Como evitar seu primeiro vazamento de dados pela IA

Durante seu discurso de abertura na RSA Conference 2024, Matt Radolec, vice-presidente de resposta a incidentes e operações em nuvem da Varonis, descreveu um cenário que está se tornando cada vez mais comum na era da IA generativa.

Uma organização procurou a Varonis com um mistério. De alguma forma, um concorrente havia obtido acesso a informações confidenciais de contas e estava usando esses dados para direcionar campanhas publicitárias aos clientes da organização.

A organização não tinha ideia de como os dados haviam sido obtidos; isso era um pesadelo de segurança que poderia comprometer a confiança dos clientes.

Em cooperação com a Varonis, a empresa identificou a origem do vazamento de dados. Um ex-funcionário usou um copiloto de IA generativa para acessar um banco de dados interno cheio de dados de contas. Depois, foram copiadas informações confidenciais, como gastos de clientes e uso de produtos, que foram levados para um concorrente.

Assista à fala completa de Matt Radolec na RSA Conference 2024 sobre como evitar vazamentos de dados por IA. 

Esse exemplo destaca um problema crescente: o amplo uso de copilotos de IA generativa inevitavelmente aumentará os vazamentos de dados.

De acordo com uma recente pesquisa da Gartner, os casos de uso de IA mais comuns incluem aplicativos baseados em IA generativa, como o Microsoft 365 Copilot e o Einstein Copilot da Salesforce. Embora essas ferramentas sejam uma excelente maneira de as organizações aumentarem a produtividade, elas também criam desafios significativos para a segurança dos dados.

Neste blog, exploraremos esses desafios e mostraremos como proteger seus dados na era da IA generativa.

Risco de dados da IA generativa 

Quase 99% das permissões não são utilizadas, e mais da metade dessas permissões são de alto risco. O acesso não utilizado e excessivamente permissivo é sempre um problema para a segurança de dados, mas a IA generativa aumenta ainda mais os riscos.

Quando um usuário faz uma pergunta a um copiloto de IA generativa, a ferramenta formula uma resposta em linguagem natural com base no conteúdo da Internet e de negócios por meio da tecnologia de gráficos.

Como os usuários geralmente têm acesso excessivamente permissivo aos dados, o copiloto pode facilmente revelar dados confidenciais, mesmo que o usuário não tenha percebido que tinha acesso a eles. Para começar, muitas organizações não sabem quais dados confidenciais têm, e o dimensionamento correto do acesso é quase impossível de fazer manualmente.

A IA generativa reduz o nível de vazamentos de dados.  

Os promotores das ameaças não precisam mais saber como hackear um sistema ou entender os meandros do seu ambiente. Eles podem simplesmente pedir a um copiloto informações confidenciais ou credenciais que lhes permitam mover-se lateralmente pelo ambiente.

Entre os desafios de segurança resultantes da habilitação de ferramentas de IA generativa estão:

• Os funcionários têm acesso a muitos dados 
• Os dados confidenciais muitas vezes não são rotulados ou são rotulados incorretamente 
• Ameaças internas podem encontrar e exfiltrar dados rapidamente usando linguagem natural 
• Os invasores podem descobrir segredos para escalar privilégios e movimentos laterais 
• O dimensionamento correto do acesso é impossível de fazer manualmente 
• A IA generativa pode criar novos dados confidenciais rapidamente

Esses desafios de segurança de dados não são novos, mas são altamente exploráveis, dada a velocidade e a facilidade com que a IA generativa pode revelar informações.

Como impedir que um primeiro vazamento de IA aconteça 

O primeiro passo para remover os riscos associados à IA generativa é garantir que sua casa esteja em ordem.

Não é uma boa ideia deixar copilotos à solta em sua organização se não tiver certeza de onde estão os dados confidenciais, quais são esses dados confidenciais, se não puder analisar a exposure e os riscos e não puder fechar as lacunas de segurança e corrigir as configurações incorretas com eficiência.

Quando tiver controle sobre a segurança dos dados em seu ambiente, e os processos corretos estiverem em vigor, estará pronto para implantar um copiloto. Nesse ponto, você deve se concentrar em três áreas: permissões, rótulos e atividade humana.

• Permissões: certifique-se de que as permissões de seus usuários estejam dimensionadas corretamente e que o acesso do copiloto reflita essas permissões.
• Rótulos: depois de entender que dados confidenciais possui e quais são eles, é possível aplicar rótulos a eles para aplicar o DLP.
• Atividade humana: é essencial monitorar como o copiloto é usado e analisar qualquer comportamento suspeito detectado. O monitoramento dos prompts e dos arquivos acessados é fundamental para evitar a exploração de copilotos.

A incorporação dessas três áreas de segurança de dados não é fácil e, em geral, não pode ser realizada apenas com esforço manual. Poucas organizações podem adotar com segurança os copilotos de IA generativa sem uma abordagem holística à segurança de dados e controles específicos para os próprios copilotos.

Evite vazamentos por IA com a Varonis. 

A Varonis tem se concentrado na segurança de dados há quase 20 anos, ajudando mais de 8 mil clientes em todo o mundo a proteger o que é mais importante. 

Aplicamos nossa profunda experiência para proteger as organizações que planejam implementar a IA generativa.
 
Se você está apenas começando sua jornada com a IA generativa, a melhor maneira de começar é com o nosso relatório de risco de dados gratuito.

Em menos de 24 horas, você terá uma visão em tempo real do risco de dados confidenciais para determinar se pode adotar com segurança um copiloto de IA generativa. A Varonis também é a primeira solução de segurança de dados do setor para o Microsoft 365 Copilot, com uma ampla gama de recursos de segurança de IA para outros copilotos, LLMs e ferramentas de IA generativa.

Para saber mais, conheça nossos recursos de segurança de IA.