17.9 C
São Paulo
14 de junho de 2024

Práticas que expõem dados confidenciais no ChatGPT

<p>Como se sabe, apps de Inteligência Artificial Generativa, como o ChatGPT, de fato, melhoram a produtividade dos negócios, facilitam inúmeras tarefas, aprimoram serviços e simplificam operações. Seus recursos geram conteúdo, traduzem textos, processam grandes quantidades de dados, criam planos financeiros rapidamente, depuram e escrevem códigos de programas etc.<br /><br />No entanto, Bruno Okubo, Gerente de Produtos Skyhigh na CLM, indaga: será que aproveitar as inúmeras facilidades desses aplicativos compensa os riscos significativos de exposição de dados confidenciais, sejam de empresas ou de pessoas? “Mesmo com as inovações e progressos que a OpenIA incorporou ao ChatGPT, com o novo algoritmo GPT-4, a nova versão sofre com os mesmos problemas que atormentaram os usuários da versão anterior, especialmente quanto à segurança das informações”, adverte Okubo.<br /><br />Para não aumentar ainda mais o risco de violação de dados corporativos e consequentemente a não conformidade à LGPD, por exemplo, a CLM lista alguns exemplos de como dados confidenciais podem ser expostos no ChatGPT e em outros aplicativos de IA baseados em nuvem:<br /><br />• O texto com PII (personally identifiable information ou informações de identificação pessoal) pode ser copiado e colado no ChatGPT para gerar ideias de e-mail, respostas a consultas de clientes, cartas personalizadas, verificação de análise de sentimento<br /><br />• Informações de saúde digitadas no chatbot para elaborar planos de tratamento individualizados, incluindo imagens médicas, como tomografia computadorizada e ressonância magnética, podem ser processadas e aprimoradas graças à IA<br /><br />• O código-fonte proprietário pode ser carregado por desenvolvedores de software para depuração, conclusão de código, legibilidade e melhorias de desempenho<br /><br />• Arquivos contendo segredos da empresa, como rascunhos de relatórios de ganhos, documentos de fusões e aquisições (M&amp;A), anúncios de pré-lançamentos e outros dados confidenciais podem ser carregados para verificação de gramática e escrita<br /><br />• Informações financeiras como transações corporativas, receitas operacionais não divulgadas, números de cartão de crédito, classificações de crédito de clientes, extratos e históricos de pagamento podem ser incluídos no ChatGPT para fazer o planejamento financeiro, processamento de documentos, integração de clientes, síntese de dados, conformidade, detecção de fraude etc.<br /><br />Fato é que, depois de inserir essas informações, o risco de violação de dados é significativo. “As empresas precisam adotar medidas de prevenção com muita seriedade para proteger seus dados confidenciais, especialmente se considerarmos as modernas ferramentas habilitadas para nuvem”, explica o especialista.<br /><br />A CLM e a Skyhigh elaboraram uma relação de providências para evitar vazamentos.<br /><br />• Monitorar o uso e os excessos na utilização de aplicativos e limitar a exposição de informações confidenciais por meio deles, além de proteger esses documentos de perdas acidentais, vazamentos e roubo<br /><br />• É essencial garantir a visibilidade de tudo que acontece na rede corporativa, com a adoção de ferramentas automatizadas que monitoram continuamente quais aplicativos (como ChatGPT) os usuários corporativos tentam acessar, como, quando, de onde, com que frequência etc.<br /><br />“A única maneira de uma organização ter a mais ampla visibilidade de sua rede e introduzir medidas para controlar o uso e o acesso a esses milhares de novos aplicativos é adotar tecnologias de segurança que protejam automaticamente dados confidenciais, como o CASB – Cloud Access Security Broker,” assinala Okubo.<br /><br />• É essencial entender os diferentes níveis de risco que cada aplicativo representa para a organização e ter capacidade de definir granularmente as políticas de controle de acesso em tempo real com base em categorizações e condições de segurança que podem mudar ao longo do tempo<br /><br />• Embora os aplicativos mais explicitamente maliciosos devam ser bloqueados, quando se trata de controle de acesso, muitas vezes a responsabilidade do uso de aplicativos como o ChatGPT deve ser atribuída aos usuários. A empresa, então, tolera e não necessariamente interrompe atividades que possam fazer sentido para um subconjunto de grupos de negócio grupos ou para a maioria deles<br /><br />• Adotar políticas de controle de acesso que incluam fluxos de trabalho de treinamento em tempo real, acionados toda vez que os usuários abrem o ChatGPT, como pop-ups de aviso personalizáveis que oferecem orientação sobre o uso responsável do aplicativo, o risco potencial associado e uma solicitação de reconhecimento ou justificativa<br /><br />• Gerenciar a movimentação não intencional ou não aprovada de dados confidenciais entre instâncias de aplicativos em nuvem e no contexto de risco, tanto do aplicativo como do usuário<br /><br />• Embora o acesso ao ChatGPT possa ser concedido, é fundamental limitar o upload e a postagem de dados altamente confidenciais por meio do ChatGPT e outros vetores de exposição de dados potencialmente arriscados na nuvem<br /><br />A Skyhigh explica que a limitação de uploads e de postagens de dados confidenciais por meio do ChatGPT só podem ser feitas por meio de técnicas modernas de prevenção de perda de dados (DLP – data loss prevention). alimentadas por modelos de ML e AI, e que sejam capazes de identificar automaticamente fluxos de dados confidenciais e categorizar postagens com o mais alto nível de precisão<br /><br />• Conscientizar os colaboradores sobre aplicativos e atividades consideradas arriscadas. Isso pode ser feito principalmente por meio de alertas em tempo real e fluxos de trabalho de treinamento automatizados, envolvendo o usuário nas decisões de acesso após o reconhecimento do risco.<br /><br />“Seres humanos cometem erros. Assim, os usuários podem colocar dados confidenciais em risco, muitas vezes, sem perceber. A precisão das ferramentas DLP, fornecidas na nuvem, garantem que o sistema apenas monitore e impeça uploads de dados confidenciais (incluindo arquivos e textos copiados e colados que ficam na área de transferência) em aplicativos como o ChatGPT, sem interromper consultas inofensivas e tarefas seguras”, alerta Okubo.<br /><br />Vale mencionar que a interrupção seletiva de uploads e postagens de informações confidenciais no ChatGPT, com a inclusão de mensagens visuais de treinamento automatizadas e em tempo real são maneiras de orientar os colaboradores sobre violações, informar sobre políticas de segurança corporativa e, em última instância, mitigar comportamentos de risco.</p>