Connect with us

Cách AI Trở Thành Kênh Rò Rỉ Dữ Liệu Số Một

Trí tuệ nhân tạo

Cách AI Trở Thành Kênh Rò Rỉ Dữ Liệu Số Một

mm
Published
Updated

Các nhà lãnh đạo doanh nghiệp đã đầu tư hàng tỷ vào các công cụ AI để tăng tốc năng suất và đổi mới. Nhưng dữ liệu mới nhất cho thấy một rủi ro nghiêm trọng mà nhiều tổ chức không lường trước. Chính các nền tảng AI giúp nhân viên làm việc nhanh hơn đã trở thành kênh lớn nhất để dữ liệu nhạy cảm rời khỏi môi trường doanh nghiệp. Những phát hiện gần đây tiết lộ rằng 77% nhân viên dán dữ liệu vào các công cụ AI tạo sinh, và 40% tệp được tải lên các nền tảng này chứa thông tin nhận dạng cá nhân hoặc dữ liệu thẻ thanh toán. Điều này đang xảy ra ngay lúc này, với quy mô lớn, trên khắp các tổ chức tin rằng họ có các biện pháp kiểm soát bảo mật phù hợp. Nó cho thấy một sự ngắt kết nối cơ bản giữa cách các công ty nghĩ AI đang được sử dụng và điều gì thực sự xảy ra khi nhân viên tương tác với các công cụ này hàng ngày. Hiểu được sự thay đổi này là bước đầu tiên hướng tới việc xây dựng các chiến lược bảo mật phù hợp với thực tế mới.

Cách AI Trở Thành Vectơ Rò Rỉ Dữ Liệu Mới

Hai năm trước, AI tạo sinh hầu như không tồn tại trong quy trình làm việc của doanh nghiệp. Ngày nay, 45% tổng số nhân viên doanh nghiệp tích cực sử dụng các nền tảng AI, với 11% tổng hoạt động doanh nghiệp hiện diễn ra trên các công cụ này. Chỉ riêng ChatGPT đã đạt mức độ thâm nhập 43% nhân viên, một tỷ lệ mà các nền tảng truyền thông khác phải mất hàng thập kỷ để đạt được. Tốc độ áp dụng này đã tạo ra một khoảng trống bảo mật. Các hệ thống ngăn chặn mất dữ liệu truyền thống được xây dựng cho việc chuyển tệp, tệp đính kèm email và lưu lượng mạng. Chúng không bao giờ được thiết kế để giám sát những gì nhân viên nhập vào hộp lệnh hoặc dán vào giao diện trò chuyện. Điểm mù này đã trở thành lối thoát chính cho thông tin nhạy cảm. AI tạo sinh hiện chiếm 32% tổng luồng di chuyển dữ liệu từ tài khoản doanh nghiệp sang tài khoản cá nhân. Điều này biến nó thành kênh lớn nhất duy nhất cho việc rò rỉ dữ liệu, vượt qua việc chia sẻ tệp, email và mọi kênh khác mà các đội bảo mật đã dành nhiều năm để cố gắng bảo vệ. Vấn đề không chỉ là khối lượng mà còn là bản chất của sự rò rỉ. Khi ai đó tải một tài liệu lên máy chủ tệp, sẽ có một bản ghi. Khi họ dán dữ liệu khách hàng vào một lệnh AI, việc chuyển đó thường xảy ra bên ngoài bất kỳ hệ thống ghi nhật ký hoặc giám sát nào.

Vấn Đề Tài Khoản Cá Nhân

Vấn đề không phải là việc sử dụng công cụ AI mà là cách nhân viên truy cập các công cụ này. Các mô hình bảo mật doanh nghiệp giả định nhân viên sử dụng tài khoản doanh nghiệp với xác thực đăng nhập một lần, ghi nhật ký và giám sát. Dữ liệu cho thấy giả định này là sai, và khoảng 67% việc sử dụng AI diễn ra thông qua các tài khoản cá nhân không được quản lý. Đây là các địa chỉ Gmail, tài khoản Microsoft cá nhân hoặc đăng ký trực tiếp hoàn toàn bỏ qua hệ thống danh tính của công ty. Khi ai đó đăng nhập vào ChatGPT bằng email cá nhân của họ, công ty không có khả năng hiển thị về những câu hỏi họ đặt ra, dữ liệu họ chia sẻ hoặc thông tin nhạy cảm nào có thể xuất hiện trong phản hồi. Ngay cả khi nhân viên sử dụng tài khoản doanh nghiệp, những thông tin đăng nhập đó thường thiếu liên kết. Tám mươi ba phần trăm lượt đăng nhập ERP và 71% lượt đăng nhập CRM xảy ra mà không có đăng nhập một lần. Điều này có nghĩa là việc đăng nhập doanh nghiệp hầu như không cung cấp thêm bảo mật hoặc khả năng hiển thị nào so với tài khoản cá nhân. Tên người dùng có thể có tên miền công ty, nhưng việc bỏ qua xác thực cho phép các luồng dữ liệu vô hình tương tự.

Sao Chép và Dán: Rò Rỉ Dữ Liệu Vô Hình

Các chiến lược ngăn chặn mất dữ liệu truyền thống được xây dựng với trọng tâm vào hệ thống tệp. Chúng giám sát việc tải lên, tải xuống và tệp đính kèm. Nhưng dữ liệu cho thấy nguồn rò rỉ dữ liệu thực sự không phải là tệp. Đó là hành động sao chép và dán. Bảy mươi bảy phần trăm nhân viên dán dữ liệu vào các công cụ AI tạo sinh. Tám mươi hai phần trăm hoạt động này đến từ các tài khoản cá nhân không được quản lý. Trung bình, mỗi nhân viên thực hiện 15 lần dán mỗi ngày bằng tài khoản cá nhân của họ, và ít nhất bốn trong số đó chứa dữ liệu nhận dạng cá nhân nhạy cảm hoặc thông tin thẻ thanh toán. Điều này có nghĩa là thông tin nhạy cảm không còn chỉ di chuyển qua việc tải tệp lên. Nó cũng đang được đưa trực tiếp vào các lệnh, cửa sổ trò chuyện và trường văn bản. Những chuyển giao không có tệp này gần như vô hình đối với các giải pháp DLP truyền thống. Chúng xảy ra với tần suất cao, trên nhiều nền tảng và bên ngoài sự giám sát của doanh nghiệp. Kết quả là một dòng dữ liệu nhạy cảm liên tục rời khỏi tổ chức theo những cách khó phát hiện. Sao chép và dán đã trở thành kênh rò rỉ mới, và các công cụ AI là điểm đến số một.

Tệp Nhạy Cảm Ở Các Điểm Đến Không Được Phê Duyệt

Việc tải tệp lên vẫn là một phần trung tâm của quy trình làm việc doanh nghiệp. Nhưng các điểm đến đã thay đổi. Nhân viên không còn giới hạn việc tải lên vào bộ nhớ được phê duyệt hoặc email. Họ đang chuyển tệp vào các công cụ AI tạo sinh, ứng dụng tiêu dùng và các nền tảng SaaS ngầm. Dữ liệu cho thấy 40% tệp được tải lên các công cụ AI tạo sinh chứa dữ liệu cá nhân hoặc tài chính. Bốn mươi mốt phần trăm tệp được tải lên các nền tảng lưu trữ tệp chứa nội dung tương tự. Gần 4/10 trong số các lần tải lên này xảy ra thông qua tài khoản cá nhân. Điều này có nghĩa là dữ liệu nhạy cảm đang chảy vào các môi trường mà doanh nghiệp không có khả năng hiển thị và không có quyền kiểm soát. Một khi một tệp được tải lên Google Drive cá nhân, cuộc trò chuyện WhatsApp hoặc lệnh AI, về cơ bản nó đã ở bên ngoài cơ sở doanh nghiệp. Nó không thể được theo dõi, hạn chế hoặc xóa. Các điểm đến rất đa dạng. Các công cụ doanh nghiệp như EgnyteZendesk xuất hiện cùng với các nền tảng tiêu dùng như Canva, LinkedIn và WhatsApp. Sự pha trộn giữa hệ sinh thái doanh nghiệp và tiêu dùng này làm mờ ranh giới về nơi dữ liệu doanh nghiệp cư trú. Nó cũng cho thấy giới hạn của DLP truyền thống, vốn được thiết kế cho các kênh được phê duyệt và kiểm soát tập trung.

Điều Này Có Ý Nghĩa Gì Đối Với Bảo Mật Doanh Nghiệp

Chu vi bảo mật truyền thống đã sụp đổ. Trước đây có thể kiểm soát dữ liệu bằng cách quản lý mạng, bảo mật điểm cuối và giám sát các ứng dụng được phê duyệt. Mô hình đó giả định công việc diễn ra bên trong hệ thống doanh nghiệp và chỉ thỉnh thoảng sử dụng các nền tảng bên ngoài thông qua các kênh được kiểm soát. Thực tế là công việc giờ đây diễn ra trong trình duyệt, trên hàng chục ứng dụng, thông qua cả tài khoản doanh nghiệp và cá nhân, sử dụng các phương pháp không tạo ra dấu vết kiểm tra. Một nhân viên nghiên cứu vấn đề của khách hàng có thể tìm kiếm hệ thống nội bộ, dán phát hiện vào ChatGPT để tóm tắt, sao chép bản tóm tắt đó vào Slack để chia sẻ với đồng nghiệp và chuyển tiếp nó qua email cá nhân để xem xét sau. Mỗi bước đều liên quan đến dữ liệu nhạy cảm di chuyển qua các kênh mà các công cụ truyền thống không thể nhìn thấy. Trình duyệt đã trở thành nơi làm việc chính, nhưng các biện pháp kiểm soát bảo mật đã không theo kịp. Nhân viên dành cả ngày để di chuyển giữa các ứng dụng, và dữ liệu cho thấy họ ít phân biệt giữa công cụ doanh nghiệp và cá nhân. Họ sử dụng bất cứ thứ gì hiệu quả, bất cứ thứ gì thuận tiện, bất cứ thứ gì không yêu cầu chờ đợi sự chấp thuận của CNTT. Điều này tạo ra một môi trường nơi thông tin nhạy cảm liên tục chảy ra ngoài thông qua các kênh vô hình.

Tư Duy Lại Bảo Mật Doanh Nghiệp Cho Kỷ Nguyên AI

Giải pháp không phải là chặn các công cụ AI hoặc cấm hoàn toàn tài khoản cá nhân. Những cách tiếp cận này thất bại vì chúng chống lại cách nhân viên thực sự làm việc. Các công cụ tồn tại vì chúng giúp mọi người làm việc hiệu quả hơn. Tài khoản cá nhân gia tăng vì việc cung cấp của doanh nghiệp chậm và hạn chế. Bảo mật bỏ qua những thực tế này sẽ đơn giản là bị bỏ qua. Bảo vệ hiệu quả đòi hỏi khả năng hiển thị ở cấp độ trình duyệt, nơi công việc thực sự diễn ra. Điều này có nghĩa là giám sát không chỉ việc tải tệp lên mà còn cả các thao tác dán, gửi biểu mẫu, tương tác lệnh và mọi cách khác mà dữ liệu di chuyển giữa các hệ thống. Nó có nghĩa là thực thi các chính sách phân biệt giữa tài khoản doanh nghiệp và cá nhân, bất kể ai đó sử dụng ứng dụng nào. Các tổ chức cần mở rộng phạm vi ngăn chặn mất dữ liệu ra ngoài tệp để bao gồm cả việc chuyển giao không có tệp. Một lệnh gửi đến ChatGPT nên được xem xét kỹ lưỡng như một tệp đính kèm email. Một thao tác dán vào Slack nên kích hoạt các kiểm tra tương tự như việc tải lên Google Drive. Phương pháp chuyển giao không nên quyết định liệu bảo mật có được áp dụng hay không. Các biện pháp kiểm soát danh tính phải thực sự được thực thi. Chỉ cung cấp đăng nhập một lần là không đủ nếu nhân viên vẫn có thể truy cập ứng dụng kinh doanh thông qua tài khoản cá nhân. Xác thực liên kết cần phải là bắt buộc đối với bất kỳ ứng dụng nào xử lý dữ liệu nhạy cảm, không phải là tùy chọn. Việ

Related Topics:
mm

Dr. Tehseen Zia là Phó Giáo sư chính thức tại COMSATS University Islamabad, sở hữu bằng Tiến sĩ AI từ Vienna University of Technology, Áo. Chuyên sâu về Trí tuệ Nhân tạo, Học máy, Khoa học Dữ liệu và Thị giác Máy tính, ông đã có những đóng góp quan trọng với nhiều công bố trên các tạp chí khoa học uy tín. Dr. Tehseen cũng đã dẫn dắt nhiều dự án công nghiệp với vai trò Trưởng nhóm Nghiên cứu và từng là Cố vấn AI.