Chặn quyền truy cập vào ChatGPT là một giải pháp ngắn hạn để giảm thiểu rủi ro

An toàn thông tin - Ngày đăng : 08:12, 29/07/2023

Theo công ty phần mềm Netskope, cứ 10.000 người dùng doanh nghiệp (DN) thì có một tổ chức gặp phải khoảng 183 sự cố dữ liệu nhạy cảm được đăng lên ChatGPT mỗi tháng. Dữ liệu nhạy cảm bị lộ chiếm tỷ lệ lớn nhất là mã nguồn.
An toàn thông tin

Chặn quyền truy cập vào ChatGPT là một giải pháp ngắn hạn để giảm thiểu rủi ro

Hạnh Tâm {Ngày xuất bản}

Theo công ty phần mềm Netskope, cứ 10.000 người dùng doanh nghiệp (DN) thì có một tổ chức gặp phải khoảng 183 sự cố dữ liệu nhạy cảm được đăng lên ChatGPT mỗi tháng. Dữ liệu nhạy cảm bị lộ chiếm tỷ lệ lớn nhất là mã nguồn.

Theo dữ liệu từ hàng triệu người dùng DN trên toàn cầu, các nhà nghiên cứu nhận thấy rằng việc sử dụng ứng dụng AI tạo sinh đang tăng nhanh, tăng 22,5% trong 2 tháng qua, làm tăng nguy cơ người dùng để lộ dữ liệu nhạy cảm.

a1(3).jpg

ChatGPT thống trị thị trường AI tạo sinh

Các nhà nghiên cứu nhận thấy, những tổ chức có 10.000 người dùng trở lên sử dụng trung bình 5 ứng dụng AI mỗi ngày. ChatGPT có số lượng người dùng hoạt động hàng ngày nhiều hơn 8 lần so với bất kỳ ứng dụng AI tạo sinh nào khác. Với tốc độ tăng trưởng hiện tại, số lượng người dùng truy cập các ứng dụng AI dự kiến sẽ tăng gấp đôi trong vòng 7 tháng tới.

Trong 2 tháng qua, ứng dụng AI phát triển nhanh nhất là Google Bard, hiện có thêm 7,1% người dùng mỗi tuần, trong khi ChatGPT là 1,6%. Ở hiện tại, Google Bard tuy chưa bắt kịp ChatGPT trong cả năm qua nhưng ứng dụng AI tạo sinh dự kiến sẽ phát triển đáng kể với nhiều ứng dụng khác đang được phát triển.

ChatGPT dễ bị lộ mã nguồn nhất

Netskope phát hiện ra rằng mã nguồn được đăng lên ChatGPT nhiều hơn bất kỳ loại dữ liệu nhạy cảm nào khác với 158 sự cố trên 10.000 người dùng/tháng. Dữ liệu nhạy cảm khác được chia sẻ trong ChatGPT bao gồm tài liệu hoàn chỉnh trong đó có dữ liệu tài chính và chăm sóc sức khỏe, thông tin nhận dạng cá nhân cùng với tài sản trí tuệ không bao gồm mã nguồn và đáng quan tâm nhất là các mật khẩu và khóa thường được nhúng trong mã nguồn.

Ray Canzanese, giám đốc nghiên cứu mối đe dọa tại Netskope Threat Labs cho biết: “Việc một số người dùng tải mã nguồn cá nhân hoặc tài liệu chứa dữ liệu nhạy cảm lên các công cụ AI và được hứa hẹn sẽ giúp lập trình hoặc ghi lại là điều không thể tránh khỏi. Do đó, các tổ chức bắt buộc phải thiết lập những biện pháp kiểm soát xung quanh AI để ngăn chặn rò rỉ dữ liệu nhạy cảm".

"Mục tiêu cuối cùng là các biện pháp kiểm soát sẽ trao quyền cho người dùng để thu được những lợi ích từ AI, hợp lý hóa các hoạt động và nâng cao hiệu quả, đồng thời giảm thiểu rủi ro. Các biện pháp kiểm soát hiệu quả nhất mà chúng tôi thấy là sự kết hợp giữa giải pháp DLP (ngăn chặn mất dữ liệu) và hướng dẫn người dùng tương tác".

Áp dụng bảo mật cho các ứng dụng AI

Netskope Threat Labs hiện đang theo dõi các proxy ChatGPT với hơn 1.000 URL và các tên miền độc hại từ những kẻ tấn công đang tìm cách lợi dụng AI, bao gồm nhiều chiến dịch lừa đảo, các chiến dịch phát tán phần mềm độc hại cũng như các trang web spam và lừa đảo.

Chặn quyền truy cập vào nội dung liên quan đến AI và các ứng dụng AI là một giải pháp ngắn hạn để giảm thiểu rủi ro nhưng phải đạt được những lợi ích tiềm năng mà các ứng dụng AI mang lại để bổ sung cho sự đổi mới của công ty và năng suất lao động.

Dữ liệu cho thấy, trong các dịch vụ tài chính và chăm sóc sức khỏe - cả hai ngành được quản lý chặt chẽ - gần 1/5 tổ chức đã thực hiện lệnh cấm hoàn toàn việc sử dụng ChatGPT của nhân viên, trong khi trong lĩnh vực công nghệ chỉ có 1/20 tổ chức thực hiện.

James Robinson, phó giám đốc an toàn thông tin tại Netskope cho biết: “Là những nhà lãnh đạo bảo mật, chúng tôi không thể đơn giản quyết định cấm các ứng dụng mà không ảnh hưởng đến trải nghiệm và năng suất lao động. Các tổ chức nên tập trung vào việc nâng cao nhận thức cho lực lượng lao động và các chính sách dữ liệu để đáp ứng nhu cầu của nhân viên khi sử dụng các sản phẩm AI một cách hiệu quả".

Để các tổ chức có thể áp dụng an toàn các ứng dụng AI thì họ phải tập trung vào phương pháp xác định các ứng dụng được phép và triển khai những biện pháp kiểm soát nhằm trao quyền cho người dùng sử dụng chúng với tiềm năng tối đa của họ, đồng thời bảo vệ tổ chức khỏi những rủi ro. Cách tiếp cận như vậy nên bao gồm lọc tên miền, lọc URL và kiểm tra nội dung để bảo vệ khỏi các cuộc tấn công.

Các bước khác để bảo vệ dữ liệu và sử dụng an toàn các công cụ AI bao gồm: Chặn quyền truy cập vào các ứng dụng không phục vụ mọi mục đích kinh doanh hợp pháp hoặc gây rủi ro cho tổ chức; Đào tạo để nhắc nhở người dùng về chính sách của công ty xung quanh việc sử dụng các ứng dụng AI; Sử dụng các công nghệ chống thất thoát dữ liệu (DLP) hiện đại để phát hiện các bài đăng có chứa thông tin nhạy cảm./.

Hạnh Tâm