Blog La Sicurezza dei dati

DeepSeek Discovery: come individuare e fermare l'AI ombra 

Scopri le implicazioni relative alla sicurezza derivanti dall'uso di DeepSeek da parte dei dipendenti, come l'AI ombra, e in che modo la tua organizzazione può mitigare immediatamente i rischi.

Nota: questo blog è stato tradotto con l'aiuto dell'AI e corretto da un traduttore umano.

Rob Sobers

2 minuto di lettura
Ultimo aggiornamento 7 febbraio 2025
DeepSeek and how Shadow AI is involved

Contents

    DeepSeek ha rapidamente attirato l'attenzione del mondo, superando di recente ChatGPT come l'app gratuita più scaricata sull'App Store di Apple.

    Sebbene il suo costo ridotto, le funzionalità avanzate e l'approccio open source attirino gli utenti, le organizzazioni devono capire le implicazioni relative alla sicurezza che derivano dall'uso di DeepSeek da parte dei dipendenti. 

    Preoccupazioni critiche per la sicurezza 

    Per una buona ragione, le organizzazioni e i governi di tutto il mondo si stanno affrettando a vietare DeepSeek a causa delle crescenti preoccupazioni relative alla sicurezza. Il Congresso lo ha vietato. Anche la Marina degli Stati Uniti ha fatto lo stesso. Ma anche l'Italia ha bloccato DeepSeek, un tempo avevano vietato anche ChatGPT. 

    Analizziamo i motivi che destano preoccupazione.

    Elaborazione dei dati in Cina 

    • DeepSeek elabora i prompt degli utenti sui server situati in Cina secondo la loro politica sulla privacy 
    • Tuttavia, gli sviluppatori possono ospitare istanze locali di DeepSeek su server distaccati dalla nave madre cinese 
    • Tutti i dati sono soggetti alle leggi e ai regolamenti cinesi sulla privacy dei dati 
    • Le organizzazioni devono considerare le implicazioni che influiscono sulla conformità con i requisiti normativi degli Stati Uniti 

    Rischi di Shadow AI 

    • I dipendenti possono scaricare e utilizzare DeepSeek senza l'approvazione dell'organizzazione 
    • I tradizionali divieti aziendali sugli strumenti di intelligenza artificiale si sono dimostrati difficili da far rispettare 
    • Le informazioni sensibili dell'azienda potrebbero essere condivise inavvertitamente durante conversazioni informali 

    A differenza di TikTok o Huawei, la natura open-source presenta diverse sfide relative alla sicurezza. Inoltre, grazie al suo basso costo di addestramento e gestione, i criminali informatici possono utilizzare DeepSeek per lanciare campagne massicce in modo più efficiente.

    Strategie di mitigazione del rischio 

    DeepSeek non sarà l'ultima app AI ombra di cui dovrai preoccuparti. Quindi, quali misure puoi adottare per assicurarti di riuscire a scoprire e impedire alle app AI ombra di appropriarti dei tuoi segreti aziendali? 

    Azioni immediate 

    1. Sviluppare politiche chiare per l'AI

    • Creare linee guida chiare sugli strumenti di AI approvati 
    • Stabilire protocolli per la gestione delle informazioni sensibili 
    • Definire le conseguenze per l'uso non autorizzato di strumenti di intelligenza artificiale 

    2. Offrire alternative sicure

    • Prendere in considerazione la creazione di istanze isolate utilizzando il codice open source di DeepSeek 
    • Valutare soluzioni AI di livello aziendale con controlli di sicurezza adeguati 
    • Implementare versioni isolate che non si connettono a server esterni 

    3. Formazione dei dipendenti 

    • Aumentare la consapevolezza sui rischi per la sicurezza dei dati 
    • Fornire alternative chiare agli strumenti di AI non autorizzati 
    • Spiegare cosa implica la condivisione di informazioni sensibili con i modelli AI 

