamente, com um aumento de 22,5% nos últimos dois meses, ampliando as chances de os usuários exporem dados confidenciais.
Crescimento do uso de aplicativos de IA
A Netskope descobriu que as organizações com 10.000 usuários ou mais usam uma média de 5 aplicativos de IA diariamente, sendo que o ChatGPT tem mais de 8 vezes mais usuários ativos diários do que qualquer outro aplicativo de IA generativa. Com a atual taxa de crescimento, espera-se que o número de usuários que acessam aplicativos de IA dobre nos próximos sete meses.
Nos últimos dois meses, o aplicativo de IA que cresceu mais rapidamente foi o Google Bard, atualmente adicionando usuários a uma taxa de 7,1% por semana, em comparação com 1,6% do ChatGPT. Com as taxas atuais, o Google Bard não está preparado para alcançar o ChatGPT por mais de um ano, embora se espere que o espaço de aplicativos de IA generativa evolua significativamente antes disso, com muitos outros aplicativos em desenvolvimento.
Usuários que inserem dados confidenciais no ChatGPT
Os pesquisadores da Netskope identificaram que o código-fonte é postado no ChatGPT mais do que qualquer outro tipo de dados confidenciais, a uma taxa de 158 incidentes por 10.000 usuários por mês. Outros dados confidenciais compartilhados no ChatGPT incluem dados regulamentados – como financeiros e de saúde, informações de identificação pessoal – juntamente com propriedade intelectual, excluindo o código-fonte e, o que é mais preocupante, senhas e chaves, geralmente incorporadas ao código-fonte.
"É inevitável que alguns usuários façam upload de código-fonte proprietário ou texto contendo dados confidenciais para ferramentas de IA que prometem ajudar na programação ou na escrita", disse Ray Canzanese, Diretor de Pesquisa de Ameaças do Netskope Threat Labs. "Portanto, é imperativo que as organizações coloquem controles em torno da IA para evitar vazamentos de dados confidenciais. Os controles que capacitam os usuários a colher os benefícios da IA simplificando as operações e melhorando a eficiência, ao mesmo tempo em que mitigam os riscos, são o objetivo final. Os controles mais eficazes que vemos são uma combinação de DLP e treinamento interativo do usuário."
Bloqueio ou concessão de acesso ao ChatGPT
Atualmente, o Netskope Threat Labs está rastreando proxies ChatGPT e mais de 1.000 URLs e domínios mal-intencionados de atacantes oportunistas que buscam capitalizar o hype da IA incluindo várias campanhas de phishing, de distribuição de malware e sites de spam e fraude.
Vale destacar que bloquear o acesso ao conteúdo relacionado à IA e aos aplicativos de IA é uma solução de curto prazo para mitigar os riscos, mas que prejudica os possíveis benefícios que os aplicativos de IA oferecem para complementar a inovação corporativa e a produtividade dos funcionários. Os dados da Netskope mostram que nos setores de serviços financeiros e de saúde – ambos altamente regulamentados – quase 1 em cada 5 organizações implementou uma proibição geral do uso do ChatGPT pelos funcionários, enquanto no setor de tecnologia, apenas 1 em cada 20 organizações fez o mesmo.
"Como especialistas de segurança, não podemos simplesmente decidir banir os aplicativos sem afetar a experiência e a produtividade do usuário", disse James Robinson, vice-diretor de segurança da informação da Netskope. "As organizações devem se concentrar na evolução da conscientização da força de trabalho e das políticas de dados para atender às necessidades dos funcionários que usam produtos de IA de forma produtiva. Há um bom caminho para a habilitação segura da IA generativa com as ferramentas e a mentalidade certas."
Para que as organizações possibilitem a adoção segura de aplicativos de IA, elas devem centralizar sua abordagem na identificação de aplicativos permitidos e na implementação de controles que capacitem os usuários a usá-los em seu potencial máximo, e ao mesmo tempo proteger a organização contra riscos. Essa abordagem deve incluir filtragem de domínio, filtragem de URL e inspeção de conteúdo para proteger contra ataques. Outras etapas para proteger os dados e usar com segurança as ferramentas de IA incluem:
- Bloquear o acesso a aplicativos que não atendam a nenhuma finalidade comercial legítima ou que representem um risco desproporcional para a organização.
- Empregar treinamento de usuários para lembrá-los da política da empresa em relação ao uso de aplicativos de IA.
- Usar tecnologias modernas de prevenção contra perda de dados (DLP) para detectar postagens que contenham informações potencialmente confidenciais.
