A introdução do ChatGPT da Open AI foi um momento decisivo para a indústria de software program, desencadeando uma corrida GenAI com seu lançamento em novembro de 2022. Os fornecedores de SaaS agora estão correndo para atualizar ferramentas com recursos de produtividade aprimorados, impulsionados por IA generativa.
Entre uma ampla gama de usos, as ferramentas GenAI facilitam a criação de software program pelos desenvolvedores, auxiliam as equipes de vendas na redação rotineira de e-mails, ajudam os profissionais de advertising a produzir conteúdo exclusivo a baixo custo e permitem que equipes e criativos tenham ideias novas.
Lançamentos recentes e significativos de produtos GenAI incluem Microsoft 365 Copilot, GitHub Copilot e Salesforce Einstein GPT. Notavelmente, essas ferramentas GenAI dos principais provedores de SaaS são melhorias pagas, um sinal claro de que nenhum provedor de SaaS vai querer perder a oportunidade de lucrar com a transformação GenAI. O Google lançará em breve sua plataforma SGE “Search Generative Expertise” para resumos premium gerados por IA, em vez de uma lista de websites.
Nesse ritmo, é apenas uma questão de tempo até que alguma forma de capacidade de IA se torne padrão em aplicativos SaaS.
No entanto, este progresso da IA no cenário habilitado para a nuvem não ocorre sem novos riscos e desvantagens para os utilizadores. Na verdade, a ampla adoção de aplicações GenAI no native de trabalho está a levantar rapidamente preocupações sobre a exposição a uma nova geração de ameaças à cibersegurança.
Aprenda como melhorar sua postura de segurança SaaS e mitigar o risco de IA
Reagindo aos riscos da GenAI
GenAI trabalha em modelos de treinamento que geram novos dados espelhando os originais com base nas informações que são compartilhadas com as ferramentas pelos usuários.
Como o ChatGPT agora avisa os usuários quando eles fazem login, “Não compartilhe informações confidenciais” e “Verifique seus fatos”. Quando questionado sobre os riscos do GenAI, o ChatGPT responde: “Os dados submetidos a modelos de IA como o ChatGPT podem ser usados para fins de treinamento e melhoria de modelos, potencialmente expondo-os a pesquisadores ou desenvolvedores que trabalham nesses modelos”.
Esta exposição expande a superfície de ataque de organizações que partilham informações internas em sistemas GenAI baseados na nuvem. Os novos riscos incluem o perigo de fuga de IP, dados sensíveis e confidenciais de clientes e PII, bem como ameaças provenientes da utilização de deepfakes por cibercriminosos que utilizam informações roubadas para esquemas de phishing e roubo de identidade.
Estas preocupações, bem como os desafios para cumprir os requisitos de conformidade e governamentais, estão a desencadear uma reação negativa nas aplicações GenAI, especialmente por parte das indústrias e setores que processam dados confidenciais e sensíveis. De acordo com um estudo recente da Cisco, mais de uma em cada quatro organizações já proibiu o uso de GenAI devido a riscos de privacidade e segurança de dados.
O setor bancário foi um dos primeiros setores a proibir o uso de ferramentas GenAI no native de trabalho. Os líderes dos serviços financeiros estão esperançosos quanto aos benefícios da utilização da inteligência synthetic para se tornarem mais eficientes e para ajudar os funcionários a realizar o seu trabalho, mas 30% ainda proíbem a utilização de ferramentas generativas de IA nas suas empresas, de acordo com um inquérito realizado pela Arizent.
No mês passado, o Congresso dos EUA impôs a proibição do uso do Copilot da Microsoft em todos os PCs fornecidos pelo governo para melhorar as medidas de segurança cibernética. “O aplicativo Microsoft Copilot foi considerado pelo Escritório de Segurança Cibernética como um risco para os usuários devido à ameaça de vazamento de dados da Câmara para serviços em nuvem não aprovados pela Câmara”, disse a diretora administrativa da Câmara, Catherine Szpindor, de acordo com um relatório da Axios. . Esta proibição segue a decisão anterior do governo de bloquear o ChatGPT.
Lidando com a falta de supervisão
Deixando de lado as proibições reativas de GenAI, as organizações estão, sem dúvida, tendo problemas para controlar efetivamente o uso de GenAI, à medida que os aplicativos penetram no native de trabalho sem treinamento, supervisão ou conhecimento dos empregadores.
De acordo com um estudo recente da Salesforce, mais de metade dos utilizadores da GenAI utilizam ferramentas não aprovadas no trabalho. A investigação concluiu que, apesar dos benefícios que a GenAI oferece, a falta de políticas claramente definidas em torno da sua utilização pode estar a colocar as empresas em risco.
A boa notícia é que isto poderá começar a mudar agora se os empregadores seguirem as novas orientações do governo dos EUA para reforçar a governação da IA.
Numa declaração emitida no início deste mês, a vice-presidente Kamala Harris orientou todas as agências federais a designarem um Diretor de IA com “experiência, conhecimento e autoridade para supervisionar todas as tecnologias de IA… para garantir que a IA seja usada de forma responsável”.
Com o governo dos EUA a assumir a liderança no incentivo à utilização responsável da IA e de recursos dedicados à gestão dos riscos, o próximo passo é encontrar métodos para gerir as aplicações com segurança.
Recuperando o controle dos aplicativos GenAI
A revolução GenAI, cujos riscos permanecem no domínio do desconhecido, surge num momento em que o foco na proteção perimetral está se tornando cada vez mais ultrapassado.
Os atores de ameaças hoje estão cada vez mais focados nos elos mais fracos dentro das organizações, como identidades humanas, identidades não humanas e configurações incorretas em aplicativos SaaS. Os atores de ameaças estatais usaram recentemente táticas como sprays de senha de força bruta e phishing para entregar malware e ransomware com sucesso, bem como realizar outros ataques maliciosos em aplicativos SaaS.
Para complicar os esforços para proteger aplicações SaaS, os limites entre o trabalho e a vida pessoal estão agora confusos quando se trata do uso de dispositivos no modelo de trabalho híbrido. Com as tentações que acompanham o poder da GenAI, será impossível impedir que os funcionários utilizem a tecnologia, seja ela sancionada ou não.
A rápida adoção da GenAI pela força de trabalho deve, portanto, ser um alerta para as organizações reavaliarem se possuem as ferramentas de segurança para lidar com a próxima geração de ameaças à segurança SaaS.
Para recuperar o controle e obter visibilidade dos aplicativos SaaS GenAI ou aplicativos que possuem recursos GenAI, as organizações podem recorrer a soluções avançadas de confiança zero, como SSPM (SaaS Safety Posture Administration), que podem permitir o uso de IA enquanto monitoram rigorosamente seus riscos.
Obter uma visão de cada aplicativo habilitado para IA conectado e medir sua postura de segurança quanto a riscos que possam prejudicar a segurança do SaaS capacitará as organizações a prevenir, detectar e responder a ameaças novas e em evolução.
Aprenda como dar o pontapé inicial na segurança SaaS para a period GenAI
