Connect with us

Leader di pensiero

Come le imprese dovrebbero affrontare l’eccesso di applicazioni di intelligenza artificiale?

mm
Published
Updated

Informatica non così personale

Per anni, lo sviluppo tecnologico è stato guidato dal desiderio di rendere l’informatica più accessibile. Dagli smartphone ai tablet, ai laptop e alla tecnologia indossabile, c’è una tendenza generale a rendere i computer e le loro capacità sempre più personali. Basta considerare la nomenclatura dei pilastri dell’industria: il “Personal Computer”, o PC; l'”i” Pod, Pad, Phone e oltre. Ognuno di questi dispositivi è progettato per agire come compagno personale, aiutando a semplificare l’esperienza digitale dell’utente e, per estensione, la loro vita.

Lo sviluppo dell’intelligenza artificiale (AI) – in particolare i grandi modelli linguistici (LLM) e le soluzioni agentiche – è diretto in gran parte nella stessa direzione. Come il PC e l’iPhone, gli strumenti di intelligenza artificiale come ChatGPT hanno reso attività di informatica come la ricerca, la modifica e il brainstorming più accessibili al pubblico in generale. Ma mentre questa accessibilità ha guidato un uso aumentato, ha anche aumentato il rischio.

Che si tratti di connettori avvelenati o indicizzazione non intenzionale dei motori di ricerca, le minacce all’uso privato dell’intelligenza artificiale stanno diventando sempre più difficili da proteggere. Aggiungete incertezze su chi sta utilizzando quali strumenti e le aziende si trovano di fronte a una tempesta perfetta di minacce in aumento e protezione inadeguata. Date le promesse degli strumenti di intelligenza artificiale e l’incertezza su come proteggerli, cosa può fare un’azienda tecnologicamente avanzata?

La crescita delle app di intelligenza artificiale non autorizzate

Con oltre 700 milioni di utenti giornalieri nel 2025, l’uso di ChatGPT è cresciuto più di 4 volte anno dopo anno. Anche così, solo cinque milioni di questi utenti sono clienti aziendali paganti. Ciò rende gli altri 695 milioni o giù di lì membri della loro base di utenti o utenti personali o aziendali non autorizzati. Questo numero sembra grande fino a quando non si ricorda che ChatGPT non è l’unica soluzione di intelligenza artificiale sul mercato. In realtà, è lontana da esso – l’esplosione contemporanea di intelligenza artificiale e avanzamenti dell’apprendimento automatico ha generato centinaia di migliaia di nuovi modelli e soluzioni, sia pubblici che privati.

Per le aziende, la crescita esponenziale delle soluzioni di intelligenza artificiale ha dato origine a una nuova dimensione del paesaggio delle minacce informatiche nota come “Shadow AI”. Come il fenomeno di “Shadow IT”, questo concetto si basa sull’uso da parte dei dipendenti di soluzioni di intelligenza artificiale senza il preventivo esame e l’approvazione esplicita della loro organizzazione. Ciò bypassa completamente tutte le supervisioni e la sicurezza IT, portando a scenari in cui i dipendenti potrebbero utilizzare soluzioni potenzialmente pericolose o non sicure per lavori sensibili.

L’uso di Shadow AI è sia pervasivo che in espansione. Un rapporto ha scoperto che oltre 320 app di intelligenza artificiale non autorizzate sono utilizzate in media per azienda. Ognuna di queste app non autorizzate e il loro uso da parte dei dipendenti espandono ulteriormente il paesaggio delle minacce.

I rischi intrinseci dell’eccesso di intelligenza artificiale

Le minacce associate all’eccesso di intelligenza artificiale sono multifacetiche e, sfortunatamente, continuamente in espansione. Alcune, come l’avvelenamento dei dati, l’iniezione di prompt, la manipolazione del modello e lo scraping dei dati, sono di conoscenza comune. Questi tentativi diretti di manipolazione e sfruttamento dell’intelligenza artificiale possono consentire agli attori malintenzionati di accedere a dati aziendali sensibili e sistemi interni. Date questo rischio, le aziende stanno iniziando a proteggersi attivamente contro tali attacchi.

Ma le aziende possono proteggersi solo dalle minacce che conoscono. Pensate a proteggere un castello medievale. Mura, torri di guardia, porte, fossati e altro aiutano a proteggere il castello contro nemici esterni e invasori. Ma cosa succede se il personale della cucina ha un passaggio segreto che bypassa le mura esterne? O un guardiano chiassoso viene sentito discutere dei cambi di turno al locale taverna? Ognuna di queste minacce sconosciute potrebbe aiutare i ladri a bypassare la sicurezza e violare le mura interne.

Shadow AI ha lo stesso effetto sulla sicurezza dei dati aziendali. Anche l’uso ben intenzionato di LLM non autorizzati e copiloti può significare disastro per la protezione dei dati sensibili, poiché qualsiasi soluzione non sicura può servire come porta d’ingresso per gli attori malintenzionati. L’uso di LLM comporta intrinsecamente un aumento del rischio di problemi come la retention dei dati, l’iniezione di prompt o la bias del modello, ognuno dei quali richiede le proprie misure di sicurezza rilevanti. Ciò aumenta i rischi di violazioni dei dati, violazioni della conformità e fallimenti operativi, tutti i quali sono spesso identificati dopo che il danno è già stato fatto.

Stabilire il controllo sulle soluzioni di intelligenza artificiale

Mentre l’uso dell’intelligenza artificiale continua a crescere sia a livello personale che aziendale, è cruciale che le organizzazioni stabiliscano il controllo su queste soluzioni prima che l’adozione cresca oltre il loro controllo. La protezione dell’intelligenza artificiale aziendale e la protezione contro i rischi di intelligenza artificiale non autorizzata coinvolgono:

  1. Ottenere una visibilità completa. Come menzionato, non è possibile proteggere i dati contro minacce di cui non si è a conoscenza. La sicurezza inizia con la supervisione di tutte le soluzioni di intelligenza artificiale che i dipendenti stanno utilizzando – sia autorizzate che non autorizzate. Ciò è più facile a dirsi che a farsi, ma una soluzione di broker di sicurezza di accesso cloud (CASB) può aiutare a stabilire una visibilità continua sull’uso delle applicazioni da parte dei dipendenti.
  2. Eseguire valutazioni dei rischi approfondite. I team dovrebbero condurre sforzi di TPRM per assicurarsi che tutte le soluzioni di intelligenza artificiale siano valutate per la loro sicurezza e potenziali rischi. Questi sforzi dovrebbero estendersi anche al livello di quarto fornitore, poiché anche le applicazioni autorizzate come CRM o piattaforme di produttività stanno iniziando a integrare capacità di LLM esterne nelle loro piattaforme. Queste soluzioni di quarto fornitore devono aderire agli stessi standard di sicurezza di qualsiasi applicazione internamente approvata.
  3. Stabilire framework di governance. Con questa supervisione e comprensione delle loro soluzioni, le organizzazioni possono sviluppare e distribuire framework di politica di governance dell’intelligenza artificiale coerenti in tutto il loro ecosistema di applicazioni. Come per l’accesso ai dati, queste politiche di governance possono aiutare a controllare i tipi di soluzioni di intelligenza artificiale che i dipendenti possono accedere, le informazioni che possono condividerne e la trasparenza del loro uso quotidiano.
  4. Automatizzare la rilevazione dei rischi. La crescita esponenziale dell’adozione dell’intelligenza artificiale rende la rilevazione e la risposta manuale dei rischi quasi impossibili. L’automatizzazione di questi processi in base alle politiche di governance e al comportamento dell’utente previsto può aiutare a identificare proattivamente le anomalie e limitare il loro impatto di sicurezza più ampio.
  5. Spiegare le aspettative dei dipendenti. La parte più importante dell’adozione e dell’uso sicuro dell’intelligenza artificiale sono i dipendenti. Fornire una formazione adeguata e stabilire aspettative chiare aiuterà a prevenire contemporaneamente l’uso rischioso dell’intelligenza artificiale e a far rispettare l’uso sicuro e protetto di soluzioni autorizzate.

Mantenere l’adozione sicura dell’intelligenza artificiale

Stabilendo questi tipi di misure di sicurezza proattive, le aziende ottengono una visione più olistica dei modi in cui stanno utilizzando le soluzioni di intelligenza artificiale – sia autorizzate che “in ombra”. Ciò ha un impatto immediato sulla sicurezza, aiutando i team a identificare i rischi esistenti e i vettori di minaccia e a prendere azioni per rimediarli.

Ma più importante, tuttavia, è che ciò prepara queste aziende per il successo a lungo termine dell’intelligenza artificiale. Creando le fondamenta tecniche per l’adozione sicura dell’intelligenza artificiale e una cultura di sicurezza tra gli utenti di intelligenza artificiale, questo approccio multifacético aiuta a creare un modello sostenibile per gli strumenti di intelligenza artificiale futuri. Abilitati con supporto tecnico e formazione adeguata, i dipendenti possono trarre vantaggio dall’intelligenza artificiale senza essere gravati dai suoi rischi intrinseci.

Le organizzazioni che apportano questi cambiamenti il prima possibile saranno meglio preparate ad affrontare il futuro delle soluzioni di intelligenza artificiale, qualunque cosa possa portare. Mettendo nel lavoro di base per creare una solida base – piuttosto che semplicemente affrettarsi a spuntare la casella dell’adozione dell’intelligenza artificiale – i team saranno nella migliore posizione possibile per il successo sostenibile dell’intelligenza artificiale.

Related Topics:
mm

Thyaga Vasudevan è un professionista del software ad alta energia che attualmente ricopre il ruolo di Executive Vice President, Product presso Skyhigh Security, dove guida Product Management, Design, Product Marketing e GTM Strategies. Con una grande esperienza, ha contribuito con successo alla creazione di prodotti sia nel software aziendale basato su SAAS (Oracle, Hightail - precedentemente YouSendIt, WebEx, Vitalect) che su Internet per i consumatori (Yahoo! Messenger - Voce e Video).

È dedicato al processo di identificazione dei problemi e dei casi d'uso sottostanti e si prende cura di guidare la specifica e lo sviluppo di prodotti e servizi ad alta tecnologia per affrontare queste sfide, compreso aiutare le organizzazioni a navigare nel delicato equilibrio tra rischi e opportunità. Thyaga ama educare e fare da mentore e ha avuto il privilegio di parlare a eventi prestigiosi come RSA, Trellix Xpand, MPOWER, AWS Re:invent, Microsoft Ignite, BoxWorks e Blackhat. Lui prospera all'intersezione di tecnologia e risoluzione dei problemi, con l'obiettivo di guidare l'innovazione che non solo affronta le sfide attuali, ma anche anticipa le esigenze future.