Pericoli Nascosti degli AI Copilots e Misure di Sicurezza Necessarie

Le pericoli nascosti degli AI Copilot e come rafforzare la sicurezza e la conformità

Gli AI Copilot, come quello di Microsoft, introducono nuovi rischi di sicurezza, privacy e conformità. Se questi modelli non sono adeguatamente protetti, le organizzazioni rischiano di diventare il prossimo titolo di cronaca, da violazioni dei dati a violazioni delle normative sulla privacy.

I rischi associati agli AI Copilot non sono solo teorici: incidenti reali hanno già dimostrato i pericoli di un’adozione non governata dell’IA. Recentemente, l’assistente AI Copilot di Microsoft ha esposto i contenuti di oltre 20.000 repository GitHub privati di aziende come Google, Intel, Huawei, PayPal, IBM, Tencent e, ironicamente, Microsoft. Inoltre, nel 2023, Microsoft AI ha leakato 38TB di dati riservati a causa di una misconfigurazione dei controlli di accesso su GitHub.

Questi incidenti servono come monito sui rischi posti da dati eccessivamente esposti e da una governance inadeguata.

Modello AI a sistema aperto vs. a ciclo chiuso

Prima di discutere come mettere in sicurezza i modelli di IA, è importante capire cosa significa quando si parla di un modello di IA a sistema aperto o a ciclo chiuso.

Un modello di IA a ciclo chiuso consente alle imprese di addestrare i modelli di IA solo sui propri dati all’interno del proprio ambiente Azure. Un ciclo chiuso riduce il rischio che l’IA condivida dati sensibili tra clienti o geolocalizzazioni.

Tuttavia, modelli di IA come Copilot e ChatGPT non sono modelli a ciclo chiuso e apprendono continuamente, aggiornando le loro risposte in base ai prompt degli utenti e ai dati provenienti da internet. Sebbene ci siano molti vantaggi nei modelli di IA aperti, introducono anche i rischi sopra menzionati. Le organizzazioni possono garantire un’adozione sicura dell’IA implementando un approccio multilivello alla sicurezza e alla governance.

Un approccio multilivello alla sicurezza dell’IA generativa

Non si può proteggere ciò che non si conosce. Il primo passo per preparare la propria organizzazione all’IA è la capacità di classificare e etichettare tutti i dati che vivono nei propri sistemi, inclusi i dati sensibili, riservati o idonei per il consumo da parte dell’IA. Senza una classificazione e un’etichettatura adeguate, l’IA – come Microsoft Copilot – potrebbe elaborare ed esporre dati che dovrebbero rimanere riservati.

Le organizzazioni devono implementare misure di governance come:

• Condurre valutazioni complete dei rischi dei dati su piattaforme come OneDrive, SharePoint e Teams
• Etichettare e classificare i dati sensibili, critici o regolamentati per identificare i dati sicuri per l’IA (o riservati)
• Stabilire politiche automatizzate per segnalare o rimediare alle violazioni delle politiche prima che queste si aggravino
• Eliminare dati duplicati, ridondanti e obsoleti dai data store utilizzati per addestrare l’IA
• Limitare le autorizzazioni di accesso dell’IA ai dati che sono stati designati e convalidati come sicuri per l’uso dell’IA

Una volta che le organizzazioni stabiliscono la visibilità sui propri dati, il passo cruciale successivo è controllare l’accesso. Come dimostrato dall’esposizione dei dati su GitHub menzionata in precedenza, anche i dati etichettati e classificati possono rappresentare un rischio se non si limitano gli accessi ai dati alimentati in un modello di IA.

I leader della sicurezza devono essere in grado di tracciare quali set di dati vengono utilizzati per addestrare i modelli di IA e audire le uscite generate dall’IA per potenziali violazioni di conformità. Senza implementare con successo forti misure di gestione dei dati dell’IA, le organizzazioni rischiano di violare il GDPR, il CCPA o altre normative sulla privacy.

Queste violazioni normative portano a sanzioni imposte alle organizzazioni e potrebbero danneggiare il marchio dell’organizzazione e perdere la fiducia dei consumatori. È per questo che le organizzazioni devono assicurarsi che la privacy sia integrata nella base della loro strategia di sicurezza e governance dell’IA per evitare di violare involontariamente gli obblighi normativi.

La sicurezza dei dati dell’IA e la governance nell’era dell’IA

La trasformazione digitale guidata dall’IA è qui, e richiede una nuova mentalità per la sicurezza e la conformità. Le organizzazioni che non implementano forti misure di governance rischiano di esporre il loro bene più prezioso — i dati. È il momento per i leader IT di far rispettare le politiche di sicurezza dell’IA e garantire che l’IA generativa sia utilizzata in modo sicuro e responsabile.