Connect with us

Làm thế nào AI đã trở thành kênh số 1 để lấy cắp dữ liệu

Trí tuệ nhân tạo

Làm thế nào AI đã trở thành kênh số 1 để lấy cắp dữ liệu

mm
Published
Updated

Lãnh đạo doanh nghiệp đã đầu tư hàng tỷ vào các công cụ AI để tăng tốc độ sản xuất và đổi mới. Nhưng dữ liệu mới nhất đã暴 lộ một rủi ro nghiêm trọng mà nhiều tổ chức không ngờ tới. Các nền tảng AI cùng giúp nhân viên làm việc nhanh hơn đã trở thành kênh lớn nhất cho dữ liệu nhạy cảm, rời khỏi môi trường doanh nghiệp. Các phát hiện gần đây cho thấy 77% nhân viên dán dữ liệu vào các công cụ AI tạo sinh, và 40% tệp được tải lên các nền tảng này chứa thông tin nhận dạng cá nhân hoặc dữ liệu thẻ thanh toán. Điều này đang xảy ra ngay bây giờ, với quy mô lớn, trên các tổ chức tin rằng họ đã có các biện pháp bảo mật phù hợp. Điều này cho thấy sự mất kết nối cơ bản giữa cách các công ty nghĩ AI được sử dụng và những gì thực sự xảy ra khi nhân viên tương tác với các công cụ này hàng ngày. Việc hiểu được sự thay đổi này là bước đầu tiên để xây dựng các chiến lược bảo mật phù hợp với thực tế mới.

Làm thế nào AI trở thành Vector Rò rỉ Dữ liệu Mới

Hai năm trước, AI tạo sinh hầu như không tồn tại trong các quy trình công việc của doanh nghiệp. Ngày nay, 45% tất cả nhân viên doanh nghiệp đang sử dụng các nền tảng AI, với 11% tất cả hoạt động doanh nghiệp hiện đang diễn ra trên các công cụ này. ChatGPT alone đã đạt được 43% thâm nhập nhân viên, một tốc độ mà các nền tảng truyền thông khác mất nhiều thập kỷ để đạt được.

Tốc độ áp dụng này đã tạo ra một khoảng trống bảo mật. Các hệ thống phòng chống mất dữ liệu truyền thống được xây dựng cho việc chuyển tệp, tệp đính kèm email và lưu lượng mạng. Chúng không được thiết kế để theo dõi những gì nhân viên nhập vào hộp nhắc hoặc dán vào giao diện trò chuyện. Điểm mù này đã trở thành con đường thoát chính cho thông tin nhạy cảm.

AI tạo sinh hiện chiếm 32% tất cả chuyển động dữ liệu từ tài khoản doanh nghiệp sang tài khoản cá nhân. Điều này làm cho nó trở thành kênh lớn nhất cho lấy cắp dữ liệu, vượt qua chia sẻ tệp, email và mọi kênh khác mà các đội bảo mật đã dành nhiều năm để bảo mật. Vấn đề không chỉ là khối lượng mà còn là bản chất của sự rò rỉ. Khi ai đó tải một tài liệu lên máy chủ tệp, sẽ có một bản ghi. Khi họ dán dữ liệu khách hàng vào một lời nhắc AI, việc chuyển này thường diễn ra ngoài mọi hệ thống ghi nhật ký hoặc giám sát.

Vấn đề Tài khoản Cá nhân

Vấn đề không phải là việc sử dụng công cụ AI mà là cách nhân viên truy cập vào các công cụ này. Mô hình bảo mật doanh nghiệp giả định rằng nhân viên sử dụng tài khoản doanh nghiệp với xác thực đơn dấu, ghi nhật ký và giám sát. Dữ liệu cho thấy rằng giả định này là sai, và khoảng 67% việc sử dụng AI diễn ra thông qua tài khoản cá nhân không được quản lý. Đây là địa chỉ Gmail, tài khoản Microsoft cá nhân hoặc đăng ký trực tiếp bỏ qua hệ thống danh tính doanh nghiệp hoàn toàn. Khi ai đó đăng nhập vào ChatGPT bằng email cá nhân, công ty không có khả năng xem những gì họ hỏi, những gì họ chia sẻ hoặc thông tin nhạy cảm có thể xuất hiện trong phản hồi.

Ngay cả khi nhân viên sử dụng tài khoản doanh nghiệp, các thông tin đăng nhập thường thiếu liên bang. 83% đăng nhập ERP và 71% đăng nhập CRM diễn ra mà không có đăng nhập đơn dấu. Điều này có nghĩa là đăng nhập doanh nghiệp cung cấp rất ít bảo mật hoặc khả năng hiển thị hơn so với tài khoản cá nhân. Tên người dùng có thể có tên miền công ty, nhưng việc xác thực bỏ qua cho phép dòng chảy dữ liệu vô hình tương tự.

