Impiego dell’IA generativa Analisi delle implicazioni per la sicurezza informatica degli strumenti di IA generativa

IA generativa e sicurezza informatica

È lecito dire che l’IA generativa ha attirato l’attenzione di ogni consiglio di amministrazione e leader aziendale del paese. Una volta una tecnologia di nicchia difficile da utilizzare e ancor meno da padroneggiare, le porte dell’IA generativa sono state spalancate grazie ad applicazioni come ChatGPT o DALL-E. Stiamo assistendo ora ad una diffusione massiccia dell’IA generativa in tutti i settori e gruppi di età, poiché i dipendenti trovano modi per sfruttare la tecnologia a loro vantaggio.

Un recente sondaggio ha indicato che il 29% dei partecipanti della Generazione Z, il 28% della Generazione X e il 27% dei Millennials utilizzano ora strumenti di IA generativa come parte del loro lavoro quotidiano. Nel 2022, l’adozione su larga scala dell’IA generativa era al 23%, e si prevede che questa cifra raddoppierà al 46% entro il 2025.

L’IA generativa è una tecnologia ancora emergente ma in rapida evoluzione che sfrutta modelli addestrati per generare contenuti originali in varie forme, dal testo scritto e immagini, fino a video, musica e persino codice software. Utilizzando modelli di linguaggio di grandi dimensioni (LLM) e enormi dataset, la tecnologia può creare istantaneamente contenuti unici che sono quasi indistinguibili dal lavoro umano e, in molti casi, più accurati e convincenti.

Tuttavia, mentre le imprese stanno sempre più utilizzando l’IA generativa per supportare le loro operazioni quotidiane e i dipendenti si sono adattati rapidamente, il ritmo dell’adozione e la mancanza di regolamentazione hanno sollevato significativi problemi di sicurezza informatica e conformità normativa.

• Mossa audace di Walmart dotare 50.000 dipendenti aziendali di un assistente AI generativo
• I principali pilastri dello sviluppo di app di chat
• I 4 migliori utilizzi dell’AI che probabilmente non conoscevi

Secondo un sondaggio della popolazione generale, più dell’80% delle persone è preoccupato per i rischi per la sicurezza derivanti da ChatGPT e l’IA generativa, e il 52% di coloro che hanno partecipato al sondaggio desidera che lo sviluppo dell’IA generativa sia interrotto in modo che le regolamentazioni possano essere aggiornate. Questo sentimento più ampio è stato espresso anche dalle stesse imprese, con il 65% dei dirigenti senior IT che non è disposto ad approvare un accesso agevolato agli strumenti di IA generativa a causa di preoccupazioni sulla sicurezza.

L’IA generativa è ancora un ignoto sconosciuto

Gli strumenti di IA generativa si nutrono di dati. I modelli, come quelli utilizzati da ChatGPT e DALL-E, vengono addestrati su dati esterni o liberamente disponibili su Internet, ma per ottenere il massimo da questi strumenti, gli utenti devono condividere dati molto specifici. Spesso, quando si utilizzano strumenti come ChatGPT, gli utenti condividono informazioni aziendali sensibili al fine di ottenere risultati accurati e completi. Questo crea molte incognite per le imprese. Il rischio di accesso non autorizzato o divulgazione involontaria di informazioni sensibili è “incorporato” quando si utilizzano strumenti di IA generativa liberamente disponibili.

Questo rischio di per sé non è necessariamente una cosa negativa. Il problema è che questi rischi devono ancora essere esplorati adeguatamente. Finora, non è stata effettuata alcuna vera analisi dell’impatto aziendale dell’uso di strumenti di IA generativa ampiamente disponibili, e i quadri legali e regolamentari globali sull’uso dell’IA generativa devono ancora raggiungere una forma di maturità.

La regolamentazione è ancora un lavoro in corso

I regolatori stanno già valutando gli strumenti di IA generativa in termini di privacy, sicurezza dei dati e integrità dei dati che producono. Tuttavia, come spesso accade con le tecnologie emergenti, l’apparato regolamentare per supportare e governare il loro utilizzo sta rimanendo indietro di parecchi passi. Mentre la tecnologia viene utilizzata da aziende e dipendenti in tutto il mondo, i quadri regolamentari sono ancora molto sulla carta.

Questo crea un rischio chiaro e presente per le imprese che, al momento, non viene preso così seriamente come dovrebbe. Gli esecutivi sono naturalmente interessati a come queste piattaforme introdurranno vantaggi aziendali materiali come opportunità di automazione e crescita, ma i responsabili della gestione del rischio si chiedono come questa tecnologia sarà regolamentata, quali potrebbero essere le implicazioni legali e come i dati aziendali potrebbero essere compromessi o esposti. Molti di questi strumenti sono liberamente disponibili per qualsiasi utente con un browser e una connessione Internet, quindi mentre aspettano che la regolamentazione si adegui, le imprese devono iniziare a pensare molto attentamente alle proprie “regole interne” sull’uso dell’IA generativa.

Il ruolo dei CISO nella gestione dell’IA generativa

Con i quadri regolamentari ancora carenti, i Chief Information Security Officer (CISO) devono assumersi un ruolo cruciale nella gestione dell’uso dell’IA generativa all’interno delle loro organizzazioni. Devono capire chi sta utilizzando la tecnologia e per quale scopo, come proteggere le informazioni aziendali quando i dipendenti interagiscono con gli strumenti di IA generativa, come gestire i rischi per la sicurezza della tecnologia sottostante e come bilanciare i compromessi sulla sicurezza con il valore che la tecnologia offre.

Questa non è una cosa facile. Dovrebbero essere effettuate valutazioni dettagliate dei rischi per determinare sia gli esiti negativi che positivi derivanti, prima, dalla messa in funzione della tecnologia in modo ufficiale, e seconda, dal consentire ai dipendenti di utilizzare strumenti liberamente disponibili senza supervisione. Data la natura di facile accesso delle applicazioni di IA generativa, i CISO dovranno pensare attentamente alla politica aziendale che riguarda il loro utilizzo. I dipendenti dovrebbero essere liberi di utilizzare strumenti come ChatGPT o DALL-E per facilitare il loro lavoro? Oppure l’accesso a questi strumenti dovrebbe essere limitato o moderato in qualche modo, con linee guida e quadri interni su come utilizzarli? Un problema ovvio è che anche se venissero create linee guida interne sull’utilizzo, date il ritmo con cui la tecnologia si sta evolvendo, potrebbero essere obsolete quando saranno finalizzate.

Un modo per affrontare questo problema potrebbe essere spostare l’attenzione dagli strumenti di intelligenza artificiale generativa stessa e invece focalizzarsi sulla classificazione e protezione dei dati. La classificazione dei dati è sempre stata un aspetto fondamentale per proteggere i dati da violazioni o perdite, e questo vale anche per questo caso d’uso particolare. Essa consiste nell’assegnare un livello di sensibilità ai dati, che determina come essi dovrebbero essere trattati. Dovrebbero essere crittografati? Dovrebbero essere bloccati per contenere il loro accesso? Dovrebbe essere notificato? Chi dovrebbe avere accesso ad essi e dove possono essere condivisi? Concentrandosi sul flusso dei dati, piuttosto che sullo strumento stesso, i CISO e gli ufficiali di sicurezza avranno molte maggiori possibilità di mitigare alcuni dei rischi menzionati.

Come tutte le tecnologie emergenti, l’intelligenza artificiale generativa è sia un beneficio che un rischio per le imprese. Mentre offre nuove capacità entusiasmanti come l’automazione e la creazione concettuale, introduce anche alcune sfide complesse per la sicurezza dei dati e la tutela della proprietà intellettuale. Mentre i quadri normativi e legali sono ancora in fase di definizione, le imprese devono assumersi la responsabilità di trovare un equilibrio tra opportunità e rischio, implementando i propri controlli di politica che riflettano la propria posizione complessiva sulla sicurezza. L’intelligenza artificiale generativa spingerà l’impresa avanti, ma dobbiamo fare attenzione a tenere una mano sul volante.