Microsoft Copilot là một công cụ AI mạnh mẽ trong các ứng dụng Microsoft 365 (M365) như Word, Excel, PowerPoint, Teams, và Outlook. Copilot giúp giảm bớt công việc nhàm chán, cho phép người dùng tập trung vào giải quyết vấn đề sáng tạo. Khác với ChatGPT, Copilot có quyền truy cập vào toàn bộ dữ liệu của người dùng trong M365, từ tài liệu, bản trình bày, email, lịch, ghi chú đến danh bạ. Tuy nhiên, điều này đặt ra vấn đề lớn về bảo mật thông tin vì Copilot có thể truy cập và tổng hợp dữ liệu nhạy cảm. Trung bình, 10% dữ liệu M365 của một công ty có thể được truy cập bởi tất cả nhân viên. Copilot cũng có thể tạo ra dữ liệu nhạy cảm mới cần được bảo vệ. Trước cuộc cách mạng AI, khả năng tạo và chia sẻ dữ liệu của con người đã vượt xa năng lực bảo vệ dữ liệu. AI thế hệ tiếp theo còn làm trầm trọng thêm tình hình này.
Các trường hợp sử dụng của Microsoft 365 Copilot
Tạo nội dung
Copilot có thể được sử dụng để tạo nội dung cho nhiều mục đích khác nhau. Chẳng hạn, nó giúp bạn viết email nhanh chóng và hiệu quả, từ email phản hồi đến email chào mừng hoặc thư mời. Bên cạnh đó, Copilot hỗ trợ tạo ghi chú cho các cuộc họp, khóa học, hoặc bài nói chuyện, đảm bảo bản ghi chú ngắn gọn và rõ ràng. Hơn nữa, Copilot còn giúp soạn thảo bài thuyết trình cho các cuộc họp, hội nghị, hoặc lớp học, tạo ra những bài thuyết trình hấp dẫn và thu hút người xem.
Thực hiện các tác vụ
Copilot có thể thực hiện nhiều tác vụ khác nhau như lên lịch cuộc họp, tạo bảng tính cho các báo cáo, dự toán hoặc phân tích, và hỗ trợ tìm kiếm thông tin từ nhiều nguồn khác nhau như Internet, tài liệu của bạn và cơ sở dữ liệu của công ty.
Hỗ trợ thông tin
Copilot có thể hỗ trợ bạn trong nhiều khía cạnh khác nhau như dịch thuật tài liệu, tóm tắt nội dung chi tiết thành những điểm chính, và giúp bạn trao đổi ý tưởng một cách hiệu quả với đồng nghiệp hoặc khách hàng.
Bằng cách sử dụng Copilot, bạn hoàn toàn có thể tiết kiệm thời gian và năng lượng để tập trung vào những nhiệm vụ quan trọng hơn. Ngoài ra, Copilot còn có thể giúp bạn phát huy sự sáng tạo và nâng cao hiệu suất của bạn trong công việc.
Cách hoạt động của Microsoft 365 Copilot
Mô hình ngôn ngữ lớn
Copilot được hỗ trợ bởi mô hình ngôn ngữ lớn (Large Language Models – LLM), được đào tạo trên một tập dữ liệu khổng lồ bao gồm văn bản và mã. LLM này có khả năng hiểu và tạo ra ngôn ngữ tự nhiên, đồng thời có thể học hỏi từ các tương tác của người dùng. Khi bạn yêu cầu Copilot thực hiện một tác vụ, LLM sẽ phân tích yêu cầu của bạn và tìm kiếm các thông tin liên quan trong dữ liệu đã được đào tạo. Sau đó, nó sẽ tạo ra một phản hồi phù hợp với yêu cầu đó.
Quyền truy cập vào dữ liệu người dùng
Copilot được tích hợp với Microsoft 365 và có quyền truy cập vào dữ liệu của bạn trong các ứng dụng Microsoft 365, chẳng hạn như Word, Excel và Outlook. Điều này cho phép Copilot hiểu ngữ cảnh và cung cấp phản hồi được cá nhân hóa. Ví dụ: nếu bạn yêu cầu Copilot tạo một bản trình bày, nó sẽ có thể truy cập vào tài liệu và email liên quan để tạo ra bản trình bày phù hợp với nhu cầu của bạn.