Sao chép và Dán: Rò rỉ Dữ liệu Vô hình

Các chiến lược phòng chống mất dữ liệu truyền thống được xây dựng với trọng tâm vào hệ thống tệp. Chúng theo dõi việc tải lên, tải xuống và tệp đính kèm. Nhưng dữ liệu cho thấy rằng nguồn gốc thực sự của sự rò rỉ dữ liệu không phải là tệp. Đó là việc sao chép và dán. 77% nhân viên dán dữ liệu vào các công cụ AI tạo sinh. 82% hoạt động này đến từ tài khoản cá nhân không được quản lý. Trung bình, mỗi nhân viên thực hiện 15 lần dán mỗi ngày bằng tài khoản cá nhân, và ít nhất bốn trong số đó chứa dữ liệu nhận dạng cá nhân hoặc thông tin thẻ thanh toán.

Điều này có nghĩa là thông tin nhạy cảm không chỉ di chuyển thông qua việc tải tệp lên. Nó cũng được tiêm trực tiếp vào lời nhắc, cửa sổ trò chuyện và trường văn bản. Các chuyển giao không có tệp này gần như vô hình đối với các giải pháp DLP truyền thống. Chúng xảy ra với tần suất cao, trên nhiều nền tảng và ngoài tầm nhìn của doanh nghiệp.

Kết quả là một dòng chảy liên tục của dữ liệu nhạy cảm rời khỏi tổ chức theo những cách khó phát hiện. Sao chép và dán đã trở thành kênh lấy cắp mới, và các công cụ AI là điểm đến số một.

Tệp Nhạy cảm trong Các Địa điểm Không được Ủy quyền

Việc tải tệp lên vẫn là một phần trung tâm của quy trình công việc doanh nghiệp. Nhưng các đích đến đã thay đổi. Nhân viên không còn giới hạn việc tải lên trong lưu trữ được ủy quyền hoặc email. Họ đang di chuyển tệp vào các công cụ AI tạo sinh, ứng dụng tiêu dùng và nền tảng SaaS mờ ám.

Dữ liệu cho thấy 40% tệp được tải lên vào các công cụ AI tạo sinh chứa dữ liệu cá nhân hoặc tài chính. 41% tệp được tải lên vào các nền tảng lưu trữ tệp chứa cùng loại dữ liệu. Gần 4 trong số 10 lần tải lên này diễn ra thông qua tài khoản cá nhân.

Điều này có nghĩa là dữ liệu nhạy cảm đang chảy vào các môi trường mà doanh nghiệp không có khả năng hiển thị và không có quyền kiểm soát. Khi một tệp được tải lên vào một tài khoản Google Drive cá nhân, trò chuyện WhatsApp hoặc lời nhắc AI, nó hiệu quả ngoài khuôn viên doanh nghiệp. Nó không thể được theo dõi, hạn chế hoặc xóa.

Các đích đến là đa dạng. Các công cụ doanh nghiệp như EgnyteZendesk xuất hiện cùng với các nền tảng tiêu dùng như Canva, LinkedIn và WhatsApp. Sự kết hợp này giữa hệ sinh thái doanh nghiệp và tiêu dùng làm mờ ranh giới về nơi dữ liệu doanh nghiệp cư trú. Nó cũng暴 lộ các hạn chế của DLP truyền thống, vốn được thiết kế cho các kênh được ủy quyền và kiểm soát tập trung.

Điều này có nghĩa gì cho Bảo mật Doanh nghiệp

Biên giới bảo mật truyền thống đã sụp đổ. Trước đây, có thể kiểm soát dữ liệu bằng cách quản lý mạng, bảo mật điểm cuối và theo dõi các ứng dụng được ủy quyền. Mô hình này giả định rằng công việc diễn ra trong hệ thống doanh nghiệp và chỉ偶爾 sử dụng các nền tảng bên ngoài thông qua các kênh được kiểm soát.

Thực tế là công việc hiện diễn ra trong trình duyệt, trên hàng chục ứng dụng, thông qua cả tài khoản doanh nghiệp và cá nhân, bằng các phương pháp tạo ra không có dấu vết kiểm toán. Một nhân viên nghiên cứu vấn đề của khách hàng có thể tìm kiếm trong hệ thống nội bộ, dán kết quả vào ChatGPT để tóm tắt, sao chép tóm tắt đó vào Slack để chia sẻ với đồng nghiệp và chuyển tiếp nó qua email cá nhân để xem lại sau. Mỗi bước đều liên quan đến việc di chuyển dữ liệu nhạy cảm thông qua các kênh mà các công cụ truyền thống không thể thấy.

Trình duyệt đã trở thành nơi làm việc chính, nhưng các biện pháp bảo mật chưa theo kịp. Nhân viên dành cả ngày để di chuyển giữa các ứng dụng, và dữ liệu cho thấy họ không phân biệt nhiều giữa các công cụ doanh nghiệp và cá nhân. Họ sử dụng bất cứ thứ gì hiệu quả, bất cứ thứ gì tiện lợi, bất cứ thứ gì không yêu cầu chờ đợi sự phê duyệt của bộ phận CNTT. Điều này tạo ra một môi trường mà thông tin nhạy cảm liên tục chảy ra ngoài thông qua các kênh vô hình.

Tái đánh giá Bảo mật Doanh nghiệp cho Kỷ nguyên AI

Giải pháp không phải là chặn các công cụ AI hoặc cấm sử dụng tài khoản cá nhân hoàn toàn. Những cách tiếp cận này thất bại vì chúng chống lại cách nhân viên thực sự làm việc. Các công cụ này tồn tại vì chúng làm cho mọi người trở nên năng suất hơn. Các tài khoản cá nhân lan rộng vì việc cấp phép doanh nghiệp chậm và hạn chế. Bảo mật mà bỏ qua những thực tế này sẽ đơn giản bị bỏ qua.

Bảo vệ hiệu quả đòi hỏi phải có khả năng hiển thị ở mức trình duyệt, nơi công việc thực sự diễn ra. Điều này có nghĩa là theo dõi không chỉ việc tải tệp lên mà còn cả các hoạt động dán, gửi biểu mẫu, tương tác lời nhắc và mọi cách khác mà dữ liệu di chuyển giữa các hệ thống. Điều này có nghĩa là thực thi các chính sách phân biệt giữa tài khoản doanh nghiệp và cá nhân, bất kể ứng dụng nào mà ai đó sử dụng.

Các tổ chức cần phải mở rộng phòng chống mất dữ liệu ngoài tệp để bao gồm cả việc chuyển giao không có tệp. Một lời nhắc được gửi đến ChatGPT nên nhận được sự kiểm tra giống như tệp đính kèm email. Một hoạt động dán vào Slack nên kích hoạt các kiểm tra giống như tải lên Google Drive. Phương pháp chuyển giao không nên quyết định liệu bảo mật có được áp dụng hay không.

Các biện pháp kiểm soát danh tính phải được thực thi thực sự. Không đủ để cung cấp đăng nhập đơn dấu nếu nhân viên vẫn có thể truy cập vào các ứng dụng kinh doanh thông qua tài khoản cá nhân. Xác thực liên bang cần phải là bắt buộc cho bất kỳ ứng dụng nào xử lý dữ liệu nhạy cảm, không phải là tùy chọn. Các đăng nhập doanh nghiệp không liên bang nên được coi là rủi ro bảo mật mà chúng thực sự là.

Kết luận

AI đã trở thành loại phần mềm doanh nghiệp phát triển nhanh nhất. Nó cũng đã trở thành kênh số một cho việc lấy cắp dữ liệu. 77% nhân viên dán dữ liệu vào các công cụ AI. 40% tệp tải lên chứa thông tin nhạy cảm. Hầu hết hoạt động này diễn ra thông qua tài khoản không được quản lý. Biên giới bảo mật cũ không còn tồn tại. Hầu hết công việc diễn ra trong trình duyệt, và thậm chí các hành động đơn giản như dán văn bản cũng có thể dẫn đến vi phạm. Các công ty không cập nhật chiến lược bảo mật của họ cho thực tế mới này đã mất kiểm soát dữ liệu quý giá của mình.

mm

Tiến sĩ Tehseen Zia là Giáo sư Liên kết có thời hạn tại Đại học COMSATS Islamabad, nắm giữ bằng Tiến sĩ về Trí tuệ Nhân tạo từ Đại học Công nghệ Vienna, Áo. Chuyên về Trí tuệ Nhân tạo, Học máy, Khoa học Dữ liệu và Thị giác Máy tính, ông đã có những đóng góp đáng kể với các ấn phẩm trên các tạp chí khoa học uy tín. Tiến sĩ Tehseen cũng đã dẫn dắt các dự án công nghiệp khác nhau với tư cách là Điều tra viên Chính và từng là Tư vấn viên Trí tuệ Nhân tạo.