S procijenjenih 180 milijuna globalnih korisnika, stručnjaci za sigurnost ne mogu si priuštiti ignoriranje ChatGPT-a. Ili bolje rečeno, rizici povezani s ChatGPT-om. Bez obzira radi li se o radnoj snazi ​​tvrtke koja slučajno lijepi osjetljive podatke, napadačima koji iskorištavaju ChatGPT kako bi ciljali radnu snagu putem phishing e-poruka, ili je ChatGPT probijen i korisničke informacije su izložene – postoji više rizika za organizacijske podatke i sustave koje treba uzeti u obzir.

U ovom vodiču zaranjamo duboko u različite rizike s kojima se sve organizacije mogu suočiti zbog sigurnosnih propusta ChatGPT-a. Ali nismo ovdje da vas plašimo. Ovaj vodič nudi prakse i rješenja za minimiziranje tih rizika dok zaposlenicima omogućuje uživanje u prednostima produktivnosti generativne umjetne inteligencije. Kako biste maksimalno iskoristili ovaj vodič, preporučujemo da pročitate rizike i najbolje prakse, usporedite ih sa svojim skupom i ukupnim planom, naglasite sve nedostatke koje bi trebalo riješiti i radite na zatvaranju tih rupa.

Što je ChatGPT?

ChatGPT je AI chatbot koji može razumjeti i generirati tekst sličan ljudskom na temelju unosa (upita) koje prima. To ChatGPT-u omogućuje obavljanje širokog spektra svestranih zadataka, poput sastavljanja e-poruka, kodiranja, pružanja pronicljivih savjeta i uključivanja u nijansirane razgovore o različitim temama. Kao rezultat toga, ChatGPT je postao široko popularan i koriste ga milijuni korisnika širom svijeta.

ChatGPT pokreće LLM (veliki jezični model) pod nazivom GPT (Generative Pre-trained Transformer). GPT modeli su modeli koji obrađuju informacije poput ljudskog mozga. To im omogućuje da izvedu kontekst, relevantnost i odnose podataka. Budući da su GPT modeli uvježbani na različitim skupovima podataka, njihovi rezultati primjenjivi su u širokom rasponu aplikacija.

I ChatGPT i GPT razvio je OpenAI. Najnoviji GPT model koji je objavio OpenAI je GPT-4, koji je sposoban interpretirati i tekstualne i slikovne unose. ChatGPT može raditi na GPT-4, za korisnike koji plaćaju, ili na GPT-3.5, za planove koji se ne plaćaju, između ostalih opcija.

Unatoč njegovim inovativnim mogućnostima, također postoji sve veća zabrinutost oko sigurnosti ChatGPT-a i njegovih potencijalnih rizika. Da vidimo koje.

Zašto je ChatGPT sigurnost sve veća briga

Rastuća zabrinutost oko sigurnosti ChatGPT-a proizlazi iz njegovih ekspanzivnih mogućnosti obrade i generiranja ljudskog teksta zajedno s golemim količinama podataka koje unose korisnici. To ga čini jednim od najmoćnijih modernih alata za inovacije, ali i za iskorištavanje. Sigurnosna zabrinutost ChatGPT-a nije neutemeljena. Početkom 2023, OpenAI je identificirao i popravio bug koji korisnicima omogućuje da vide naslove i sadržaj iz povijesti razgovora drugih korisnika. Ako je ovaj sadržaj uključivao osjetljive podatke, otkriven je vanjskim korisnicima.

Problem s ChatGPT-om je potreba za ravnotežom između produktivnosti i sigurnosti. Tvrtke i pojedinci sve se više oslanjaju na ChatGPT za razne aplikacije, od korisničke službe do stvaranja sadržaja. Međutim, to znači da i mogućnost zlouporabe postaje sve raširenija. Stoga je važno osigurati da se ne unose osjetljivi ili povjerljivi podaci.

Obuka zaposlenika i relevantni sigurnosni alati mogu riješiti ove probleme ChatGPT-a. Mogu zaštititi od zlouporabe i curenja podataka te pomoći u povećanju opreza za napade i halucinacije. Osim toga, važno je poduzećima uvesti etičke i sigurnosne smjernice o tome koje se vrste podataka smiju unositi, a koje ne. Zajedno – alati, obuka i procesi mogu osigurati da poduzeća uživaju u ChatGPT produktivnosti bez sigurnosnih rizika.

Sigurnosne ranjivosti ChatGPT-a

Postoje četiri primarna scenarija u kojima bi ChatGPT mogao postati vektor za povrede podataka:

1. Zlouporaba od strane zaposlenika organizacije

Kada zaposlenici komuniciraju s ChatGPT-om, mogu nenamjerno upisati ili zalijepiti osjetljive ili vlasničke informacije o tvrtki u aplikaciju. To može uključivati ​​izvorni kod, podatke o korisnicima, IP, PII, poslovne planove i još mnogo toga. To stvara rizik od curenja podataka, jer se ulazni podaci potencijalno mogu pohraniti ili obraditi na načine koji nisu u potpunosti pod kontrolom tvrtke.

Kao prvo, te bi podatke mogao pohraniti OpenAI ili koristiti za ponovnu obuku modela, što znači da bi im protivnici ili konkurenti mogli pristupiti putem vlastitih upita. U drugim slučajevima, ako napadači prekrše OpenAI, mogli bi dobiti pristup tim podacima.

Neovlašteni pristup osjetljivim podacima može imati financijske, pravne i poslovne implikacije za organizaciju. Napadači mogu iskoristiti podatke za ransomware, phishing, krađu identiteta, prodaju IP-a i izvornog koda i više. To ugrožava reputaciju tvrtke, može rezultirati novčanim kaznama i drugim zakonskim mjerama te može zahtijevati značajna sredstva za ublažavanje napada ili plaćanje otkupnine.

2. Ciljani napadi korištenjem mogućnosti ChatGPT-a

Čak ni organizacije čiji zaposlenici ne koriste ChatGPT nisu izuzete od njegovog potencijalnog sigurnosnog utjecaja na njih. Napadači mogu koristiti ChatGPT kao svoj vlastiti pojačivač produktivnosti i koristiti ga za napad na organizaciju. Na primjer, mogu ga koristiti za izradu sofisticiranih phishing e-poruka, za napade društvenim inženjeringom, za prikupljanje informacija koje bi se mogle koristiti u daljnjim napadima na organizaciju ili za razvoj zlonamjernog koda ili otklanjanje pogrešaka.

3. Napadi na sam ChatGPT

U ChatGPT vjerujemo? Milijuni su se okrenuli ChatGPT-u sa svojim najvažnijim radnim zadacima i osobnim razmatranjima, dijeljenjem povjerljivih podataka. Ali što se događa ako je OpenAI sigurnost ugrožena? Uspješno probijanje OpenAI-ja putem ChatGPT ranjivosti može značiti da napadači pristupaju osjetljivim podacima koje obrađuje AI sustav. To uključuje upite koje unose korisnici, povijest razgovora, korisničke podatke poput e-pošte i podataka o naplati te metapodatke upita poput vrsta i učestalosti upita. Rezultat može biti kršenje privatnosti, povreda podataka ili krađa identiteta.

4. Pravni rizici i rizici usklađenosti

Mnoge organizacije koriste ChatGPT u okruženjima reguliranim zakonima o zaštiti podataka (npr. GDPR, HIPAA). Međutim, organizacije bi mogle nenamjerno prekršiti ove propise ako ChatGPT obrađuje osobne podatke bez odgovarajućih zaštitnih mjera, što dovodi do zakonskih kazni i štete ugledu.

ChatGPT sigurnosni rizici za poduzeća

Sigurnost ChatGPT-a odnosi se na sve sigurnosne mjere i protokole koji se primjenjuju kako bi se osigurala sigurnost i zaštita vezana uz korištenje ChatGPT-a. Oni su potrebni za zaštitu od sljedećih rizika:

1. Integritet podataka i rizici privatnosti

Povrede podataka/krađa podataka/curenje podataka

Sposobnost ChatGPT-a da obradi ogromne količine informacija povećava rizik od povrede podataka. Ako se u model unesu osjetljive informacije, postoji mogućnost curenja podataka. To bi se moglo dogoditi ako su sigurnosne mjere platforme ugrožene ili ako se ti podaci koriste za obuku modela, a zatim se pružaju kao odgovor na zahtjev konkurenta ili napadača. 

Skupljanje informacija

Zlonamjerni bi akteri mogli iskoristiti ChatGPT za prikupljanje osjetljivih informacija uključivanjem u naizgled bezazlene razgovore koji su osmišljeni za izvlačenje izvidničkih podataka. To bi moglo uključivati ​​informacije o sustavima i mrežnim komponentama koje tvrtke koriste, sigurnosne prakse koje se koriste kao sredstva za njihovo prevladavanje, prakse o tome kako napadati sustave, informacije o korisničkim preferencijama, korisničke metapodatke i više.

Širenje dezinformacija

ChatGPT može nenamjerno širiti lažne informacije, obmanjujuće činjenice ili lažirati podatke. To se može dogoditi zbog halucinacija ili ako napadači namjerno unesu lažne informacije u ChatGPT, pa su one uključene u obuku modela i dane u drugim odgovorima. To bi moglo dovesti do donošenja odluka na temelju netočnih informacija, što utječe na integritet i ugled poduzeća.

Automatizirana propaganda

Kao primjer navedenog, sposobnost stvaranja uvjerljivog i prilagođenog sadržaja može se zloupotrijebiti za širenje propagande ili manipuliranje javnim mnijenjem u velikim razmjerima.

Izmišljeni i netočni odgovori

Slično širenju dezinformacija, ovo uključuje ChatGPT generiranje lažnih ili pogrešnih odgovora koji bi se mogli pogrešno smatrati činjeničnim, što utječe na poslovne odluke i povjerenje kupaca.

2. Pristranost i etički problemi

Pristranost modela i izlaza

Inherentne pristranosti u podacima o obuci mogu dovesti do iskrivljenih rezultata ili ishoda s predrasudama. Na primjer, ako odgovori razlikuju etničke skupine ili spolove pri donošenju odluka o zapošljavanju ili napredovanju. To bi moglo dovesti do neetičkog donošenja odluka i potencijalno dovesti do problema u odnosima s javnošću i pravnih posljedica.

Rizici zaštite potrošača

Poduzeća moraju pronaći tanku granicu između iskorištavanja mogućnosti ChatGPT-a za produktivnost i osiguravanja da nenamjerno ne nanose štetu potrošačima kroz pristrane ili neetičke rezultate. Također bi se trebali pobrinuti da zaposlenici ne uključuju podatke koji otkrivaju identitet ili osjetljive podatke o klijentima u upite, čime se potencijalno krše propisi o privatnosti.

Ublažavanje pristranosti

Iako OpenAI ulaže napore da smanji pristranost, ostaje rizik da se sve pristranosti ne rješavaju na odgovarajući način, što dovodi do potencijalno diskriminirajućih praksi ili rezultata.

3. Slučajevi zlonamjerne upotrebe

Razvoj zlonamjernog softvera i Ransomware

ChatGPT se može zloupotrijebiti za razvoj sofisticiranog zlonamjernog softvera ili ransomware skripti, što predstavlja značajnu sigurnosnu prijetnju poduzećima. Iako je korištenje ChatGPT-a za napade protiv politike OpenAI-ja, alatom se i dalje može manipulirati putem raznih upita, poput traženja od chatbota da se ponaša kao tester olovke ili da napiše ili otkloni pogreške u naizgled nepovezanim kodnim skriptama.

Generiranje zlonamjernog koda

Kao što je gore spomenuto, ChatGPT se može koristiti za generiranje koda koji može iskoristiti ranjivosti u softveru ili sustavima, olakšavajući neovlašteni pristup ili povrede podataka.

Zlonamjerne phishing e-poruke

Napadači mogu koristiti ChatGPT za stvaranje vrlo uvjerljivih phishing e-poruka, povećavajući vjerojatnost uspješnih prijevara i krađe informacija. Pomoću ovog alata s umjetnom inteligencijom mogu stvarati e-poruke koje simuliraju tonove i glasove, poput javno poznatih osoba, zvučati poput poslovnih profesionalaca, poput izvršnih direktora i IT-a, eliminirati gramatičke pogreške, koje su jedan od znakova phishing e-pošte, i pisati u širok raspon jezika, što im omogućuje da prošire svoj spektar napada.

Napadi socijalnog inženjeringa

Slično phishing e-porukama, ChatGPT može generirati kontekstualno relevantne i uvjerljive poruke. To znači da se može koristiti kao oružje za izvođenje napada društvenim inženjeringom, navodeći zaposlenike da ugroze sigurnosne protokole.

predstavljanje

Napredne jezične mogućnosti ChatGPT-a čine ga alatom za stvaranje poruka ili sadržaja koji oponaša pojedince ili subjekte, što dovodi do potencijalne prijevare i društvenog inženjeringa. i dezinformacije.

Zaobilaženje sustava za moderiranje sadržaja

Sofisticirano generiranje jezika može se koristiti za izradu poruka koje izbjegavaju otkrivanje standardnim sustavima za moderiranje sadržaja. To predstavlja rizik za online sigurnost i usklađenost, budući da su tradicionalni sigurnosni alati manje učinkoviti nego prije.

4. Operativni i politički rizici

Rizici intelektualnog vlasništva (IP) i autorskih prava

Generiranje sadržaja od strane ChatGPT-a moglo bi nenamjerno prekršiti postojeća prava intelektualnog vlasništva. Ako ChatGPT stvara sadržaj koji odražava ili je vrlo sličan postojećim materijalima zaštićenim autorskim pravima, rezultat može biti kršenje prava intelektualnog vlasništva, što predstavlja pravni i financijski rizik za poduzeća.

Krađa intelektualnog vlasništva

Druga strana novčića je kada ChatGPT daje odgovore na temelju vaših vlasničkih informacija ili kreativnog sadržaja, što dovodi do financijskog gubitka i nepovoljnog položaja u konkurenciji.

Jailbreak napadi (napadi na ChatGPT)

Zlonamjerni akter pokušava zaobići ili iskoristiti ugrađene zaštitne mjere OpenAI-ja, s ciljem da ga natjera da izvršava zadatke izvan predviđenih ili etički dopuštenih granica. To može biti u rasponu od generiranja sadržaja koji krši pravila upotrebe do manipuliranja modelom u otkrivanju informacija koje je osmišljen da zataji. Takvi napadi mogli bi ugroziti integritet podataka poduzeća koja koriste ChatGPT i unijela su osjetljive informacije te ih učiniti podložnima poslovnim i pravnim posljedicama ako stave u upotrebu netočne podatke iz ChatGPT odgovora.

Greške u vezi s privatnošću ChatGPT-a (napad na ChatGPT)

Ranjivosti ili nedostaci unutar sustava koji potencijalno mogu ugroziti privatnost korisnika. To mogu biti kvarovi koji slučajno otkrivaju osjetljive korisničke podatke ili rupe u zakonu koje zlonamjerni akteri iskorištavaju za pristup neovlaštenim informacijama. To bi moglo ugroziti integritet poduzeća, otkrivajući poslovne planove, izvorni kod, informacije o kupcima, informacije o zaposlenicima i više.

Promjene u politici tvrtke OpenAI

Promjene u politici OpenAI-ja u vezi s korištenjem ChatGPT-a mogle bi imati implikacije na poduzeća koja se oslanjaju na njegovu tehnologiju. Takve promjene mogu uključivati ​​izmjene smjernica o privatnosti korisnika, pravila o korištenju podataka ili etičkih okvira koji usmjeravaju njegov razvoj AI i raspoređivanje. Neusklađenost između ovih novih pravila i očekivanja korisnika ili pravnih standarda, što bi moglo dovesti do zabrinutosti u vezi s privatnošću, smanjenog povjerenja korisnika, pravnih izazova i izazova usklađenosti ili izazova s ​​kontinuitetom rada.

Rizici proširenja ChatGPT

Upotreba ChatGPT proširenja, koja su dodaci ili integracije koje proširuju mogućnosti ChatGPT-a, također predstavlja ChatGPT sigurnosni rizik. Evo nekih od ključnih:

  • Sigurnosne ranjivosti – Proširenja mogu uvesti sigurnosne slabosti, osobito ako nisu razvijena ili održavana prema strogim sigurnosnim standardima. To može uključivati ​​uvođenje zlonamjernog koda u korisnički preglednik, eksfiltraciju podataka i još mnogo toga.
  • Zabrinutost zbog privatnosti – Proširenja koja rukuju ili obrađuju korisničke podatke mogu predstavljati rizike za privatnost, osobito ako nisu u skladu sa zakonima o zaštiti podataka ili ako prikupljaju, pohranjuju ili prenose podatke na nesigurne načine.
  • Pristup podacima o identitetu – Sa zlonamjernim proširenjima napadači mogu dobiti pristup podacima o identitetu – lozinkama, kolačićima i MFA tokenima. To im omogućuje probijanje sustava i bočno napredovanje u njemu.

Kako sigurno koristiti ChatGPT

Stigli smo do omiljenog dijela – što učiniti? Postoji način da eosnažite svoju radnu snagu da iskoriste golemi potencijal produktivnosti ChatGPT-a dok eliminirate njihovu sposobnost nenamjernog izlaganja osjetljivih podataka. Evo kako:

Razvijte jasna pravila korištenja

Odredite podatke koji vas najviše zanimaju: izvorni kod, poslovni planovi, intelektualno vlasništvo itd. Uspostavite smjernice o tome kako i kada zaposlenici mogu koristiti ChatGPT, naglašavajući vrste informacija koje se ne bi trebale dijeliti s alatom ili bi se trebale dijeliti samo pod strogim uvjetima.

Provođenje programa obuke i podizanja svijesti

Educirajte zaposlenike o mogućim rizicima i ograničenjima korištenja AI alata, uključujući:

  • Sigurnost podataka i rizik dijeljenja osjetljivih podataka
  • Potencijalna zlouporaba umjetne inteligencije u cyber napadima
  • Kako prepoznati pokušaje krađe identiteta generirane umjetnom inteligencijom ili druge zlonamjerne komunikacije

Promicati kulturu u kojoj se AI alati koriste odgovorno kao nadopuna ljudskoj stručnosti, a ne kao zamjena.

Koristite proširenje preglednika Enterprise

ChatGPT-u se pristupa i koristi putem preglednika, kao web aplikacija ili proširenje preglednika. Stoga se tradicionalni alati za krajnju točku ili mrežnu sigurnost ne mogu koristiti za osiguranje organizacija i sprječavanje zaposlenika da lijepe ili upisuju osjetljive podatke u GenAI aplikacije.

Ali an proširenje preglednika poduzeća limenka. Stvaranjem namjenske politike ChatGPT, preglednik može spriječiti dijeljenje osjetljivih podataka putem skočnih upozorenja ili potpunog blokiranja upotrebe. U ekstremnim slučajevima, poslovni preglednik može se konfigurirati da potpuno onemogući ChatGPT i njegova proširenja.

Otkrijte i blokirajte rizična proširenja

Skenirajte preglednike svoje radne snage da otkrijete instalirane zlonamjerne ChatGPT ekstenzije to bi trebalo ukloniti. Osim toga, kontinuirano analizirajte ponašanje postojećih proširenja preglednika kako biste ih spriječili u pristupu osjetljivim podacima preglednika. Onemogućite ekstenzijama mogućnost izdvajanja vjerodajnica ili drugih osjetljivih podataka iz preglednika vaše radne snage.

Pojačajte svoje sigurnosne kontrole

S obzirom na sposobnost napadača da koriste ChatGPT u svoju korist, neka kibernetička sigurnost postane viši prioritet. Ovo uključuje:

  • Pojačane kontrole protiv krađe identiteta, zlonamjernog softvera, injekcija i ransomwarea
  • Ograničavanje pristupa vašim sustavima kako bi se spriječila neovlaštena upotreba koja bi mogla proizaći iz mogućnosti napadača da, poput MFA
  • Održavanje vašeg softvera zakrpanim i ažuriranim
  • Provedba sigurnosnih mjera krajnje točke
  • Osiguravanje higijene lozinki
  • Kontinuirano nadziranje radi otkrivanja sumnjivog ponašanja i pobrinite se da razvijete i prakticirate svoje planove odgovora na incidente.

Predstavljamo ChatGPT DLP tvrtke LayerX

LayerX je poslovno pregledničko rješenje koje štiti organizacije od prijetnji i rizika s weba. LayerX ima jedinstveno rješenje za zaštitu organizacija od izlaganja osjetljivih podataka putem ChatGPT-a i drugih generativnih AI alata, bez ometanja iskustva preglednika.

Korisnici mogu mapirati i definirati podatke koje treba zaštititi, poput izvornog koda ili intelektualnog vlasništva. Kada zaposlenici koriste ChatGPT, provode se kontrole poput skočnih upozorenja ili blokiranja kako bi se osiguralo da sigurni podaci nisu izloženi. LayerX osigurava sigurnu produktivnost i potpuno iskorištavanje ChatGPT potencijala bez ugrožavanja sigurnosti podataka.

Za više detalja, kliknite ovdje.