GenAI: Nová bolest hlavy pro SaaS bezpečnostní týmy

Uvedení aplikace ChatGPT společnosti Open AI bylo pro softwarový průmysl rozhodujícím momentem, který v listopadu 2022 odstartoval závod GenAI. Dodavatelé SaaS se nyní předhánějí v modernizaci nástrojů s rozšířenými možnostmi produktivity, které jsou poháněny generativní AI.

Mezi širokou škálu využití patří nástroje GenAI, které vývojářům usnadňují tvorbu softwaru, pomáhají obchodním týmům při všedním psaní e-mailů, marketérům pomáhají s nízkými náklady vytvářet jedinečný obsah a týmům a kreativcům umožňují brainstorming nových nápadů.

Mezi nedávno uvedené významné produkty GenAI patří Microsoft 365 Copilot, GitHub Copilot a Salesforce Einstein GPT. Pozoruhodné je, že tyto nástroje GenAI od předních poskytovatelů SaaS jsou placenými vylepšeními, což je jasným znamením, že žádný poskytovatel SaaS si nebude chtít nechat ujít příležitost vydělat na transformaci GenAI. Společnost Google brzy spustí svou platformu SGE „Search Generative Experience“ pro prémiové souhrny generované AI namísto seznamu webových stránek.

Při tomto tempu je jen otázkou krátkého času, než se nějaká forma schopnosti AI stane standardem v aplikacích SaaS.

Tento pokrok v oblasti AI v prostředí cloudových služeb se však neobejde bez nových rizik a nevýhod pro uživatele. Široké přijetí aplikací GenAI na pracovišti totiž rychle vyvolává obavy z vystavení nové generaci kybernetických bezpečnostních hrozeb.

Reakce na rizika GenAI

GenAI funguje na základě tréninkových modelů, které generují nová data zrcadlící původní na základě informací, které uživatelé sdílejí s nástroji.

Jak nyní upozorňuje ChatGPT uživatele při přihlašování: „Nesdílejte citlivé informace“ a „ověřte si fakta“. Na otázku ohledně rizik GenAI ChatGPT odpovídá: „Data zaslaná modelům umělé inteligence, jako je ChatGPT, mohou být použita pro účely trénování a vylepšování modelů, což je potenciálně může odhalit výzkumníkům nebo vývojářům, kteří na těchto modelech pracují.“

Toto vystavení rozšiřuje plochu pro útoky organizací, které sdílejí interní informace v cloudových systémech GenAI. Mezi nová rizika patří nebezpečí úniku IP, citlivých a důvěrných zákaznických údajů a osobních údajů a také hrozby plynoucí z používání deepfakes kyberzločinci, kteří využívají ukradené informace k phishingovým podvodům a krádežím identity.

Tyto obavy, stejně jako problémy s plněním požadavků na shodu s předpisy a vládními požadavky, vyvolávají odezvu aplikací GenAI, zejména ze strany průmyslových odvětví a sektorů, které zpracovávají důvěrné a citlivé údaje. Podle nedávné studie společnosti Cisco již více než jedna ze čtyř organizací zakázala používání GenAI kvůli rizikům v oblasti ochrany soukromí a bezpečnosti dat.

Mezi prvními odvětvími, která zakázala používání nástrojů GenAI na pracovišti, bylo bankovnictví. Podle průzkumu společnosti Arizent vedoucí pracovníci v oblasti finančních služeb doufají v přínosy využití umělé inteligence pro zefektivnění a usnadnění práce zaměstnanců, ale 30 % z nich stále zakazuje používání nástrojů generativní AI ve své společnosti.

Nedávno americký Kongres v zájmu posílení kyberbezpečnostních opatření zavedl zákaz používání nástroje Copilot společnosti Microsoft na všech vládních počítačích. „Aplikace Microsoft Copilot byla Úřadem pro kybernetickou bezpečnost považována za rizikovou pro uživatele kvůli hrozbě úniku dat Sněmovny reprezentantů do cloudových služeb, které nejsou schváleny Sněmovnou reprezentantů,“ uvedla podle zprávy Axios Catherine Szpindor, vedoucí administrativního oddělení Sněmovny reprezentantů. Tento zákaz následuje po předchozím rozhodnutí vlády zablokovat ChatGPT.

Vypořádání se s nedostatkem dohledu

Nehledě na reaktivní zákazy GenAI mají organizace nepochybně problémy s účinnou kontrolou používání GenAI, protože aplikace pronikají na pracoviště bez školení, dohledu a vědomí zaměstnavatelů.

Podle nedávné studie společnosti Salesforce více než polovina uživatelů GenAI používá v práci neschválené nástroje. Výzkum zjistil, že navzdory výhodám, které GenAI nabízí, může nedostatek jasně definovaných zásad týkajících se jejího používání vystavovat podniky riziku.

Dobrou zprávou je, že se to nyní může začít měnit, pokud se zaměstnavatelé budou řídit novými pokyny americké vlády k posílení správy AI.

Ve svém prohlášení nařídila viceprezidentka Kamala Harris všem federálním úřadům, aby jmenovaly vedoucího pracovníka pro AI, který bude mít „zkušenosti, odborné znalosti a pravomoci dohlížet na všechny technologie AI … a zajistit, aby byla AI využívána zodpovědně“.

Vzhledem k tomu, že se vláda USA ujala vedení, aby podpořila zodpovědné využívání AI, a vyčlenila prostředky na řízení rizik, je dalším krokem nalezení metod, jak aplikace bezpečně spravovat.

Získání kontroly nad aplikacemi GenAI

Revoluce GenAI, jejíž rizika zůstávají v oblasti neznámých, přichází v době, kdy je důraz na ochranu perimetru stále více zastaralý.

Aktéři hrozeb se dnes stále více zaměřují na nejslabší články uvnitř organizací, jako jsou lidské identity, nelidské identity a chybné konfigurace v aplikacích SaaS. Aktéři hrozeb z národních států v poslední době využívají taktiky, jako je získání hesel hrubou silou a phishing, k úspěšnému doručování malwaru a ransomwaru a k provádění dalších škodlivých útoků na aplikace SaaS.

Snahy o zabezpečení aplikací SaaS komplikuje i to, že v současné době se stírají hranice mezi pracovním a osobním životem, pokud jde o používání zařízení v hybridním pracovním modelu. S pokušeními, která s sebou nese výkon GenAI, bude nemožné zabránit zaměstnancům v používání této technologie, ať už s povolením, nebo bez něj.

Rychlé rozšíření GenAI v pracovní síle by proto mělo být pro organizace varovným signálem, aby přehodnotily, zda mají bezpečnostní nástroje, které zvládnou novou generaci bezpečnostních hrozeb SaaS.

Aby organizace znovu získaly kontrolu a přehled o aplikacích SaaS GenAI nebo aplikacích, které mají funkce GenAI, mohou se obrátit na pokročilá řešení nulové důvěry, jako je SSPM (SaaS Security Posture Management), která mohou umožnit používání AI a zároveň přísně sledovat její rizika.

Získání přehledu o každé připojené aplikaci s podporou AI a měření jejího stavu zabezpečení z hlediska rizik, která by mohla ohrozit zabezpečení SaaS, umožní organizacím předcházet novým a vyvíjejícím se hrozbám, odhalovat je a reagovat na ně.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS