Prevence ztráty dat ve výrobním průmyslu
S tím, jak výrobci přijímají digitalizaci, jsou kybernetičtí zločinci stále kreativnější při útocích na tento vysoce hodnotný sektor. Od ztráty dat...
ChatGPT nedělá rozdíly – je jako horlivé štěně, které se snaží splnit každý požadavek svého majitele, jen aby si zasloužilo malou odměnu (nebo v případě ChatGPT „palec nahoru“). ChatGPT, AI jazykový model, který zná všechny odpovědi, vyvolává senzaci v dobrém i špatném slova smyslu. Ano, tento robot může obohatit náš profesní život, takže navzdory obavám z případné ztráty pracovních míst nebo ovládnutí světa o něm všichni mluví. Vy, my a bohužel i kyberzločinci.
Jazykový model má dobré úmysly – pomáhat člověku! – což zní skvěle… nejen pro ty hodné, ale i pro kyberzločince. Lze jej zneužít, ať už náhodně, nebo úmyslně, a stává se z něj potenciální hrozba pro vaši firmu a její data.
V tomto článku se podíváme na některé způsoby, jak ChatGPT pomáhá firmám, jak může ohrožovat bezpečnost dat, a poradíme, jak se mohou firmy chránit.
Jak může být ChatGPT využit ve firmě?
ChatGPT je skvělý nástroj pro mnoho každodenních firemních činností – od odpovídání na e-maily přes analýzu a zpracování dat až po mnohem složitější úkoly. Můžete jej dokonce použít k vytvoření chatbota pro vaši firmu nebo nechat zpracovat obrovské množství dat, aniž by se zapotil.
Zní to lákavě? Některé z těchto úkolů by člověku zabraly hodiny, zatímco bot je zvládne za méně než minutu… Křičíte už při čtení „Jdu do toho!“?
Jenže používat bota k analýze nejnovějších finančních informací vaší společnosti sice vypadá jako skvělý nápad, jak ušetřit čas, ale může se to rychle vymstít.
Proč může být ChatGPT hrozbou pro bezpečnost dat?
ChatGPT se snaží napodobit fungování lidského mozku. Vstřebává informace do svého robotického „mozku“ a dokáže je vybavit a využít při následných analýzách a interakcích. Jak se ale říká, s velkou silou přichází i velká zodpovědnost – ChatGPT „ví“ neuvěřitelné množství informací.
Proč byste si měli dělat starosti?
Není možné udržet vaše citlivé informace v tajnosti
I když existují tisíce promptů, které můžete ChatGPT zadat, „ponechte mé citlivé údaje v tajnosti“ mezi nimi není.
ChatGPT je model hlubokého učení, díky čemuž se učí z konverzací s uživateli. Jinými slovy – vaše konverzace nezůstanou pouze mezi vámi dvěma. Bez ohledu na to, jak osobně může ChatGPT působit, je to jen bezcitný program bez emocí a bez ohledu na vás či vaši firmu.
Zvažte následující úkoly, s nimiž byste vy nebo vaše IT oddělení mohli ChatGPT požádat o pomoc:
- Pomoc s napsáním nebo nalezením chyby ve zdrojovém kódu.
- Vytvoření zápisu z přepisu zasedání představenstva.
- Optimalizace testovací sekvence pro identifikaci interních systémových zranitelností.
- Třídění platebních údajů zákazníků do tabulky.
Vidíte ty hrozby?
A to ještě není všechno! ChatGPT si nejen pamatuje veškerý vstup, který mu poskytnete, pro budoucí analýzu, ale zaměstnanci OpenAI mají také přístup k datům z vašich konverzací, čímž do celé situace okolo bezpečnosti dat vstupuje další lidský faktor. A nezapomínejte, že lidský faktor stál v roce 2022 za 82 % všech bezpečnostních incidentů (podle 2022 Verizon Data Breach Investigations Report). A to ještě předtím, než se ChatGPT stal součástí našich každodenních životů.
Ani tím to nekončí – pokud nedáváte pozor a třeba si s ChatGPT povídáte přes nezabezpečenou nebo veřejnou Wi-Fi síť, někdo se zlými úmysly by mohl k vaší konverzaci získat přístup a vidět, jaká data sdílíte.
Příklady na začátku této sekce? Vycházejí z reálných situací, které mohly snadno vyústit v datové úniky způsobené ChatGPT (většina z nich pochází z vyšetřování ve společnosti Samsung!).
Přílišné spoléhání na AI a ChatGPT může vést k zanedbání důležitých aspektů bezpečnosti dat, jako je manuální kontrola a ověření.
Kyberzločinci zneužívají ChatGPT k zneužití zranitelností v bezpečnostních systémech
Existuje celá temná síť, která prosperuje a vydělává miliony z dat ukradených organizacím a jednotlivcům po celém světě. Ransomwarové skupiny dokonce fungují jako běžné firmy – mají i marketingová oddělení a produkty typu RaaS (ransomware as a service)! Lze tedy předpokládat, že jakmile se ChatGPT stal v listopadu 2022 dostupný všem, kyberzločinci si přišli na své.
A přišli si. Padouši rychle naskočili na vlnu jazykového bota a začali jej používat k hledání zranitelností v systémech bezpečnosti dat, k psaní přesvědčivých phishingových e-mailů, k tvorbě ransomwaru a dokonce i malwaru na míru, který obchází bezpečnostní systémy.
To vše rychleji, hůře odhalitelné a gramaticky správnější než kdy předtím (phishingové e-maily se totiž tradičně poznají podle gramatických chyb).
ChatGPT usnadňuje kyberzločincům provádění útoků a krádeže citlivých dat z firem.
ChatGPT lze využít jako nástroj interních hrozeb
AI a ChatGPT mohou interní aktéři zneužít k provádění datových úniků. Zaměstnanec by například mohl použít AI k identifikaci citlivých dat a poté ChatGPT k vygenerování dobře napsaných phishingových e-mailů ostatním zaměstnancům nebo obchodním partnerům.
Interní hrozby jsou obtížně odhalitelné, protože interní aktér již má přístup k citlivým datům, která může použít k odcizení dalších dat.
(Možná) porušuje předpisy o ochraně soukromí
Vedle potenciálního poškození pověsti a financí firmy mohou datové úniky, včetně těch způsobených nebo podpořených ChatGPT, vést k právním důsledkům a porušení regulatorního souladu. Firmám například mohou hrozit pokuty a další sankce, pokud se ukáže, že porušily zákony o ochraně osobních údajů jako GDPR, CCPA nebo HIPAA. Žádná z výjimek neříká, že to není vaše chyba, když to udělal robot!
Itálie dokonce ChatGPT kvůli obavám o soukromí zakázala. Zda jsou tyto obavy oprávněné, se teprve ukáže, vyšetřování stále probíhá.
Tipy Safetica, jak ochránit vaši firmu
Zde je několik tipů pro firmy, které se chtějí chránit před potenciálními hrozbami ze strany ChatGPT: