Dal rilascio pubblico di ChatGPT alla fine del 2022, l’intelligenza artificiale generativa (GenAI) ha trasformato il modo in cui le organizzazioni e gli individui lavorano. Gli strumenti GenAI supportano numerose esigenze aziendali: dalla scrittura di contenuti di marketing al customer service, dalla generazione di codice sorgente alla produzione di report aziendali. I numerosi vantaggi – in particolare la riduzione dei costi e l’aumento di velocità e qualità – hanno incentivato le imprese ad adottare questi strumenti.
Tuttavia, come per ogni nuova tecnologia, un’implementazione priva di adeguate precauzioni può aprire le porte ad attacchi informatici. Gestire in modo efficace i rischi di sicurezza legati alla GenAI richiede una strategia solida e la collaborazione tra CISO, team di sicurezza e gruppi preposti all’implementazione dell’AI.
Indice degli argomenti
Perché la GenAI rappresenta un rischio per la sicurezza aziendale
La GenAI rappresenta un cambio di paradigma: risponde a domande in linguaggio naturale, superando i motori di ricerca tradizionali grazie a risposte dirette. Tuttavia, introduce vulnerabilità che i responsabili della sicurezza e dell’AI devono affrontare per evitare attacchi esterni o errori interni.
Inoltre, gli stessi cybercriminali possono sfruttare la GenAI per lanciare attacchi mirati. Le difese tradizionali spesso non bastano contro attacchi potenziati dall’AI, che consentono di generare codice malevolo senza elevate competenze tecniche. Strumenti come GitHub Copilot o Cursor possono essere usati per creare malware funzionanti in tempi rapidissimi.
Principali rischi legati alla GenAI in ambito aziendale
1. Condivisione di dati con terze parti non autorizzate
Spesso i dipendenti usano chatbot AI per le attività lavorative, senza considerare che così facendo potrebbero trasmettere dati sensibili a soggetti esterni. Ad esempio, l’Autorità olandese per la protezione dei dati ha segnalato gravi violazioni a causa dell’uso improprio di chatbot per riassumere referti medici.
ChatGPT conserva le conversazioni per 30 giorni, anche se la cronologia è disattivata. Se compromesso, l’account di un dipendente potrebbe esporre dati sensibili contenuti nelle query e risposte AI.
2. Vulnerabilità nei tool GenAI
Come ogni software, anche i tool GenAI possono contenere vulnerabilità. Inoltre, i dataset utilizzati per addestrare i modelli possono presentare falle. Per esempio, sono state rilevate oltre 30 vulnerabilità in strumenti open source come ChuanhuChatGPT, Lunary e LocalAI, incluse falle critiche come:
- CVE-2024-7474: consente a utenti autenticati di visualizzare o eliminare account tramite manipolazione degli URL.
- CVE-2024-7475: permette modifiche non autorizzate alla configurazione dell’autenticazione SAML, compromettendo l’intero sistema di login.
3. Attacchi di data poisoning
Gli attacchi di data poisoning mirano a compromettere i modelli GenAI inserendo dati manipolati nei set di training, inducendo l’AI a produrre risposte scorrette. Altri rischi riguardano il furto di questi dataset: se non adeguatamente cifrati, gli attacker possono accedere a informazioni riservate.
4. Violazione della privacy e delle normative
L’uso imprudente di GenAI può comportare:
- Perdita di dati sensibili: utilizzare dati sensibili per addestrare modelli o caricare tali dati nei chatbot può violare regolamenti come GDPR, PCI DSS e HIPAA.
- Violazioni di copyright: i modelli GenAI attingono da contenuti coperti da diritto d’autore senza citazione, esponendo l’azienda a sanzioni.
5. Creazione di deepfake
Attori malevoli usano GenAI per generare video, immagini e audio deepfake estremamente realistici. Il caso di Hong Kong, in cui furono sottratti 25 milioni di dollari tramite un video contraffatto, dimostra la pericolosità del fenomeno.
6. Social engineering automatizzato
La GenAI consente la generazione di email di phishing personalizzate in modo scalabile, sfruttando dati pubblici. La qualità di questi messaggi rende difficile identificarli anche per i sistemi di sicurezza avanzati.
Best practice per un uso sicuro della GenAI in azienda
1. Classificare, anonimizzare e cifrare i dati
Prima di utilizzare dati con sistemi GenAI:
- Classificare le informazioni e usare solo quelle consentite.
- Anonimizzare i dati sensibili nei set di addestramento.
- Cifrare dataset e connessioni, applicando controlli stringenti sui dati più critici.
2. Formare i dipendenti e creare policy interne
La formazione è la misura preventiva più efficace. Le aziende devono:
- Educare i dipendenti sui rischi della GenAI.
- Introdurre policy di uso accettabile che prevedano la revisione umana
- Vietare l’inserimento nei chatbot di materiali coperti da copyright o dati sensibili.
3. Verificare la sicurezza dei tool GenAI
È essenziale:
- Effettuare audit di sicurezza e penetration test prima della messa in produzione.
- Addestrare i modelli a riconoscere gli attacchi simulando input malevoli.
4. Limitare l’accesso ai dati sensibili
Applicare il principio del “privilegio minimo”, consentendo l’accesso solo a chi strettamente autorizzato. Strumenti di identity and access management e autenticazione a più fattori (MFA) aiutano a garantire una protezione efficace.
5. Proteggere le reti e le infrastrutture
Isolare i sistemi AI in segmenti di rete dedicati e protetti. In cloud, affidarsi a provider certificati e adottare la crittografia per tutte le connessioni.
6. Monitorare la conformità e verificare i fornitori
Poiché le normative si evolvono, è fondamentale:
- Monitorare costantemente i requisiti di compliance del proprio mercato.
- Effettuare regolarmente audit di sicurezza anche sui fornitori di strumenti AI.
7. Preparare un piano di risposta a incidenti AI
Un piano efficace deve coprire:
- Rilevamento e segnalazione: strumenti di monitoraggio continuo, processi semplici per segnalazioni, allarmi automatici.
- Contenimento: isolamento immediato delle piattaforme compromesse.
- Investigazione: analisi dell’attacco e valutazione dell’impatto.
- Rimedi: recupero dati, aggiornamento delle policy, formazione.
- Prevenzione: rafforzamento dei controlli di accesso, adozione di DLP specifici per AI, audit regolari.
La GenAI sta rivoluzionando la sicurezza aziendale. Le sfide da affrontare includono:
- Protezione dei dati sensibili: prevenire l’esposizione involontaria di dati attraverso policy di classificazione e tecniche come la tokenizzazione.
- Mitigazione delle minacce: strumenti come Microsoft Defender e Google Advanced Threat Protection sono utili per riconoscere codici maligni generati con l’AI.