Năng lực AI
Source: https://learn.microsoft.com/en-us/deployoffice/privacy/microsoft-365-copilot
Copilot sử dụng các thuật toán AI để tạo ra các phản hồi có chất lượng. Các thuật toán này được thiết kế để tạo ra các phản hồi chính xác, hấp dẫn và phù hợp với ngữ cảnh. Ngoài ra, Copilot còn học hỏi từ các tương tác của người dùng và cải thiện năng lực tạo ra phản hồi theo thời gian.
Mô hình bảo mật của Microsoft 365 Copilot
Bảo mật dữ liệu
Microsoft đã cam kết bảo mật dữ liệu của bạn và triển khai các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu của bạn khỏi sự truy cập trái phép. Dữ liệu của bạn được mã hóa cả khi lưu trữ và truyền tải. Microsoft sử dụng các trung tâm dữ liệu được xác thực theo tiêu chuẩn ISO 27001 và SOC 2 Type II.
Quyền truy cập và kiểm soát
Bạn có quyền kiểm soát dữ liệu của mình và có thể quyết định thông tin gì được chia sẻ với Copilot. Microsoft cung cấp các công cụ để quản lý quyền truy cập và kiểm soát dữ liệu. Bạn có thể chọn xóa dữ liệu của mình khỏi Copilot bất cứ lúc nào.
Kiểm toán và giám sát
Microsoft thực hiện các hoạt động kiểm toán và giám sát thường xuyên để đảm bảo Copilot hoạt động theo các tiêu chuẩn bảo mật cao nhất. Bạn có thể truy cập vào nhật ký hoạt động của Copilot để giám sát việc sử dụng và quyền truy cập vào dữ liệu của mình.
Quyền hạn
Quyền truy cập dữ liệu
Copilot phải được cấp quyền truy cập vào dữ liệu có liên quan để tạo ra đầu ra có giá trị. Tùy thuộc vào trường hợp sử dụng, các quyền này có thể bao gồm đọc/ghi vào tài liệu, email và lịch. Các tổ chức cần xác định xem những quyền này có được cấp cho tất cả người dùng sử dụng Copilot hay chỉ cho những người dùng được phép hay không. Có một số cách để giải quyết vấn đề này, chẳng hạn như cấp quyền truy cập cho từng tài liệu/email hoặc thêm các hạn chế về loại dữ liệu mà Copilot có thể truy cập.
Quản lý danh tính và quyền truy cập
Vòng đời quản lý danh tính và quyền truy cập (Internet & Access Management – IAM) mạnh mẽ là điều cần thiết cho việc triển khai Copilot hiệu quả và an toàn. Điều quan trọng là phải đảm bảo rằng chỉ những người dùng được phép mới có quyền truy cập vào Copilot và dữ liệu của họ. Các tổ chức nên sử dụng các công nghệ IAM như xác thực đa yếu tố (Multi-factor Authentication – MFA), kiểm soát truy cập dựa trên vai trò (Role-Based Access Control – RBAC) và các chính sách bảo mật mật khẩu để bảo vệ Copilot khỏi sự truy cập trái phép.
Quyền hạn của người dùng
Cần phải có sự rõ ràng về cách người dùng có thể sửa và chia sẻ đầu ra được tạo bởi Copilot. Ví dụ: một người dùng có thể chỉnh sửa báo cáo do Copilot tạo ra hay họ chỉ có thể xem báo cáo? Các quy tắc cần được thiết lập để đảm bảo rằng người dùng tuân thủ các chính sách bảo mật và quyền sở hữu của tổ chức.
Nhãn
Bảo mật dữ liệu
Nhãn bảo mật cho phép các tổ chức phân loại dữ liệu dựa trên mức độ nhạy cảm của nó và áp dụng các chính sách bảo mật cụ thể tương ứng. Ví dụ: dữ liệu nhạy cảm như thông tin tài chính hoặc thông tin cá nhân có thể được dán nhãn là “bí mật” và bị hạn chế truy cập. Hệ thống dán nhãn phải được tích hợp với Copilot để đảm bảo rằng dữ liệu được xử lý phù hợp với các chính sách bảo mật.
Dữ liệu được chia sẻ nội bộ
Copilot có thể tạo ra các tài liệu có thể được chia sẻ với bên trong tổ chức. Các chính sách bảo mật nên được sử dụng để kiểm soát cách chia sẻ các tài liệu này. Ví dụ: một tài liệu có nhãn “bí mật” có thể không được chia sẻ với các bên ngoài tổ chức. Các tổ chức cũng nên xem xét sử dụng các chính sách bảo mật để hạn chế quyền truy cập vào tài liệu được tạo bởi Copilot đối với những người dùng được phép phù hợp với vai trò của họ.
Dữ liệu được chia sẻ bên ngoài
Hàng nghìn đánh giá rủi ro dữ liệu cho các công ty sử dụng Microsoft 365 mỗi năm
Copilot có thể tạo ra các tài liệu mà bạn có thể chia sẻ với người ngoài tổ chức. Do đó, cần áp dụng các chính sách bảo mật để kiểm soát cách chia sẻ các tài liệu này. Ví dụ: một tài liệu có nhãn “bảo mật” chỉ nên được chia sẻ với những người bên ngoài đã được phê duyệt.
Con người
Nắm quyền kiểm soát
Điều quan trọng cần nhớ là Copilot chỉ là một công cụ và con người phải kiểm soát cách sử dụng nó. Người dùng cần hiểu cách Copilot hoạt động và phải có khả năng đánh giá và chỉnh sửa kết quả mà nó tạo ra. Các tổ chức nên cung cấp các chương trình đào tạo để nâng cao nhận thức về các rủi ro bảo mật liên quan đến Copilot và cách giảm thiểu những rủi ro này.
Kiểm tra và đánh giá
Trong mỗi trường hợp, kết quả được tạo bởi Copilot nên được kiểm tra và đánh giá cẩn thận bởi con người để đảm bảo rằng nó chính xác, phù hợp và tuân thủ các chính sách bảo mật. Các tổ chức nên thiết lập các quy trình để đảm bảo rằng mọi kết quả được tạo bởi Copilot đều được xem xét kỹ lưỡng trước khi được sử dụng hoặc chia sẻ.
Đồng thời, các tổ chức nên có các quy trình để kiểm tra đầu ra của Copilot và xác định nếu có bất kỳ lỗi tiềm ẩn nào. Các lỗi này cần được báo cáo lại cho Microsoft để cải thiện mô hình.
Đọc thêm: Những thách thức bảo mật dữ liệu khi sử dụng Microsoft Copilot
Chuẩn bị môi trường cho tenant an toàn cho Copilot
Trước khi triển khai Copilot, các tổ chức nên xem xét các cấu hình bảo mật hiện tại của họ và đảm bảo rằng chúng đáp ứng các yêu cầu của Copilot. Điều này bao gồm việc đánh giá các chính sách bảo mật, quyền truy cập và kiểm soát cũng như các hệ thống quản lý dữ liệu.
Ngoài ra, tổ chức cần thực hiện kiểm tra và đánh giá để xác định các rủi ro bảo mật tiềm ẩn và đảm bảo rằng các biện pháp khắc phục đã được thực hiện. Nên thiết lập các quy trình để kiểm tra và đánh giá thường xuyên các rủi ro bảo mật liên quan đến Copilot.
Sau khi triển khai, các tổ chức cần theo dõi việc sử dụng và hiệu suất của Copilot và điều chỉnh các cấu hình bảo mật khi cần thiết.
Varonis bảo vệ hàng ngàn khách hàng của Microsoft 365 với Nền tảng Bảo mật Dữ liệu của họ, cung cấp cái nhìn theo thời gian thực về rủi ro và khả năng tự động thực thi nguyên tắc ít đặc quyền nhất.
Varonis có thể giúp bạn giải quyết những rủi ro bảo mật lớn nhất với Copilot mà hầu như không cần nỗ lực thủ công. Với Varonis cho Microsoft 365, bạn có thể:
- Tự động phát hiện và phân loại tất cả nội dung nhạy cảm được tạo bởi AI.
- Tự động đảm bảo rằng các nhãn MPIP được áp dụng đúng cách.
- Tự động thực thi các quyền truy cập tối thiểu.
- Liên tục giám sát dữ liệu nhạy cảm trong M365 và cảnh báo cũng như phản hồi với hành vi bất thường.
Kết luận
Bảo mật Microsoft 365 Copilot là một vấn đề quan trọng cần được giải quyết cẩn thận. Bằng cách thực hiện các biện pháp bảo mật phù hợp, chẳng hạn như quản lý quyền truy cập, dán nhãn dữ liệu và đào tạo người dùng, các tổ chức có thể giảm thiểu rủi ro bảo mật và đảm bảo rằng Copilot được sử dụng một cách an toàn và hiệu quả. Việc triển khai Copilot là một cơ hội tuyệt vời để cải thiện năng suất và hiệu quả, tuy nhiên các tổ chức nên hành động để giảm thiểu rủi ro bảo mật và đảm bảo rằng Copilot được sử dụng một cách có trách nhiệm.