por Carlos Rodrigues, vice-presidente Latam da Varonis
O ChatGPT, bem como outras ferramentas de Inteligência Artificial generativas, tem se popularizado atraindo grande número de usuários. A plataforma atingiu 100 milhões de usuários ativos mensais em janeiro, apenas dois meses após o lançamento, tornando-se o aplicativo de consumo de crescimento mais rápido da história.
Recentemente, a OpenAI admitiu que um bug vazou dados de 1,2% dos usuários plus. Durante um período de nove horas, usuários poderiam acessar ou receber dados de outros assinantes: nome, sobrenome, e-mail, endereço de cobrança e os últimos quatro dígitos do cartão. Em um dos casos, esses dados só eram visíveis se os dois usuários estivessem conectados ao mesmo tempo. A empresa não divulgou o número total de contas que tiveram informações pessoais vazadas.
Além disso, o uso dessa tecnologia por hackers e pessoas mal-intencionadas, bem como o compartilhamento de informações confidenciais pode trazer grande risco para a segurança dos dados.
Funcionários e executivos podem estar compartilhando dados comerciais confidenciais e informações protegidas por privacidade para esses grandes modelos de linguagem (LLMs), levantando preocupações de que esses sistemas estejam incorporando tais dados em suas bases. Isso significa que, eventualmente, essas informações podem ser recuperadas em outras pesquisas e solicitações.
Por exemplo, um executivo recorta e cola o documento de estratégia da empresa para 2023 no ChatGPT e pede para criar uma apresentação em PowerPoint. Após essa troca de informações, se um terceiro perguntar “quais são as prioridades estratégicas da [nome da empresa] para este ano”, o chat poderá responder com base nas informações fornecidas pelo executivo.
Ou ainda, um médico insere o nome de seu paciente e sua condição médica e pede para redigir uma carta para a companhia de seguros do paciente. Uma terceira pessoa pode pedir um modelo de carta que acabem vindo com essas informações, ou até mesmo por meio de uma pergunta específica obter informações sobre o paciente.
Algumas empresas restringiram o uso do ChatGPT pelos trabalhadores, e outras emitiram avisos aos funcionários para tomarem cuidado ao usar serviços de IA generativas.
Mas os riscos vão além do compartilhamento de dados. Cibercriminosos podem se aproveitar da ferramenta para criar malwares e e-mails de phishing otimizados. Recentemente, pesquisadores descobriram que o ChatGPT pode ajudar no desenvolvimento de ransomwares. Por exemplo, um usuário com um conhecimento rudimentar de software malicioso pode usar a tecnologia para escrever um malware ou ransomware funcional. Algumas pesquisas mostram que os autores de malware também podem desenvolver softwares avançados, como um vírus polimórfico, que altera seu código para evitar a detecção.
Outro risco de segurança associado ao ChatGPT é que a tecnologia pode ser usada para gerar spam e e-mails de phishing. Os spammers podem usar o modelo GPT-3 para gerar e-mails convincentes que parecem ser de fontes legítimas. Esses e-mails podem ser usados para roubar informações.
Os riscos de segurança do ChatGPT também podem assumir a forma de golpes de representação. Para fazer isso, um cibercriminoso estuda o estilo de escrita de um funcionário. Esse funcionário geralmente é um executivo de alto escalão, ou o responsável pelas finanças de uma empresa. Depois que o cibercriminoso termina de aprender, ele usa o ChatGPT para redigir mensagens para um funcionário da mesma forma que a pessoa personificada faria. Por exemplo, um hacker (imitando um funcionário da organização) pode escrever para o contador para solicitar a transferência de uma quantia enorme para uma conta.
Identificando esses potenciais riscos de segurança, as organizações precisam estabelecer técnicas de mitigação desses riscos. É necessário o monitoramento da rede de forma contínua contra qualquer comportamento mal-intencionado, ou de compartilhamento de dados externamente. Modelos baseados em comportamento detectam qualquer padrão suspeito de acesso aos dados. Mais do que isso, já existem soluções que conseguem detectar, por exemplo, quando um funcionário está colando uma informação sensível em um browser da web.
Outro ponto necessário é a gestão correta de permissionamento das informações dentro das organizações. Isso não é necessariamente uma novidade, mas nem por isso é uma prática amplamente adotada. É muito comum encontrar funcionários com acesso a um volume de informações importantes na empresa – e que não têm qualquer relevância para a atividade que desempenham. No final das contas, não importa qual a nova tecnologia, “sacada”, ou “artimanha” que o criminoso use: a solução é simples, e começa com o cuidado com o uso e compartilhamento das informações dentro da empresa.