La explosión en el uso de herramientas de IA generativa basadas en modelos de lenguaje extenso (LLM) conducirá casi inevitablemente a múltiples incidentes importantes de violación de datos internos en los próximos 12 meses, según pronostican los investigadores de amenazas de Imperva, especialista en aplicaciones, API y seguridad de datos.
A medida que los chatbots con tecnología LLM (ChatGPT es el más frecuente y notable) se vuelven más poderosos, muchas organizaciones han tomado medidas bastante razonables sobre qué datos se pueden compartir con ellos, un problema explorado recientemente por Computer Weekly.
Sin embargo, según Terry Ray, vicepresidente sénior de comercialización de seguridad de datos y director de tecnología de campo de Imperva, una “abrumadora mayoría” de organizaciones todavía no tiene una estrategia de riesgo interno y, por lo tanto, permanece ciega al uso de estrategias generativas. IA por parte de usuarios que desean un poco de ayuda con tareas como escribir código o completar formularios.
“La gente no necesita tener intenciones maliciosas para causar una violación de datos”, dijo Ray. “La mayor parte del tiempo, solo intentan ser más eficientes en su trabajo. Pero si las empresas están ciegas ante los LLM que acceden a su código back-end o a los almacenes de datos confidenciales, es solo cuestión de tiempo antes de que les explote en la cara”.
Se cree que las amenazas internas son la razón subyacente de casi el 60 % de las filtraciones de datos, según los propios datos de Imperva, pero muchas de ellas todavía no son priorizadas adecuadamente por las organizaciones, ya que un número no insignificante de ellas son simplemente casos de error humano: un estudio reciente de la firma encontró que el 33% de las organizaciones no perciben a los internos como una amenaza significativa.
Ray dijo que tratar de restringir el uso de IA dentro de la organización ahora era en gran medida un caso de cerrar la puerta del establo después de que el caballo se hubiera escapado.
“Prohibir que los empleados usen IA generativa es inútil”, dijo Ray. “Hemos visto esto con muchas otras tecnologías: las personas inevitablemente pueden sortear tales restricciones y, por lo tanto, las prohibiciones simplemente crean un juego interminable de golpes para los equipos de seguridad, sin mantener la empresa significativamente más segura”.
“La gente no necesita tener intenciones maliciosas para causar una violación de datos. La mayoría de las veces, solo intentan ser más eficientes. Pero si las empresas ignoran que los LLM acceden a su código back-end o a sus almacenes de datos confidenciales, es solo cuestión de tiempo antes de que les explote en la cara”.
Terry Ray, Imperva
Sugirió que, en lugar de imponer prohibiciones o confiar en que los empleados autocontrolen su uso de herramientas como ChatGPT, los equipos de seguridad deberían enfocarse en los datos, en lugar del chatbot, y asegurarse de que saben las respuestas a preguntas como: ¿Quién accede a qué? ¿A qué están accediendo? ¿Cómo están accediendo? ¿Dónde están ubicados?
Hay tres pasos inmediatos a los que las organizaciones pueden dirigir su presupuesto de seguridad en este momento que pueden ayudar a aliviar el riesgo y ayudar a garantizar que la empresa no sea víctima de una violación interna de alto perfil inducida por IA.
En primer lugar, es importante que las organizaciones tomen medidas para descubrir y conservar la visibilidad de cada repositorio de datos en su entorno, lo que ayudará a garantizar que los datos importantes almacenados en las bases de datos ocultas no se pasen por alto ni se exploten, ya sea accidentalmente oa propósito.
En segundo lugar, todos estos activos de datos deben inventariarse y clasificarse según el tipo, la sensibilidad y el valor para el negocio. De esta manera, una organización puede comprender mejor el valor de sus datos, ya sea que estén o no en riesgo de compromiso, y qué controles adicionales de seguridad cibernética podrían implementarse razonablemente para mitigar los riesgos.
Por último, las organizaciones deberían buscar gastar en herramientas mejoradas de monitoreo y análisis de datos para detectar problemas como el comportamiento anómalo de los empleados, los datos que se mueven o extraen, o instancias repentinas de aumento de privilegios o la creación de cuentas nuevas y sospechosas, todos presagios de un incidente grave.
