O ChatGPT não discrimina – é como um cachorrinho ansioso, a tentar satisfazer todos os pedidos do dono, tudo por aquele pequeno mimo (ou, no caso do ChatGPT, um pequeno clique de “gosto”). O ChatGPT, o modelo de linguagem de IA que sabe todas as respostas, tem causado sensação por todos os motivos certos e errados. Sim, este robô pode enriquecer a nossa vida profissional, por isso, apesar das preocupações com potenciais empregos perdidos e com o domínio do mundo, toda a gente fala dele. O Senhor, nós e, infelizmente, também os cibercriminosos.
O modelo de linguagem tem boas intenções – ajudar o ser humano! – o que soa maravilhoso... não só para os bons como também para os cibercriminosos. Pode ser utilizado de forma indevida, acidental ou maliciosamente, tornando-se numa potencial ameaça para o seu negócio e para os seus dados.
Neste artigo vamos explorar algumas formas como o ChatGPT é utilizado para ajudar empresas, como pode ser uma ameaça à segurança de dados e dar dicas para as empresas se protegerem.
O ChatGPT é uma ótima ferramenta para muitas tarefas do dia a dia das empresas, desde responder a e-mails até à análise e processamento de dados, e até tarefas muito mais complexas. Pode mesmo utilizá-lo para criar um chatbot para o seu negócio, ou pô-lo a organizar toneladas de dados sem fazer um esforço.
Parece tentador? Algumas destas tarefas levariam horas a um ser humano e um bot pode fazê-las em menos de um minuto... Está a gritar “Inscrevam-me!” enquanto lê isto?
Mas, embora utilizar um bot para analisar as últimas informações financeiras da sua empresa pareça uma excelente ideia para poupar tempo, pode rapidamente sair pela culatra.
O ChatGPT tenta simular o funcionamento do cérebro humano. Absorve informação para o seu “cérebro” robótico e consegue recordá-la quando precisa, utilizando-a em análises e interações posteriores. Mas, como se costuma dizer, com grande poder vem grande responsabilidade — o ChatGPT “sabe” uma quantidade incrível de informação.
Embora existam milhares de prompts que pode dar ao ChatGPT, “mantém os meus dados sensíveis confidenciais” não é um deles.
O ChatGPT é um modelo de aprendizagem profunda, o que lhe permite aprender com as suas conversas com os utilizadores. Por outras palavras, as suas conversas não vão ficar entre os dois. Por mais simpático que o ChatGPT possa parecer, é apenas um programa sem coração nem emoções, sem qualquer consideração por si ou pelo seu negócio.
Considere estas tarefas que o Senhor ou o seu departamento de TI poderia pedir ao ChatGPT para ajudar:
Consegue identificar as ameaças?
Mas espere, há mais! O ChatGPT não só recorda qualquer informação que lhe forneça para futuras análises, como os colaboradores da OpenAI também podem aceder aos dados das suas conversas no ChatGPT, acrescentando mais uma camada de fator humano a toda esta situação de segurança de dados. Lembre-se: o fator humano esteve envolvido em 82 % de todas as violações de segurança de dados em 2022 (de acordo com o 2022 Verizon Data Breach Investigations Report). E isto foi antes de o ChatGPT se tornar parte da nossa vida quotidiana.
E ainda não é tudo — se não tiver cuidado e, por exemplo, utilizar uma rede wifi pública ou não segura para conversar com o ChatGPT, alguém com más intenções poderia aceder à sua conversa e ver que dados está a partilhar.
Aqueles exemplos no início desta secção? Vêm de situações reais que poderiam facilmente ter resultado em violações de dados causadas pelo ChatGPT (a maioria deles vem de uma investigação na Samsung!).
O excesso de confiança na IA e no ChatGPT pode levar a negligenciar aspetos importantes da segurança de dados, como a revisão e verificação manual.
| Medidas de mitigação: Resumindo, não deixe que a promessa de uma análise de dados rápida e fácil do ChatGPT lhe toldem o discernimento. Adote uma mentalidade que coloca a segurança em primeiro lugar, eduque os seus colaboradores, não apenas sobre as políticas de segurança de dados da sua empresa, mas também sobre a IA e as potenciais ameaças que pode representar para as empresas. Lembre-se: existem considerações adicionais quando se trata de trabalhadores remotos. |
Existe toda uma rede obscura próspera que ganha milhões com dados roubados pertencentes a organizações e indivíduos em todo o mundo. De facto, os grupos de ransomware funcionam como negócios normais, com departamentos de marketing e produtos RaaS (ransomware as a service)! É seguro presumir que, assim que o ChatGPT ficou disponível para todos explorarem, em novembro de 2022, os cibercriminosos não perderam tempo.
E exploraram. Os maus rapidamente aderiram à moda do bot de linguagem, utilizando-o para encontrar vulnerabilidades em sistemas de segurança de dados, escrever e-mails de phishing convincentes, ajudar a criar ransomware e até malware personalizado para escapar a sistemas de segurança.
Tudo isto mais rápido, menos detetável e gramaticalmente mais correto do que nunca (sabe-se que os e-mails de phishing levantam suspeitas devido a erros gramaticais).
O ChatGPT está a tornar mais fácil para os cibercriminosos executarem ataques e roubarem dados sensíveis às empresas.
| Medidas de mitigação: As empresas devem implementar medidas de segurança DLP adequadas, como encriptação, controlos de acesso e auditorias de segurança regulares. Se as ameaças à segurança estão a tornar-se mais sofisticadas, as suas medidas de DLP também devem evoluir. Um software dedicado de prevenção de perda de dados (como o Safetica NXT) pode ser um divisor de águas para qualquer PME ou organização de maior dimensão. |
A IA e o ChatGPT também podem ser utilizados por agentes internos para perpetrar violações de dados. Por exemplo, um colaborador pode utilizar a IA para identificar dados sensíveis e depois utilizar o ChatGPT para gerar e-mails de phishing bem escritos para outros colaboradores ou parceiros de negócio.
As ameaças internas podem ser difíceis de detetar porque o agente interno já tem acesso a dados sensíveis que pode utilizar para roubar mais dados.
| Medidas de mitigação: Para reduzir o risco de ameaças internas, as empresas utilizam a abordagem Zero Trust para limitar o acesso a dados sensíveis apenas a quem deles necessita. O Safetica ONE é um dos melhores produtos DLP disponíveis e inclui mecanismos de Insider Threat Protection. |
Para além dos potenciais danos à reputação e às finanças de um negócio, as violações de dados, incluindo as causadas ou auxiliadas pelo ChatGPT, podem levar a consequências legais e a falhas de conformidade regulamentar. Por exemplo, as empresas podem ser sujeitas a coimas e outras sanções se forem consideradas em violação das leis de proteção de dados, como o RGPD, a CCPA ou a HIPAA. Não há exceções a dizer que a culpa não é sua se o robô o fez!
A Itália chegou a banir o ChatGPT por preocupações com a privacidade. Se essas preocupações são justificadas ou não, ainda está por ver, uma vez que as investigações estão atualmente em curso.
| Medidas de mitigação: As empresas têm de se manter atualizadas sobre os regulamentos com os quais têm de cumprir e ter um sistema abrangente de gestão da segurança da informação implementado (a ISO 27001 pode ajudar nisso). Fale com os seus colaboradores sobre políticas de privacidade e proteção de dados e discuta com eles as ameaças do uso do ChatGPT. |
Aqui ficam algumas dicas para empresas que pretendem proteger-se das potenciais ameaças colocadas pelo ChatGPT:
|