Netskope alerta sobre dados confidenciais vazados por aplicativos GenAI

A Netskope, empresa global de Secure Access Service Edge (Sase), publicou nesta quarta-feira (17/7) uma nova pesquisa mostrando que os dados regulamentados (dados que as organizações têm o dever legal de proteger) representam mais de um terço dos dados confidenciais que estão sendo compartilhados com aplicativos de IA generativa (GenAI) – representando um risco potencial para as empresas.

A nova pesquisa da Netskope Threat Labs revela que três quartos das empresas pesquisadas agora bloqueiam completamente pelo menos um aplicativo GenAI, o que reflete o desejo dos líderes de tecnologia empresarial de limitar o risco de exfiltração de dados confidenciais. No entanto, com menos da metade das organizações aplicando controles centrados em dados para impedir que informações confidenciais sejam compartilhadas em consultas de entrada, a maioria está atrasada na adoção das soluções avançadas de prevenção de perda de dados (DLP) necessárias para habilitar com segurança a GenAI.

Usando conjuntos de dados globais, os pesquisadores descobriram que 96% das empresas agora estão usando GenAI – um número que triplicou nos últimos 12 meses. Em média, as empresas agora usam quase 10 aplicativos GenAI, contra três no ano passado, com o 1% mais adotante agora usando uma média de 80 aplicativos, um aumento significativo em relação aos 14 anteriormente. Com o aumento do uso, as empresas experimentaram um aumento no compartilhamento de código-fonte proprietário dentro de aplicativos GenAI, respondendo por 46% de todas as violações documentadas da política de dados. Essas dinâmicas de mudança complicam a forma como as empresas controlam o risco, levando à necessidade de um esforço de DLP mais robusto.

Há sinais positivos de gerenciamento proativo de riscos na nuance de controles de segurança e perda de dados que as organizações estão aplicando: por exemplo, 65% das empresas agora implementam treinamento de usuário em tempo real para ajudar a orientar as interações do usuário com aplicativos GenAI. De acordo com a pesquisa, o coaching eficaz do usuário desempenhou um papel crucial na mitigação dos riscos de dados, levando 57% dos usuários a alterar suas ações após receberem alertas de coaching.

“As empresas devem reconhecer que as saídas da GenAI podem expor inadvertidamente informações confidenciais, propagar desinformação ou até mesmo introduzir conteúdo malicioso. Isso exige uma abordagem robusta de gerenciamento de riscos para proteger dados, reputação e continuidade de negócios”, disse James Robinson, diretor de Segurança da Informação da Netskope.

O Relatório de Nuvem e Ameaças da Netskope: Aplicativos de IA na Empresa também conclui que:

– O ChatGPT continua sendo o aplicativo mais popular, com mais de 80% das empresas usando-o.

– O Microsoft Copilot mostrou o crescimento mais dramático no uso desde seu lançamento em janeiro de 2024, com 57%.

– 19% das organizações impuseram uma proibição geral ao GitHub CoPilot.

Principais conclusões para as empresas

A Netskope recomenda que as empresas revisem e adaptem suas estruturas de risco especificamente para IA ou GenAI usando esforços como o NIST AI Risk Management Framework. As etapas táticas específicas para lidar com o risco do genAI incluem:

Conheça seu estado atual: comece avaliando seus usos existentes de IA e aprendizado de máquina, pipelines de dados e aplicativos GenAI. Identificar vulnerabilidades e lacunas nos controles de segurança.

Implemente os controles principais: estabeleça medidas de segurança fundamentais, como controles de acesso, mecanismos de autenticação e criptografia.

Planejar controles avançados: além do básico, desenvolva um roteiro para controles avançados de segurança. Considere a modelagem de ameaças, a detecção de anomalias, o monitoramento contínuo e a detecção comportamental para identificar movimentos de dados suspeitos em ambientes de nuvem para aplicativos genAI que se desviam dos padrões normais do usuário.

Revisão constante: avalie regularmente a eficácia de suas medidas de segurança. Adapte-os e refine-os com base em experiências do mundo real e ameaças emergentes.