A cura di Massimiliano Galvagna, Country Manager di Vectra AI per l’Italia
Il rapido avanzamento della Generative AI (GenAI) presenta sia opportunità che sfide uniche in tema di sicurezza e privacy dei dati. L’argomento è di grande attualità, considerato che ci troviamo in un momento in cui aziende e sviluppatori passano dalla sperimentazione degli strumenti di GenAI alla loro commercializzazione e implementazione in applicazioni per i clienti. C’è da dire che, l’ampia diffusione di modelli di GenAI evoluti fa sì che gli attaccanti non siano ancora pronti con le tecniche innovative per sfruttare i modelli direttamente in attacchi su ampia scala.
Tuttavia, recenti violazioni dei dati, tra cui quelle che hanno coinvolto OpenAI, Microsoft Recall o il caso dell’esposizione di dati su ChatGPT da parte di Samsung, evidenziano una crescente tendenza alla diffusione di dati sensibili degli utenti da parte delle piattaforme di GenAI. Man mano che le organizzazioni continuano a utilizzare questi strumenti per lavorare, ottimizzare processi e migliorare l’efficienza, cresce la preoccupazione per la sicurezza e la privacy dei dati. Proteggere i dati sensibili parte dalla comprensione di ciò che rende i prodotti di GenAI vulnerabili agli attacchi e se gli strumenti tradizionali siano sufficienti per mantenere i dati al sicuro.
Quando si valutano le vulnerabilità dei prodotti GenAI, non si può solo confrontare la loro fragilità rispetto ai software tradizionali, ma occorre tenere conto anche della loro unicità. Il software tradizionale funziona secondo algoritmi ed è molto più interpretabile rispetto ai modelli utilizzati nella GenAI. Ciò rende la comprensione, il debug, il test e la correzione del codice molto più semplici rispetto alla enorme complessità della GenAI.
Inoltre, decenni di ricerca sulla teoria e sull’applicazione della sicurezza del software hanno fornito mezzi efficaci per la protezione del codice, mentre i modelli AI per gli utenti finali sono relativamente nuovi e, fino a poco tempo fa, gli esperti di AI non erano preoccupati delle implicazioni in termini di sicurezza dei modelli di machine learning. Tutti questi fattori evidenziano la crescente necessità di comprendere se gli strumenti tradizionali possano offrire una protezione adeguata.
Perché i prodotti legacy non sono sufficienti a proteggere gli strumenti di GenAI
I software antivirus tradizionali non sono sufficienti a proteggere adeguatamente gli strumenti di GenAI e i dati che li alimentano. Anche se, in alcuni casi limitati, la GenAI potrebbe essere usata per creare software dannoso, antivirus e sistemi di Endpoint Detection and Response (EDR) sarebbero in grado di intercettare e bloccare gli attacchi, per cui non è questo l’aspetto più critico. Per proteggere gli strumenti di GenAI sono infatti necessarie soluzioni più avanzate, come strumenti di Data Loss Prevention (DLP) per controllare a quali dati i modelli di GenAI possono accedere, e sistemi di rilevamento e risposta per impedire attacchi o l’uso malevolo e il targeting di questi modelli.
Le organizzazioni dovranno trovare soluzioni per regolamentare l’uso della GenAI all’interno delle proprie strutture. Molte aziende, infatti, hanno una visibilità limitata sull’uso autorizzato e non di questi strumenti, il che genera preoccupazione riguardo ai possibili rischi. Secondo un sondaggio di McKinsey, solo il 21% delle aziende che impiegano l’AI ha adottato policy specifiche per disciplinare l’uso della GenAI da parte dei dipendenti.
Di conseguenza, i prodotti DLP e di Extended Detection and Response (XDR) devono essere sviluppati per proteggere i dati e rilevare e rispondere a problemi di sicurezza derivanti dall’uso della GenAI. Inoltre, man mano che le aziende adottano questo tipo di strumenti, dovranno proteggere proattivamente gli ambienti e i dati utilizzati, come già avviene con il passaggio al cloud. Per quanto riguarda gli utenti finali, il controllo della sicurezza della GenAI rimarrà una sfida, soprattutto mentre le applicazioni di terze parti e quelle upstream integrano sempre più i propri strumenti di GenAI.
Preoccupazioni sulla privacy dei dati legati alla GenAI
I timori riguardo ai dati che vengono conservati dai provider e su come questi vengano gestiti, protetti e anonimizzati sono abbastanza prevedibili. Sistemi poco sicuri possono portare a perdita di dati, considerata la vasta gamma di applicazioni della GenAI, che spaziano dalle richieste sanitarie alla proprietà intellettuale aziendale. Inoltre, poiché i modelli di GenAI richiedono enormi quantità di informazioni per scopi di apprendimento e messa a punto, sussistono legittimi timori riguardo alla possibilità che i dati dei clienti finiscano in eventuali versioni future del modello stesso.
Con l’ascesa degli strumenti di GenAI, le organizzazioni devono dare la priorità alla sicurezza e alla privacy dei dati come mai prima d’ora. La continua evoluzione delle minacce richiede ulteriori misure di protezione e capacità di rilevamento sviluppate specificamente per affrontare le sfide specifiche presentate dalla GenAI. Le aziende dovranno concentrarsi sullo sviluppo di strumenti di sicurezza robusti ed efficaci per proteggere i dati sensibili e affrontare le minacce emergenti.
In questa direzione, Vectra AI ha potenziato la piattaforma Vectra AI e la tecnologia proprietaria Attack Signal Intelligence per proteggere le aziende dai nuovi vettori di minaccia introdotti dalla rapida adozione di strumenti di intelligenza artificiale generativa, consentendo ai team dei centri operativi di sicurezza (SOC) di combattere gli attacchi GenAI grazie all’intelligenza artificiale.