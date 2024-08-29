La rapida ascesa delle tecnologie di intelligenza artificiale generativa (gen AI) ha inaugurato un'era trasformativa per i settori di tutto il mondo. Negli ultimi 18 mesi, le aziende hanno integrato sempre più gen AI nelle loro operazioni, sfruttandone il potenziale per innovare e semplificare i processi. Dall'automazione del servizio clienti al miglioramento dello sviluppo dei prodotti, le applicazioni di gen AI sono vaste e di grande impatto. Secondo un recente report IBM, circa il 42% delle grandi imprese ha adottato l'AI, con la tecnologia in grado di automatizzare fino al 30% delle attività di knowledge work in vari settori, tra cui vendite, marketing, finanza e servizio clienti.
Tuttavia, l'adozione accelerata della gen AI comporta anche rischi significativi, come imprecisioni, problemi di proprietà intellettuale e minacce alla cybersecurity . Naturalmente, questo è solo un esempio in una lunga serie di aziende che adottano nuove tecnologie, come il cloud computing, solo per rendersi conto che l'integrazione dei principi di sicurezza avrebbe dovuto essere una priorità sin dall'inizio. Ora possiamo imparare dagli errori del passato e adottare tempestivamente i principi della sicurezza tramite progettazione durante lo sviluppo di applicazioni aziendali basate sulla gen AI.
L'ultima ondata di adozione del cloud fornisce insight preziosi per dare priorità alla sicurezza nelle prime fasi di qualsiasi transizione tecnologica. Molte organizzazioni hanno adottato le tecnologie cloud per benefici come la riduzione dei costi, la scalabilità e il disaster recovery. Tuttavia, la fretta di cogliere questi benefici spesso ha portato a sviste nella sicurezza, con conseguenti violazioni di alto profilo dovute a configurazioni errate. Il grafico seguente ne mostra l'impatto. Illustra il costo e la frequenza delle violazioni dei dati in base al vettore di attacco iniziale, in cui è dimostrato che le configurazioni cloud errate hanno un costo medio significativo di 3,98 milioni di dollari:
Un incidente particolarmente importante si è verificato nel 2023: un bucket di storage cloud ha esposto dati sensibili di più aziende, comprese informazioni personali come indirizzi e-mail e numeri di previdenza sociale. Questa violazione ha evidenziato i rischi associati a configurazioni di cloud storage improprie e l'impatto finanziario dovuto ai danni alla reputazione.
Allo stesso modo, una vulnerabilità in un'applicazione Software-as-a-Service (SaaS) per lo spazio di lavoro aziendale ha provocato una grave violazione dei dati nel 2023, quando è stato ottenuto l'accesso non autorizzato tramite un account non protetto. Ciò ha portato alla luce l'impatto di una gestione e di un monitoraggio inadeguati degli account. Questi incidenti, tra molti altri (raccolti nel report Cost of a Data Breach 2024 di IBM), sottolineano la necessità critica di un approccio Secure by Design, in grado di garantire che le misure di sicurezza siano parte integrante di questi programmi di adozione dell'AI sin dall'inizio.
Poiché le aziende integrano rapidamente la gen AI nelle loro operazioni, l'importanza di affrontare la sicurezza fin dall'inizio non può essere sopravvalutata. Le tecnologie di AI, sebbene trasformative, introducono nuove vulnerabilità di sicurezza. Le recenti violazioni relative alle piattaforme di AI dimostrano questi rischi e il loro potenziale impatto sulle aziende.
Ecco alcuni esempi di violazioni di sicurezza legate all'AI avvenute negli ultimi due mesi:
1. Truffe deepfake: in un caso, il CEO di una società energetica britannica è stato indotto a trasferire 243.000 dollari, credendo di parlare con il suo capo. La truffa ha utilizzato la tecnologia deepfake, evidenziando il potenziale delle frodi basate su AI.
2. Attacchi di data poisoning: gli aggressori possono danneggiare i modelli AI introducendo dati dannosi durante l'addestramento, per creare output errati. Questo è stato visto quando il modello di machine learning di un'azienda di cybersecurity è stato compromesso, causando ritardi nella risposta alle minacce.
3. Exploit dei modelli AI: le vulnerabilità nelle applicazioni AI, come i chatbot, hanno portato a molti episodi di accessi non autorizzati a dati sensibili. Queste violazioni sottolineano la necessità di solide misure di sicurezza per le interfacce AI.
Le conseguenze delle violazioni di sicurezza dell'AI sono molteplici:
Poiché le aziende adottano rapidamente le loro applicazioni rivolte ai clienti per adottare tecnologie gen AI, è importante avere un approccio strutturato per proteggerle per ridurre il rischio che le loro attività vengano interrotte da aggressori informatici.
Per proteggere efficacemente le applicazioni di gen AI, le aziende devono adottare una strategia di sicurezza che copra l'intero ciclo di vita dell'AI. Le fasi principali sono tre:
1. Raccolta e gestione dei dati: garantire la raccolta e la gestione sicure dei dati, inclusa la crittografia e rigorosi controlli di accesso.
2. Sviluppo e formazione dei modelli: implementa pratiche sicure durante lo sviluppo, la formazione e la messa a punto dei modelli AI per proteggerli dal data poisoning e da altri attacchi.
3. Inferenza del modello e utilizzo in tempo reale: monitora i sistemi AI in tempo reale e garantisce valutazioni continue della sicurezza per rilevare e mitigare le potenziali minacce.
Queste tre fasi devono essere prese in considerazione insieme al modello a responsabilità condivisa di una tipica piattaforma cloud di AI (mostrato sotto).
In BM Framework for Securing Generative AI, puoi trovare una descrizione dettagliata di queste tre fasi e dei principi di sicurezza da seguire. Sono combinati con i controlli di sicurezza del cloud a livello di infrastruttura sottostante, che esegue modelli linguistici di grandi dimensioni e applicazioni.
Il passaggio alla gen AI consente alle aziende di alimentare l'innovazione nelle loro applicazioni aziendali, automatizzare compiti complessi e migliorare l'efficienza, la precisione e il processo decisionale mentre riducono i costi e aumentano la velocità e l'agilità dei processi aziendali.
Come si è visto con l'ondata di adozione del cloud, dare priorità alla sicurezza fin dall'inizio è fondamentale. Incorporando precocemente le misure di sicurezza nel processo di adozione dell'AI, le aziende possono convertire i passi falsi del passato in punti critici e proteggersi dalle minacce informatiche più sofisticate. Questo approccio proattivo garantisce la conformità ai requisiti normativi dell'AI in rapida evoluzione, protegge le aziende e i dati sensibili dei loro clienti e mantiene la fiducia degli stakeholder. In questo modo, le aziende possono raggiungere i loro obiettivi strategici di AI in modo sicuro e sostenibile.
IBM offre soluzioni complete per supportare le aziende nell'adozione sicura delle tecnologie AI. Attraverso consulenza, servizi di sicurezza e un solido framework di sicurezza, IBM aiuta le organizzazioni a creare e implementare applicazioni AI su larga scala, garantendo trasparenza, etica e conformità. I workshop AI Security Discovery di IBM sono un primo passo importante, perché aiutano i clienti a identificare e mitigare i rischi di sicurezza precocemente nel loro percorso di adozione dell'AI.
Per ulteriori informazioni, consulta queste risorse: