Os funcionários não param de partilhar dados sensíveis da empresa com escritores de inteligência artificial e chatbots como o ChatGPT, apesar do claro risco de vazamentos e violações de dados. É o que revela um novo estudo da Netskope, que analisou cerca de 1,7 milhões de utilizadores de 70 organizações globais.
Segundo a pesquisa, a média de incidentes mensais em que o código-fonte é publicado no ChatGPT é de 158 por cada 10.000 utilizadores. Isto coloca o ChatGPT no topo das vulnerabilidades da empresa, à frente de outros tipos de dados sensíveis.
O crescente interesse pela IA e as suas consequências
Paralelamente aos contínuos riscos de exposição que podem criar pontos fracos nas empresas, a Netskope destaca também o boom do interesse pela inteligência artificial. Os dados mostram um crescimento de 22,5% no uso de aplicações GenAI nos últimos dois meses, com grandes empresas com mais de 10.000 utilizadores a usarem uma média de cinco aplicações IA diariamente.
O ChatGPT lidera este ranking, contabilizando oito vezes mais utilizadores ativos diariamente do que qualquer outra aplicação GenAI. Com uma média de seis interações diárias, cada utilizador tem o potencial de causar danos significativos à sua empresa.
Em termos globais, além do ChatGPT (84%), Grammarly (9,9%) e Bard (4,5%) completam o top três das aplicações de IA gerativas mais usadas pelas organizações.
Muitos argumentam que a publicação de código-fonte ou de outras informações sensíveis pode ser evitada, mas para Ray Canzanese, Diretor de Investigação de Ameaças da Netskope, isso é “inevitável”. Canzanese coloca a responsabilidade nas organizações para implementar controlos em torno da IA.
James Robinson, Vice-Diretor de Segurança da Informação da empresa, acrescentou: “As organizações devem concentrar-se em evoluir a sua sensibilização da força de trabalho e as políticas de dados para responder às necessidades dos funcionários que usam produtos de IA de forma produtiva”.
Para as equipas de TI, a empresa sugere o bloqueio do acesso a aplicações desnecessárias ou que representem um risco desproporcional, a promoção de ações de formação frequentes para os utilizadores e a adoção de tecnologias suficientes de prevenção da perda de dados modernos.
Outros artigos interessantes:
