Comment concevoir l'IA en toute sécurité dans vos programmes de cybersécurité

Fin juin, la société de cybersécurité Group-IB a révélé un incident notable faille de sécurité ayant affecté les comptes ChatGPT. La société a identifié un nombre impressionnant de 100,000 XNUMX appareils compromis, chacun avec des informations d'identification ChatGPT qui ont ensuite été échangées sur des marchés illicites du Dark Web au cours de l'année écoulée. Cette violation a suscité des appels à une attention immédiate pour remédier à la sécurité compromise des comptes ChatGPT, car les requêtes de recherche contenant des informations sensibles sont exposées aux pirates.

Lors d'un autre incident, en moins d'un mois, Samsung a subi trois cas documentés dans lesquels des employés ont accidentellement fuite d'informations sensibles via ChatGPT. Parce que ChatGPT conserve les données d'entrée des utilisateurs pour améliorer ses propres performances, ces précieux secrets commerciaux appartenant à Samsung sont désormais en possession d'OpenAI, la société à l'origine du service d'IA. Cela pose des problèmes importants concernant la confidentialité et la sécurité des informations exclusives de Samsung.

En raison de ces inquiétudes concernant la conformité de ChatGPT au règlement général sur la protection des données (RGPD) de l'UE, qui impose des directives strictes pour la collecte et l'utilisation des données, L'Italie a imposé une interdiction nationale sur l'utilisation de ChatGPT.

Les progrès rapides de l'IA et des applications d'IA génératives ont ouvert de nouvelles opportunités pour accélérer la croissance de l'informatique décisionnelle, des produits et des opérations. Mais les propriétaires de programmes de cybersécurité doivent garantir la confidentialité des données en attendant que les lois soient élaborées.

Moteur public contre moteur privé

Pour mieux comprendre les concepts, commençons par définir l'IA publique et l'IA privée. L'IA publique fait référence aux applications logicielles d'IA accessibles au public qui ont été formées sur des ensembles de données, souvent provenant d'utilisateurs ou de clients. Un excellent exemple d'IA publique est ChatGPT, qui exploite les données accessibles au public sur Internet, y compris les articles de texte, les images et les vidéos.

L'IA publique peut également englober des algorithmes qui utilisent des ensembles de données non exclusifs à un utilisateur ou à une organisation spécifique. Par conséquent, les clients de l'IA publique doivent être conscients que leurs données peuvent ne pas rester entièrement privées.

L'IA privée, quant à elle, implique la formation d'algorithmes sur des données propres à un utilisateur ou à une organisation en particulier. Dans ce cas, si vous utilisez des systèmes d'apprentissage automatique pour former un modèle à l'aide d'un ensemble de données spécifique, tel que des factures ou des formulaires fiscaux, ce modèle reste exclusif à votre organisation. Les fournisseurs de plates-formes n'utilisent pas vos données pour former leurs propres modèles, de sorte que l'IA privée empêche toute utilisation de vos données pour aider vos concurrents.

Intégrer l'IA dans les programmes et politiques de formation

Afin d'expérimenter, de développer et d'intégrer des applications d'IA dans leurs produits et services tout en respectant les meilleures pratiques, le personnel de cybersécurité doit mettre en pratique les politiques suivantes.

Sensibilisation et éducation des utilisateurs : Éduquez les utilisateurs sur les risques associés à l'utilisation de l'IA et encouragez-les à être prudents lors de la transmission d'informations sensibles. Promouvoir des pratiques de communication sécurisées et conseiller aux utilisateurs de vérifier l'authenticité du système d'IA.

• Minimisation des données : Ne fournissez au moteur d'IA que le minimum de données nécessaires pour accomplir la tâche. Évitez de partager des informations inutiles ou sensibles qui ne sont pas pertinentes pour le traitement de l'IA.
• Anonymisation et désidentification : Dans la mesure du possible, anonymisez ou anonymisez les données avant de les saisir dans le moteur d'IA. Cela implique la suppression des informations personnellement identifiables (PII) ou de tout autre attribut sensible qui n'est pas requis pour le traitement de l'IA.

Pratiques de traitement sécurisé des données : Établissez des politiques et des procédures strictes pour le traitement de vos données sensibles. Limitez l'accès au personnel autorisé uniquement et appliquez des mécanismes d'authentification solides pour empêcher tout accès non autorisé. Former les employés aux meilleures pratiques en matière de confidentialité des données et mettre en œuvre des mécanismes de journalisation et d'audit pour suivre l'accès et l'utilisation des données.

Conservation et élimination : Définissez des politiques de conservation des données et éliminez les données en toute sécurité une fois qu'elles ne sont plus nécessaires. Mettre en œuvre correctement mécanismes de destruction des données, telles que la suppression sécurisée ou l'effacement cryptographique, pour s'assurer que les données ne peuvent pas être récupérées une fois qu'elles ne sont plus nécessaires.

Considérations juridiques et de conformité : Comprenez les ramifications juridiques des données que vous saisissez dans le moteur d'IA. Assurez-vous que la manière dont les utilisateurs utilisent l'IA est conforme aux réglementations applicables, telles que lois sur la protection des données ou des normes spécifiques à l'industrie.

Évaluation du fournisseur : Si vous utilisez un moteur d'IA fourni par un fournisseur tiers, effectuez une évaluation approfondie de ses mesures de sécurité. Assurez-vous que le fournisseur suit les meilleures pratiques du secteur en matière de sécurité et de confidentialité des données, et qu'il a mis en place des mesures de protection appropriées pour protéger vos données. L'attestation ISO et SOC, par exemple, fournit des validations tierces précieuses de l'adhésion d'un fournisseur aux normes reconnues et de son engagement envers la sécurité de l'information.

Formaliser une politique d'utilisation acceptable (AUP) de l'IA : Une politique d'utilisation acceptable de l'IA doit décrire le but et les objectifs de la politique, en mettant l'accent sur l'utilisation responsable et éthique des technologies d'IA. Il doit définir des cas d'utilisation acceptables, en précisant la portée et les limites de l'utilisation de l'IA. L'AUP devrait encourager la transparence, la responsabilité et la prise de décision responsable dans l'utilisation de l'IA, en favorisant une culture de pratiques éthiques en matière d'IA au sein de l'organisation. Des révisions et des mises à jour régulières garantissent la pertinence de la politique par rapport à l'évolution des technologies et de l'éthique de l'IA.

Conclusions

En adhérant à ces directives, les propriétaires de programmes peuvent exploiter efficacement les outils d'IA tout en protégeant les informations sensibles et en respectant les normes éthiques et professionnelles. Il est crucial d'examiner le matériel généré par l'IA pour en vérifier l'exactitude tout en protégeant simultanément les données saisies qui entrent dans la génération des invites de réponse.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/edge/how-to-safely-architect-ai-in-your-cybersecurity-programs