sicurezza

I rischi nascosti dell’IA in azienda: come prevenire le minacce



Indirizzo copiato

Sono svariate le app GenAI non verificate usate dai dipendenti e che espongono le aziende a gravi rischi di sicurezza. Visibilità, controllo e sicurezza dei dati sono cruciali per proteggere le informazioni sensibili e prevenire minacce e violazioni IT

Pubblicato il 19 nov 2024

Anand Oswal

SVP & GM of Network Security di Palo Alto Networks



shutterstock_486011884-1920×1080

Oggi sono disponibili sul mercato migliaia di strumenti di intelligenza artificiale generativa (GenAI) e ogni mese vengono lanciate decine di nuove applicazioni dedicate.

Probabilmente più della metà dei dipendenti la sta già utilizzando per migliorare la propria produttività e si prevede che l’adozione crescerà man mano che saranno disponibili altre applicazioni di AI per un numero maggiore di casi d’uso.


Il problema è che la maggior parte di queste applicazioni di GenAI di terze parti non è stata verificata o approvata per un utilizzo lavorativo, e questo espone le aziende a gravi rischi.

Applicazioni di GenAI non autorizzate: i possibili problemi di sicurezza IT

C’è un motivo per cui i team IT e InfoSec controllano e approvano le applicazioni di terze parti che entrano nell’ecosistema tecnologico della propria azienda: devono capire quali vengono utilizzate, se sono sicure e a quali dati aziendali sensibili, eventualmente, accedono. Inoltre, devono considerare (tra le tante cose) come lo sviluppatore dell’applicazione gestisca problemi di vulnerabilità e quali controlli abbia messo in atto per limitare o controllare l’accesso solo a ciò che è necessario ai dipendenti per svolgere il loro lavoro.
L’adozione di applicazioni di GenAI non autorizzate può portare a una vasta gamma di problemi di sicurezza IT, dalla fuga di dati al malware. Questo perché un’azienda non sa chi sta usando quali applicazioni, quali informazioni sensibili vengono inserite e cosa succede a queste informazioni una volta condivise. Inoltre, poiché non tutte le applicazioni sono sviluppate secondo standard di sicurezza enterprise, possono anche includere link dannosi e fungere da ingresso per gli attaccanti intenzionati a infiltrarsi nella rete, consentendo loro di accedere a sistemi e dati. Tutti questi problemi possono portare a violazioni della conformità normativa, esposizione di dati sensibili, furto di proprietà intellettuale, interruzione dell’operatività e perdite finanziarie. Se da un lato queste applicazioni offrono un enorme potenziale di produttività, dall’altro vi sono seri rischi e potenziali conseguenze associate alla loro adozione se non avviene in modo sicuro.

Esempi pratici di rischi per le aziende

Facciamo qualche esempio:

  • I team di marketing utilizzano un’applicazione non autorizzata che sfrutta l’intelligenza artificiale per generare immagini e video sorprendenti. Cosa succede se il team carica informazioni sensibili nell’applicazione e i dettagli del lancio di un prodotto riservato trapelano in anticipo? Non è certo il tipo di “viralità” che si stava cercando.
  • I project manager usano app per prendere appunti con l’intelligenza artificiale, trascrivere le riunioni e fornire riepiloghi utili. Ma cosa succede quando gli appunti acquisiti includono una discussione riservata sui risultati finanziari del trimestre prima dell’annuncio degli stessi?
  • Gli sviluppatori utilizzano copilot e servizi di ottimizzazione del codice per realizzare prodotti più velocemente. Ma cosa succede se il codice ottimizzato restituito da un’applicazione compromessa include script dannosi?

Questi sono solo alcuni dei modi in cui l’uso appropriato della GenAI si traduce in un aumento involontario dei rischi. Bloccare del tutto queste tecnologie può limitare la capacità di un’azienda di ottenere un vantaggio competitivo, quindi non può essere la soluzione.

Valutare come permettere l’uso della GenAI in modo sicuro

Le imprese possono – e devono – prendersi il tempo necessario per valutare come consentire ai propri dipendenti di utilizzare queste applicazioni in modo sicuro. Ecco alcune considerazioni:

  • Visibilità: non si può proteggere ciò che non si conosce. Una delle maggiori sfide che i team IT devono affrontare con le app non autorizzate è la difficoltà di rispondere tempestivamente agli incidenti di sicurezza, aumentando il potenziale di violazione. Ogni azienda deve monitorare l’uso di app di GenAI di terze parti e comprendere i rischi specifici associati a ogni strumento. Partendo dalla comprensione di quali strumenti vengono utilizzati, i team IT devono avere visibilità sui dati che entrano ed escono dai sistemi. Questa visibilità aiuterà anche a rilevare una violazione di sicurezza, in modo da poterla identificare e correggere rapidamente.
  • Controllo: i team IT devono essere in grado di decidere con cognizione di causa se bloccare, consentire o limitare l’accesso alle app di GenAI di terze parti, sia su base individuale che sfruttando controlli categorici o basati sul rischio. Ad esempio, si potrebbe voler bloccare l’accesso agli strumenti di ottimizzazione del codice per tutti i dipendenti, ma consentire agli sviluppatori di accedere al tool di terze parti che il team di sicurezza delle informazioni ha valutato e autorizzato per uso interno.
  • Sicurezza dei dati: i team stanno condividendo dati sensibili con le app? I team IT devono bloccare la fuoriuscita dei dati sensibili per proteggerli da uso improprio e furto. Questo è particolarmente importante se un’azienda è regolamentata o soggetta a leggi sulla sovranità dei dati. In pratica, significa monitorare i dati inviati alle app di GenAI e quindi sfruttare i controlli tecnici per garantire che i dati sensibili o protetti, come le informazioni di identificazione personale o la proprietà intellettuale, non vengano inviati a queste applicazioni.
  • Prevenzione delle minacce: sotto la superficie degli strumenti GenAI utilizzati può nascondersi un potenziale di exploit e vulnerabilità. Data l’incredibile velocità con cui molti di questi strumenti sono stati sviluppati e immessi sul mercato, spesso non si sa se il modello utilizzato sia stato costruito con modelli corrotti, addestrato su dati errati o dannosi o se sia soggetto a un’ampia gamma di vulnerabilità specifiche dell’AI. È una best practice consigliata per monitorare e controllare i dati che fluiscono dalle applicazioni all’azienda alla ricerca di attività pericolose o sospette.

I rischi nuovi e complessi che le aziende non devono sottovalutare

Se da un lato gli strumenti di AI offrono l’incredibile potenziale di massimizzare la produttività dei dipendenti e di consentire a un’azienda e di incrementare il proprio fatturato, migliorando al contempo i profitti, dall’altro nascondono rischi nuovi e complessi, mai visti prima.

Spetta ai responsabili aziendali e ai loro team IT mettere la forza lavoro nelle condizioni di utilizzare con fiducia gli strumenti di intelligenza artificiale, assicurando al contempo che siano protetti con consapevolezza, visibilità, controlli, sicurezza dei dati e prevenzione delle minacce. Una volta che i team di security sanno cosa viene utilizzato e in quale modo, possono prevenire le fughe di dati sensibili e proteggere dalle minacce che si nascondono nelle piattaforme di AI insicure o compromesse.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4