    Utilizzo di Varonis per scoprire e bloccare DeepSeek 

    • Varonis può aiutarti a scoprire e classificare i dati sensibili e a implementare il privilegio minimo per ridurre al minimo la potenziale esposizione a DeepSeek e ad altri strumenti AI rischiosi. 
    • Varonis for Network può aiutare rilevando l'uso di DeepSeek con il monitoraggio di DNS e proxy web. 
    • La funzionalità SSPM di Varonis rileva e rimuove automaticamente le app e i plugin ombra di DeepSeek che gli utenti hanno integrato nelle tue app SaaS autorizzate senza l'approvazione dell'IT
      Blog_DeepSeek_InCopyImage2_202501_V1
    • Ti mostreremo quali utenti hanno installato le app DeepSeek, quando, quali autorizzazioni sono state concesse e quali azioni sono state eseguite 
    • Varonis può scoprire e classificare file, codice sorgente, email, ecc. collegati a DeepSeek per individuare sviluppatori disonesti o dipendenti che intendono scaricare e testare il codice 

    Uno sguardo sul futuro 

    Sebbene le capacità di DeepSeek siano impressionanti, le organizzazioni devono soppesare attentamente i vantaggi rispetto ai rischi per la sicurezza. La natura open source del codice di DeepSeek offre sia opportunità che sfide: 

    Opportunità: 

    • Le organizzazioni possono ispezionare i pesi del modello e il codice di addestramento 
    • Possibilità di costruire implementazioni sicure e isolate 
    • Trasparenza nel funzionamento del modello 

    Sfide: 

    • Maggiore vulnerabilità agli attacchi mirati 
    • Potenziale uso dannoso 
    • Preoccupazioni di conformità con le normative sulla privacy dei dati 

    Conclusione 

    Sebbene DeepSeek rappresenti un significativo progresso tecnologico, le organizzazioni devono approcciare il suo utilizzo con cautela.

    La combinazione di requisiti di sovranità dei dati cinesi, vulnerabilità dell'open source e potenziale per l'utilizzo di AI ombra crea una sfida di sicurezza complessa che richiede un'attenta considerazione e una gestione proattiva. 

    Questo avviso di sicurezza sarà aggiornato man mano che saranno disponibili nuove informazioni sulle implicazioni di sicurezza di DeepSeek e sulle migliori pratiche per l'uso aziendale. 

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Rob Sobers
    Rob Sobers Rob Sobers è un ingegnere informatico specializzato in sicurezza web ed è coautore del libro ''Learn Ruby the Hard Way''.

    Prova Varonis gratis.

    Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.
    Iniziare Visualizza campione

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    che-cos'è-la-sicurezza-dei-dati:-definizione,-spiegazione-e-guida
    Che cos'è la sicurezza dei dati: definizione, spiegazione e guida
    che-cos'è-la-sicurezza-dei-dati:-definizione,-spiegazione-e-guida
    Nolan Necoechea
    1 ottobre 2024
    Scopri di più sulla sicurezza dei dati, perché è importante e come puoi proteggere la tua risorsa più preziosa e vulnerabile con Varonis.
    come-impedire-il-tuo-primo-data-breach-ai
    Come impedire il tuo primo data breach AI
    come-impedire-il-tuo-primo-data-breach-ai
    Nolan Necoechea
    27 giugno 2024
    Scopri come l'ampio uso dei copilot di AI generativa aumenterà inevitabilmente le violazioni dei dati, come ha spiegato Matt Radolec di Varonis in una sessione di apertura della RSA Conference 2024.
    elementi-essenziali-per-la-sicurezza-del-cloud:-il-caso-della-dspm-automatizzata
    Elementi essenziali per la sicurezza del cloud: il caso della DSPM automatizzata
    elementi-essenziali-per-la-sicurezza-del-cloud:-il-caso-della-dspm-automatizzata
    Nolan Necoechea
    12 luglio 2024
    La gestione della postura di sicurezza dei dati (DSPM, data security posture management) è emersa come standard per proteggere i dati sensibili nel cloud e in altri ambienti. Tuttavia, senza automazione, la DSPM non ha alcuna possibilità di riuscita. L'automazione è fondamentale per superare le sfide della sicurezza dei dati nel cloud.
    integra-informazioni-incentrate-sui-dati-nei-tuoi-flussi-di-lavoro-di-sicurezza-utilizzando-i-webhook
    Integra informazioni incentrate sui dati nei tuoi flussi di lavoro di sicurezza utilizzando i webhook
    integra-informazioni-incentrate-sui-dati-nei-tuoi-flussi-di-lavoro-di-sicurezza-utilizzando-i-webhook
    Nathan Coppinger
    16 agosto 2024
    Usa i webhook per integrare facilmente le informazioni esclusive e incentrate sui dati di Varonis nel suo stack di sicurezza per consolidare il monitoraggio e migliorare i flussi di lavoro di sicurezza.