Netskope alerta que uma em cada quatro organizações financeiras bloqueia ChatGPT

Um levantamento realizado pelo laboratório da Netskope aponta que o uso do ChatGPT é mais controlado no setor de serviços financeiros, no qual em média uma em cada quatro organizações já implementou controles.

Por outro lado, o uso dessa ferramenta de IA generativa também é menor neste setor, indicando que os controles em questão são basicamente preventivos, ou seja, o acesso dos usuários à plataforma foi bloqueado.

O segundo lugar fica com o setor de tecnologia, que traz um cenário bem diferente. Uma em cada cinco implementaram os controles, mas o uso do ChatGPT detectado em organizações deste setor é muito maior. “Embora seja curioso, a verdade é que as empresas de tecnologia estão aproveitando os benefícios da ferramenta com segurança devido aos tipos de controle que estão implementando”, diz Ray Canzanese, diretor do Netskope Threat Labs.

Neste levantamento, a equipe de pesquisas de ameaças da Netskope destacou quatro tipos de controles que as empresas implementaram para monitorar e controlar o uso do ChatGPT.

Políticas de alerta
Controles informativos que fornecem apenas a visibilidade de como os usuários dentro da empresa estão interagindo com o ChatGPT. Muitas vezes, eles são acoplados a políticas de prevenção contra perda de Dados (DLP) para fornecer visibilidade de Dados potencialmente confidenciais postados no ChatGPT. As políticas de alerta geralmente são usadas durante uma fase de aprendizado para explorar a eficácia e o impacto de um controle de bloqueio e geralmente são convertidas em políticas depois de terem sido ajustadas e testadas.

Políticas de coaching do usuário
Geralmente são associadas à DLP e podem ser usadas para notificar o usuário de que os dados postados no ChatGPT parecem ser de natureza confidencial. O usuário normalmente é lembrado das regras da empresa e questionado se deseja ou não continuar. Por exemplo, se a política da empresa não permite upload de código-fonte proprietário para o ChatGPT, mas o usuário estiver fazendo upload de algum código-fonte aberto, ele pode optar por continuar com o envio após a notificação. Para as políticas de treinamento de usuários do ChatGPT, os usuários clicam em prosseguir 57% das vezes.

Políticas de DLP
Permitem o acesso ao ChatGPT, mas controlam a postagem de Dados confidenciais em prompts. As políticas DLP são configuradas pela organização para serem acionadas em cada postagem no ChatGPT e inspecionar o conteúdo da postagem antes de permitir que o usuário prossiga. Os controles mais comuns se concentram em código-fonte proprietário, senhas e chaves, propriedade intelectual e Dados regulamentados.

Políticas de bloqueio
O tipo de política mais draconiano é o que bloqueia completamente o uso do ChatGPT. Os usuários não têm permissão para qualquer interação com a ferramenta: não podem fazer login, postar prompts ou, em alguns casos, sequer conseguem acessar a própria página de login.

Popularidade dos controles ChatGPT
O gráfico a seguir mostra qual porcentagem de organizações em cada um dos sete setores que implementou cada tipo de controle. Os serviços financeiros lideram em termos de políticas de bloqueio, no qual quase 17% das organizações bloqueiam completamente o ChatGPT. As políticas DLP que controlam exatamente o que pode ser postado no ChatGPT também são mais populares entre serviços financeiros e saúde, setores altamente regulamentados.

Estado, governo local (municipal) e instituições educacionais (SLED) apresentaram a menor taxa geral de controles ChatGPT e a menor adoção de políticas de treinamento de usuários, políticas DLP e políticas de bloqueio.

Já entre as empresas tech, os tipos de controles são geralmente menos rigorosos do que em outros setores. As organizações de tecnologia lideram o uso de alertas para fornecer apenas visibilidade e usam DLP e políticas de coaching de usuários em taxas semelhantes a outras verticais. Em resumo, isso significa que as empresas de tecnologia visam permitir que seus usuários acessem o ChatGPT, enquanto monitoram de perto o uso e implementam controles direcionados quando apropriado.