Ao usar o ChatGPT, usuários podem inadvertidamente passar dados confidenciais constituindo uma séria ameaça à segurança física e cibernética das empresas. A CLM listou os principais pontos de atenção ao se usar essas ferramentas. E, juntamente com a Skyhigh, descreveu as melhores práticas e tecnologias, como CASB e DLP, para que não haja a exposição de informações críticas.
Como se sabe, apps de Inteligência Artificial Generativa, como o ChatGPT, de fato, melhoram a produtividade dos negócios, facilitam inúmeras tarefas, aprimoram serviços e simplificam operações. Seus recursos geram conteúdo, traduzem textos, processam grandes quantidades de dados, criam planos financeiros rapidamente, depuram e escrevem códigos de programas etc.
No entanto, Bruno Okubo, Gerente de Produtos Skyhigh na CLM, indaga: será que aproveitar as inúmeras facilidades desses aplicativos compensa os riscos significativos de exposição de dados confidenciais, sejam de empresas ou de pessoas? “Mesmo com as inovações e progressos que a OpenIA incorporou ao ChatGPT, com o novo algoritmo GPT-4, a nova versão sofre com os mesmos problemas que atormentaram os usuários da versão anterior, especialmente quanto à segurança das informações”, adverte Okubo.
Para não aumentar ainda mais o risco de violação de dados corporativos e consequentemente a não conformidade à LGPD, por exemplo, a CLM lista alguns exemplos de como dados confidenciais podem ser expostos no ChatGPT e em outros aplicativos de IA baseados em nuvem:
• O texto com PII (personally identifiable information ou informações de identificação pessoal) pode ser copiado e colado no ChatGPT para gerar ideias de e-mail, respostas a consultas de clientes, cartas personalizadas, verificação de análise de sentimento
• Informações de saúde digitadas no chatbot para elaborar planos de tratamento individualizados, incluindo imagens médicas, como tomografia computadorizada e ressonância magnética, podem ser processadas e aprimoradas graças à IA.
• O código-fonte proprietário pode ser carregado por desenvolvedores de software para depuração, conclusão de código, legibilidade e melhorias de desempenho.
• Arquivos contendo segredos da empresa, como rascunhos de relatórios de ganhos, documentos de fusões e aquisições (M&A), anúncios de pré-lançamentos e outros dados confidenciais podem ser carregados para verificação de gramática e escrita.
• Informações financeiras como transações corporativas, receitas operacionais não divulgadas, números de cartão de crédito, classificações de crédito de clientes, extratos e históricos de pagamento podem ser incluídos no ChatGPT para fazer o planejamento financeiro, processamento de documentos, integração de clientes, síntese de dados, conformidade, detecção de fraude etc.
Fato é que, depois de inserir essas informações, o risco de violação de dados é significativo. “As empresas precisam adotar medidas de prevenção com muita seriedade para proteger seus dados confidenciais, especialmente se considerarmos as modernas ferramentas habilitadas para nuvem”, explica o especialista.
A CLM e a Skyhigh elaboraram uma relação de providências para evitar vazamentos:
• Monitorar o uso e os excessos na utilização de aplicativos e limitar a exposição de informações confidenciais por meio deles, além de proteger esses documentos de perdas acidentais, vazamentos e roubo
• É essencial garantir a visibilidade de tudo que acontece na rede corporativa, com a adoção de ferramentas automatizadas que monitoram continuamente quais aplicativos (como ChatGPT) os usuários corporativos tentam acessar, como, quando, de onde, com que frequência etc.
“A única maneira de uma organização ter a mais ampla visibilidade de sua rede e introduzir medidas para controlar o uso e o acesso a esses milhares de novos aplicativos é adotar tecnologias de segurança que protejam automaticamente dados confidenciais, como o CASB – Cloud Access Security Broker,” assinala Okubo.
• É essencial entender os diferentes níveis de risco que cada aplicativo representa para a organização e ter capacidade de definir granularmente as políticas de controle de acesso em tempo real com base em categorizações e condições de segurança que podem mudar ao longo do tempo.
• Embora os aplicativos mais explicitamente maliciosos devam ser bloqueados, quando se trata de controle de acesso, muitas vezes a responsabilidade do uso de aplicativos como o ChatGPT deve ser atribuída aos usuários. A empresa, então, tolera e não necessariamente interrompe atividades que possam fazer sentido para um subconjunto de grupos de negócio grupos ou para a maioria deles.
• Adotar políticas de controle de acesso que incluam fluxos de trabalho de treinamento em tempo real, acionados toda vez que os usuários abrem o ChatGPT, como pop-ups de aviso personalizáveis que oferecem orientação sobre o uso responsável do aplicativo, o risco potencial associado e uma solicitação de reconhecimento ou justificativa.
• Gerenciar a movimentação não intencional ou não aprovada de dados confidenciais entre instâncias de aplicativos em nuvem e no contexto de risco, tanto do aplicativo como do usuário.
• Embora o acesso ao ChatGPT possa ser concedido, é fundamental limitar o upload e a postagem de dados altamente confidenciais por meio do ChatGPT e outros vetores de exposição de dados potencialmente arriscados na nuvem.
A Skyhigh explica que a limitação de uploads e de postagens de dados confidenciais por meio do ChatGPT só podem ser feitas por meio de técnicas modernas de prevenção de perda de dados (DLP – data loss prevention). alimentadas por modelos de ML e AI, e que sejam capazes de identificar automaticamente fluxos de dados confidenciais e categorizar postagens com o mais alto nível de precisão.
• Conscientizar os colaboradores sobre aplicativos e atividades consideradas arriscadas. Isso pode ser feito principalmente por meio de alertas em tempo real e fluxos de trabalho de treinamento automatizados, envolvendo o usuário nas decisões de acesso após o reconhecimento do risco.
“Seres humanos cometem erros. Assim, os usuários podem colocar dados confidenciais em risco, muitas vezes, sem perceber. A precisão das ferramentas DLP, fornecidas na nuvem, garantem que o sistema apenas monitore e impeça uploads de dados confidenciais (incluindo arquivos e textos copiados e colados que ficam na área de transferência) em aplicativos como o ChatGPT, sem interromper consultas inofensivas e tarefas seguras”, alerta Okubo.
Vale mencionar que a interrupção seletiva de uploads e postagens de informações confidenciais no ChatGPT, com a inclusão de mensagens visuais de treinamento automatizadas e em tempo real são maneiras de orientar os colaboradores sobre violações, informar sobre políticas de segurança corporativa e, em última instância, mitigar comportamentos de risco.