Sự phát triển công nghệ đã mang lại nhiều thay đổi đáng kể, từ những chiếc điện thoại quay số đến các ứng dụng AI hiện đại. Điều này có thể không so sánh được với những trải nghiệm mà thế hệ trẻ sẽ có trong tương lai nhờ vào sự phát triển nhanh chóng của Trí tuệ nhân tạo (AI). Tuy nhiên, trong bối cảnh an ninh mạng, lo ngại về việc sử dụng các công cụ AI như ChatGPT và tác động của chúng đến an toàn dữ liệu đang gia tăng. Skyhigh Security thường xuyên nhận được câu hỏi từ các doanh nghiệp về cách ngăn chặn tình trạng mất mát dữ liệu qua ChatGPT, đặc biệt sau các sự cố rò rỉ dữ liệu nổi bật như của Samsung.

Dù công cụ như ChatGPT có tính mới lạ, thực tế là việc bảo vệ dữ liệu khỏi các ứng dụng AI không phải là điều mới mẻ. Các biện pháp an ninh dữ liệu hiện tại vẫn có thể được áp dụng để đối phó với những rủi ro mới này. Việc xem xét các biện pháp kiểm soát đã được triển khai sẽ giúp các tổ chức nâng cao khả năng bảo vệ dữ liệu trong bối cảnh công nghệ ngày càng phát triển.

Kiểm soát rủi ro theo danh mục/ứng dụng

Nhiều tổ chức không muốn chấp nhận rủi ro liên quan đến các chatbot AI và dịch vụ AI sinh tạo khác. Đối với những tổ chức này, việc hoàn toàn chặn sử dụng các ứng dụng này trở thành chiến lược ưu tiên. Gần đây, Apple cũng đã gia nhập danh sách ngày càng dài của các công ty áp dụng biện pháp này. Tuy nhiên, việc chặn một ứng dụng không khó; điều quan trọng là xác định những gì cần phải chặn. Mọi cổng web an toàn hiện nay đều nên nhận diện các công cụ AI và có khả năng thiết lập chính sách để chặn chúng một cách hiệu quả. Hiện tại, danh sách đám mây của Skyhigh Security đã cung cấp phân tích rủi ro cho hơn 400 ứng dụng AI, và danh sách này đang không ngừng mở rộng. Mỗi ứng dụng đi kèm với hơn 65 thuộc tính rủi ro và danh sách tất cả các miền liên quan. Chỉ với vài cú nhấp chuột, dữ liệu phong phú này có thể được tích hợp vào các chính sách bảo mật web của tổ chức để quản lý các ứng dụng này. Đối với những khách hàng muốn cấm sử dụng chatbot AI, đây là giải pháp nhanh chóng và hiệu quả.

Danh sách đám mây của Skyhigh Security

Đọc thêm: Cẩm nang bảo mật điện toán đám mây dành cho doanh nghiệp 

Hạn chế các hoạt động cụ thể

Một số tổ chức nhận thấy giá trị trong việc cho phép sử dụng chatbot AI, nhưng vẫn muốn bảo vệ dữ liệu quan trọng của mình. Có nhiều phương pháp để giải quyết vấn đề này. Một tùy chọn là áp dụng Kiểm soát Hoạt động, cho phép ứng dụng AI hoạt động nhưng ngăn chặn một số hoạt động như tải lên tệp hoặc gửi yêu cầu. Giải pháp SWG của Skyhigh hỗ trợ kiểm soát hoạt động cho hơn 35.000 ứng dụng, bao gồm hơn 400 ứng dụng AI. Chỉ cần vài cú nhấp chuột, việc ngăn chặn tải lên nội dung có thể được thực hiện chỉ trong vài phút.

Tuy nhiên, một số ứng dụng như ChatGPT có thể trở nên kém hiệu quả nếu các hoạt động như gửi câu hỏi bị ngăn chặn. Vì vậy, trong những trường hợp này, cách tiếp cận tinh vi hơn có thể được áp dụng. Chẳng hạn, Samsung đã phản ứng với sự cố rò rỉ dữ liệu bằng cách giới hạn yêu cầu trên ChatGPT xuống còn 1.024 byte. Các tùy chọn khác bao gồm ngăn chặn tải lên một số loại tệp nhất định, giới hạn quyền truy cập theo vị trí địa lý, và nhiều hơn nữa. Đối với các tùy chọn này, một động cơ chính sách web chi tiết là cần thiết. Giải pháp SWG của Skyhigh được xem là động cơ chính sách web mạnh mẽ nhất hiện nay, giúp giải quyết nhanh chóng các tình huống tương tự. Với một quy tắc tùy chỉnh, tổ chức có thể thiết lập chính sách chặn yêu cầu đến bất kỳ nền tảng AI nào vượt quá 1024 byte. Do đó, bất kể cách tiếp cận nào được chọn, khả năng kiểm soát và bảo vệ vẫn có thể được thực hiện một cách hiệu quả.

Bảo vệ dữ liệu quan trọng của doanh nghiệp

Một trong những cách tiếp cận hiệu quả nhất hiện nay là nâng cao nhận thức về dữ liệu trong tổ chức. Trong môi trường công nghệ đám mây hiện đại, các tổ chức cần có cái nhìn rõ ràng về loại dữ liệu nào cần được bảo vệ và thiết lập các chính sách để ngăn chặn việc dữ liệu đó bị gửi đến các ứng dụng bên ngoài không được phê duyệt và bảo mật. Trong bối cảnh này, ChatGPT không khác gì một tài khoản Dropbox cá nhân. Mặc dù tổ chức có thể cho phép sử dụng Dropbox cá nhân, nhưng cần đảm bảo rằng dữ liệu quan trọng không bị tải lên ứng dụng không an toàn và không được phê duyệt. Tương tự, những tổ chức có chương trình an ninh dữ liệu trưởng thành thường sẽ có chính sách ngăn chặn việc rò rỉ dữ liệu nhạy cảm sang bất kỳ ứng dụng không được phê duyệt nào, bao gồm cả ChatGPT. Các khách hàng của Skyhigh Security đã tiên phong trong lĩnh vực này nhờ vào việc áp dụng động cơ Ngăn chặn Mất mát Dữ liệu (DLP) tiên tiến với nhiều khả năng mạnh mẽ như Khớp Dữ liệu Chính xác (EDM), Khớp Dữ liệu Chỉ mục (IDM), Nhận dạng Ký tự Quang học (OCR) và nhiều hơn nữa.

Một phát triển gần đây từ OpenAI là khả năng tắt lịch sử cuộc trò chuyện và việc huấn luyện dựa trên các cuộc trò chuyện đó. Chỉ với một cú nhấp chuột trong giao diện người dùng, người dùng có thể chỉ định rằng họ không muốn dữ liệu của mình được lưu trữ và không nên được sử dụng để huấn luyện ChatGPT. Tùy chọn này cần được kích hoạt thủ công, vì nó mặc định tắt, nhưng nó cung cấp một lớp bảo mật bổ sung để ngăn chặn việc mô hình ChatGPT được huấn luyện dựa trên dữ liệu nhạy cảm. Skyhigh Security đã thử nghiệm một chính sách trong giải pháp SWG, yêu cầu tùy chọn này phải được bật cho bất kỳ thiết bị nào được quản lý khi truy cập thông qua proxy, bất kể tài khoản nào mà người dùng đang đăng nhập.

Đọc thêm: Phát triển AI/ML an toàn trên môi trường Điện toán đám mây với Rapid7 InsightCloudSec 

Quản lý tập trung quy trình xử lý dữ liệu

OpenAI đã công bố kế hoạch ra mắt gói đăng ký ChatGPT Business trong thời gian tới. Tùy chọn đăng ký mới này cho phép các tổ chức tạo tài khoản doanh nghiệp cho người dùng và quản lý tập trung quy trình xử lý dữ liệu. Điều này có thể mở ra nhiều tính năng bổ sung từ nền tảng SSE của Skyhigh Security. Một trong số đó là tính năng “hạn chế người thuê”, cho phép quản trị viên chỉ cho phép đăng nhập vào các tài khoản đã được phê duyệt, đồng thời chặn các tài khoản cá nhân và bên thứ ba. Tính năng này sẽ rất quan trọng cho các tổ chức khi áp dụng các chính sách xử lý dữ liệu trên toàn công ty, bởi nếu không thể ngăn chặn người dùng truy cập vào tài khoản ChatGPT cá nhân không kiểm soát, thì việc thực hiện các chính sách đó sẽ không còn ý nghĩa.

Đội ngũ kỹ sư của Skyhigh Security đã thực hiện thành công một chứng minh khái niệm tương tác với các API của OpenAI để kiểm tra các tệp được tải lên nền tảng OpenAI thông qua phần bảo mật truy cập đám mây (CASB) trong danh mục sản phẩm. Mặc dù API của OpenAI chưa hỗ trợ tất cả các trường hợp sử dụng, nhưng Skyhigh Security sẽ tiếp tục tìm kiếm cơ hội để quét và xử lý dữ liệu nhạy cảm trong các tài khoản doanh nghiệp nhờ vào khả năng của API CASB.

Nếu ChatGPT cung cấp khả năng đăng nhập một lần (SSO) từ một nhà cung cấp danh tính bên thứ ba, công nghệ CASB của Skyhigh Security sẽ có thể mang lại giá trị gia tăng. Bằng cách kết nối vào quy trình chuyển giao SAML giữa ChatGPT và nhà cung cấp danh tính bên thứ ba, CASB có thể hoạt động cho bất kỳ thiết bị nào xác thực với tài khoản ChatGPT của tổ chức, từ đó thực hiện kiểm soát truy cập thiết bị. Điều này sẽ cho phép hạn chế quyền truy cập vào ChatGPT của tổ chức, chỉ cho phép các thiết bị đáng tin cậy có quyền truy cập. Tại thời điểm này, chưa có thông tin xác nhận rằng OpenAI có kế hoạch cung cấp SSO, nhưng khả năng này rất cao vì đây là phương pháp phổ biến cho xác thực và quản lý tài khoản.

Đối với đội ngũ tại Skyhigh Security, những điểm vừa thảo luận phản ánh những vấn đề thường gặp trong các cuộc trò chuyện hàng ngày với khách hàng. Mặc dù các chatbot AI, đặc biệt là ChatGPT, có thể mang lại những thách thức mới về rủi ro mất mát dữ liệu, nhưng công việc của Skyhigh Security vẫn không thay đổi, yêu cầu các công cụ và phương pháp tương tự. Nếu tổ chức đã chuẩn bị sẵn các công cụ này nhưng vẫn thấy các biện pháp bảo mật của mình thiếu sót, Skyhigh Security có thể hỗ trợ trong việc đánh giá lại các biện pháp bảo mật.