O DeepSeek rapidamente capturou a atenção mundial, recentemente ultrapassando o ChatGPT como o aplicativo gratuito mais baixado na App Store da Apple.
Embora seu baixo custo, suas capacidades avançadas e a abordagem de código aberto estejam atraindo usuários, as organizações devem saber quais são as implicações para a segurança dos funcionários que utilizam o DeepSeek.
Preocupações críticas de segurança
Por uma razão válida, organizações e governos em todo o mundo estão se apressando para proibir o DeepSeek devido às crescentes preocupações de segurança. O Congresso Americano o proibiu. A Marinha dos EUA também. A Itália também bloqueou o DeepSeek (mas lembrando que supostamente baniram o ChatGPT também).
Vamos analisar o que causa tanta preocupação.
Processamento de dados na China
- O DeepSeek processa solicitações de usuários em servidores localizados na China, conforme sua política de privacidade
- No entanto, os desenvolvedores podem hospedar instâncias locais do DeepSeek em servidores que estão isolados da nave-mãe chinesa
- Todos os dados estão sujeitos às leis e regulamentos chineses de privacidade de dados
- As organizações devem considerar as implicações de conformidade com os requisitos regulatórios dos EUA
Riscos de Shadow AI
- Os funcionários podem baixar e usar o DeepSeek sem a aprovação da organização
- As proibições corporativas tradicionais sobre ferramentas de IA têm se mostrado difíceis de aplicar
- Informações confidenciais da empresa podem ser inadvertidamente compartilhadas em conversas casuais
Ao contrário do TikTok ou da Huawei, a natureza de código aberto apresenta desafios de segurança distintos. Além disso, devido ao seu baixo custo para treinamento e operação, os cibercriminosos podem usar o DeepSeek para lançar campanhas massivas de forma mais eficiente.
Estratégias de mitigação de riscos
O DeepSeek não será o último aplicativo de Shadow AI com o qual você terá que se preocupar. Então, que medidas você pode tomar para garantir que possa descobrir e impedir que os aplicativos de Shadow AI absorvam seus segredos corporativos?
Ações imediatas
1. Desenvolva políticas claras de IA
- Crie diretrizes claras sobre ferramentas de IA aprovadas
- Estabeleça protocolos para lidar com informações confidenciais
- Defina as consequências para o uso não autorizado de ferramentas de IA
2. Ofereça alternativas seguras
- Considere criar instâncias isoladas usando o código-fonte aberto do DeepSeek
- Avalie soluções de IA de nível empresarial com controles de segurança apropriados
- Implemente versões isoladas que não se conectam a servidores externos
3. Formação dos funcionários
- Sensibilização sobre os riscos à segurança dos dados
- Fornecendo alternativas claras às ferramentas de IA não autorizadas
- Explicando as implicações de compartilhar informações confidenciais com modelos de IA
Usando a Varonis para descobrir e bloquear o DeepSeek
- A Varonis pode ajudar você a descobrir e classificar dados confidenciais e implementar o princípio do menor privilégio para minimizar sua exposição potencial ao DeepSeek e a outras ferramentas de IA arriscadas
- O Varonis for Network pode ajudar a detectar o uso do DeepSeek com o monitoramento de DNS e proxy da web
- A funcionalidade SSPM da Varonis detecta e remove automaticamente aplicativos e plug-ins Shadow do DeepSeek que os usuários integraram aos seus aplicativos SaaS sancionados sem a aprovação da TI
- Mostraremos a você quais usuários instalaram os aplicativos do DeepSeek, quando fazem isso, quais permissões foram concedidas e quais ações foram realizadas
- A Varonis pode descobrir e classificar arquivos, código-fonte, e-mails e outros recursos relacionados ao DeepSeek para identificar desenvolvedores desonestos ou funcionários impulsivos que baixam e testam o código
Olhando para o futuro
Embora as capacidades do DeepSeek sejam impressionantes, as organizações devem ponderar cuidadosamente os benefícios em relação aos riscos de segurança. A natureza de código aberto do código do DeepSeek oferece tanto oportunidades quanto desafios:
Oportunidades:
- As organizações podem inspecionar os pesos do modelo e o código de treinamento
- Possibilidade de construir implementações seguras e isoladas
- Transparência em como o modelo opera
Desafios:
- Aumento da vulnerabilidade a ataques direcionados
- Potencial para uso malicioso
- Preocupações de conformidade com os regulamentos de privacidade de dados
Conclusão
Embora o DeepSeek represente um avanço tecnológico significativo, as organizações devem abordar o seu uso com cautela.
A combinação de requisitos chineses de soberania de dados, vulnerabilidades de código aberto e potencial para o uso de Shadow AI cria um desafio de segurança complexo que requer consideração cuidadosa e gestão proativa.
Este aviso de segurança com relação ao uso do DeepSeek será atualizado à medida que novas informações e as práticas recomendadas para o uso empresarial se tornarem disponíveis.