Le pericoli nascosti degli AI Copilot e come rafforzare la sicurezza e la conformità
Gli AI Copilot, come quello di Microsoft, introducono nuovi rischi di sicurezza, privacy e conformità. Se questi modelli non sono adeguatamente protetti, le organizzazioni rischiano di diventare il prossimo titolo di cronaca, da violazioni dei dati a violazioni delle normative sulla privacy.
I rischi associati agli AI Copilot non sono solo teorici: incidenti reali hanno già dimostrato i pericoli di un’adozione non governata dell’IA. Recentemente, l’assistente AI Copilot di Microsoft ha esposto i contenuti di oltre 20.000 repository GitHub privati di aziende come Google, Intel, Huawei, PayPal, IBM, Tencent e, ironicamente, Microsoft. Inoltre, nel 2023, Microsoft AI ha leakato 38TB di dati riservati a causa di una misconfigurazione dei controlli di accesso su GitHub.
Questi incidenti servono come monito sui rischi posti da dati eccessivamente esposti e da una governance inadeguata.
Modello AI a sistema aperto vs. a ciclo chiuso
Prima di discutere come mettere in sicurezza i modelli di IA, è importante capire cosa significa quando si parla di un modello di IA a sistema aperto o a ciclo chiuso.
Un modello di IA a ciclo chiuso consente alle imprese di addestrare i modelli di IA solo sui propri dati all’interno del proprio ambiente Azure. Un ciclo chiuso riduce il rischio che l’IA condivida dati sensibili tra clienti o geolocalizzazioni.
Tuttavia, modelli di IA come Copilot e ChatGPT non sono modelli a ciclo chiuso e apprendono continuamente, aggiornando le loro risposte in base ai prompt degli utenti e ai dati provenienti da internet. Sebbene ci siano molti vantaggi nei modelli di IA aperti, introducono anche i rischi sopra menzionati. Le organizzazioni possono garantire un’adozione sicura dell’IA implementando un approccio multilivello alla sicurezza e alla governance.
Un approccio multilivello alla sicurezza dell’IA generativa
Non si può proteggere ciò che non si conosce. Il primo passo per preparare la propria organizzazione all’IA è la capacità di classificare e etichettare tutti i dati che vivono nei propri sistemi, inclusi i dati sensibili, riservati o idonei per il consumo da parte dell’IA. Senza una classificazione e un’etichettatura adeguate, l’IA – come Microsoft Copilot – potrebbe elaborare ed esporre dati che dovrebbero rimanere riservati.
Le organizzazioni devono implementare misure di governance come:
- Condurre valutazioni complete dei rischi dei dati su piattaforme come OneDrive, SharePoint e Teams
- Etichettare e classificare i dati sensibili, critici o regolamentati per identificare i dati sicuri per l’IA (o riservati)
- Stabilire politiche automatizzate per segnalare o rimediare alle violazioni delle politiche prima che queste si aggravino
- Eliminare dati duplicati, ridondanti e obsoleti dai data store utilizzati per addestrare l’IA
- Limitare le autorizzazioni di accesso dell’IA ai dati che sono stati designati e convalidati come sicuri per l’uso dell’IA
Una volta che le organizzazioni stabiliscono la visibilità sui propri dati, il passo cruciale successivo è controllare l’accesso. Come dimostrato dall’esposizione dei dati su GitHub menzionata in precedenza, anche i dati etichettati e classificati possono rappresentare un rischio se non si limitano gli accessi ai dati alimentati in un modello di IA.
I leader della sicurezza devono essere in grado di tracciare quali set di dati vengono utilizzati per addestrare i modelli di IA e audire le uscite generate dall’IA per potenziali violazioni di conformità. Senza implementare con successo forti misure di gestione dei dati dell’IA, le organizzazioni rischiano di violare il GDPR, il CCPA o altre normative sulla privacy.
Queste violazioni normative portano a sanzioni imposte alle organizzazioni e potrebbero danneggiare il marchio dell’organizzazione e perdere la fiducia dei consumatori. È per questo che le organizzazioni devono assicurarsi che la privacy sia integrata nella base della loro strategia di sicurezza e governance dell’IA per evitare di violare involontariamente gli obblighi normativi.
La sicurezza dei dati dell’IA e la governance nell’era dell’IA
La trasformazione digitale guidata dall’IA è qui, e richiede una nuova mentalità per la sicurezza e la conformità. Le organizzazioni che non implementano forti misure di governance rischiano di esporre il loro bene più prezioso — i dati. È il momento per i leader IT di far rispettare le politiche di sicurezza dell’IA e garantire che l’IA generativa sia utilizzata in modo sicuro e responsabile.
