6 Juni 2023
Oleh Tony Frum - Spesialis Produk, Skyhigh Security
Setelah tumbuh besar dengan mengetahui cara menggunakan telepon putar, saya telah melihat cukup banyak kemajuan teknologi selama bertahun-tahun. Namun, saya pikir hal itu mungkin tidak seberapa jika dibandingkan dengan apa yang akan dilihat oleh anak-anak saya di masa depan, karena munculnya Kecerdasan Buatan (AI). Para ahli di bidang ini menggunakan perbandingan yang berlebihan, seperti bom atom dan penemuan api untuk menggambarkan signifikansinya, dan ada kemungkinan hal ini tidak berlebihan.
Ada banyak kekhawatiran seputar perkembangan ini dengan beberapa pihak yang menyerukan langkah-langkah keamanan, peraturan pemerintah, dan bahkan moratorium penelitian AI. Di bidang keamanan siber, ada banyak kecemasan terkait penggunaan alat AI seperti ChatGPT dan implikasinya terhadap keamanan data. Sebagai vendor Security Service Edge (SSE) yang sangat berfokus pada data, kami di Skyhigh Security setidaknya setiap hari ditanyai tentang bagaimana kehilangan data melalui ChatGPT dapat dicegah. Pelanggan kami membaca tentang situasi seperti insiden kehilangan data Samsung melalui ChatGPT dan ingin memastikan bahwa mereka memiliki kontrol yang tepat.
Terlepas dari kebaruan alat seperti ChatGPT, saya harus menahan keinginan untuk mengutip Pengkhotbah yang mengatakan, "Tidak ada yang baru di bawah matahari." Meskipun risiko spesifik dari model AI yang dilatih pada data Anda mungkin merupakan hal yang baru, logistik untuk melindungi data Anda dari ChatGPT sebenarnya bukanlah hal yang baru. Inilah yang kami lakukan setiap hari! Dan, sejujurnya, jika Anda memiliki kontrol keamanan data yang tepat, maka Anda seharusnya sudah memiliki dasar-dasarnya. Mari kita tinjau secara singkat kontrol yang berlaku, banyak di antaranya yang mungkin sudah Anda terapkan, dan bagaimana kontrol tersebut dapat membantu Anda mengatasi risiko yang baru, tetapi tidak terlalu baru ini.
Pemblokiran berdasarkan Kategori/Aplikasi
Banyak organisasi tidak memiliki keinginan untuk menghadapi risiko yang ditimbulkan oleh chatbot AI dan layanan AI generatif lainnya. Untuk entitas ini, memblokir penggunaan aplikasi ini secara langsung adalah strategi yang mereka pilih. Apple baru-baru ini bergabung dengan daftar perusahaan-perusahaan ini. Namun, seperti yang telah saya katakan kepada pelanggan Secure Web Gateway (SWG) kami selama bertahun-tahun, "Memblokir sesuatu itu mudah. Siapa pun bisa melakukannya. Mengetahui apa yang harus diblokir adalah bagian yang sulit." Karena itu, SWG mana pun yang layak saat ini seharusnya sudah mengetahui tentang alat AI ini dan seharusnya dapat dengan mudah membuat kebijakan untuk memblokirnya. Pada saat tulisan ini dibuat, registri cloudSkyhigh Security berisi analisis risiko lengkap lebih dari 400 aplikasi AI, dan daftarnya terus bertambah setiap hari! Masing-masing mencakup lebih dari 65 atribut risiko dan daftar semua domain yang terkait dengan aplikasi. Hanya dengan beberapa klik, data yang kaya ini dapat dimanfaatkan dalam kebijakan keamanan web pelanggan kami untuk mengontrol aplikasi-aplikasi ini. Bagi pelanggan yang ingin melarang penggunaan chatbot AI, ini adalah "tombol mudah" bagi mereka.
Membatasi aktivitas tertentu
Beberapa organisasi melihat manfaat dalam mengizinkan penggunaan chatbot AI, tetapi ingin memastikan data mereka yang lebih penting tetap aman. Ada beberapa cara untuk menguliti pepatah ini hari ini. Salah satu pilihannya adalah dengan menggunakan Kontrol Aktivitas untuk mengizinkan aplikasi berbasis AI tetapi untuk mencegah aktivitas tertentu seperti mengunggah file atau mengirim permintaan. SWG Skyhigh mendukung kontrol aktivitas untuk semua 35 ribu+ aplikasi dalam registri kami termasuk lebih dari 400 aplikasi yang dikategorikan sebagai AI. Sekali lagi, hanya dengan beberapa klik saja Anda dapat mencegah pengunggahan konten apa pun ke aplikasi-aplikasi ini dalam hitungan menit.
Tentu saja, beberapa aplikasi, seperti ChatGPT mungkin menjadi tidak berguna dengan mencegah aktivitas seperti mengirim pertanyaan. Apa gunanya mengizinkan aplikasi jika Anda tidak dapat mengajukan pertanyaan? Dalam situasi seperti ini, pelanggan mungkin ingin mengambil pendekatan yang lebih bernuansa. Samsung, misalnya, pada awalnya menanggapi kebocoran data mereka dengan membatasi permintaan ChatGPT hingga 1.024 byte. Opsi lainnya mungkin termasuk mencegah pengunggahan jenis berkas tertentu, membatasi akses berdasarkan geolokasi, dan banyak lagi. Untuk banyak dari opsi-opsi ini, diperlukan mesin kebijakan Web yang sangat terperinci. Solusi Skyhigh SWG, tanpa diragukan lagi, merupakan mesin kebijakan Web yang paling kuat dan terperinci di pasaran saat ini, yang membuat pekerjaan cepat untuk kasus-kasus penggunaan seperti ini. Sebagai contoh, dengan satu aturan khusus, pelanggan kami dapat menerapkan kebijakan bahwa jika permintaan ke platform berbasis AI melebihi 1024 byte, maka blokirlah. Jadi, apa pun pendekatan yang Anda sukai, kami memungkinkan Anda untuk melakukan kontrol tersebut dengan mudah.
Melindungi data penting bisnis Anda
Secara pribadi, saya merasa bahwa pendekatan terbaik adalah dengan melibatkan kesadaran data. Di dunia berbasis awan saat ini, organisasi seharusnya sudah memiliki pegangan yang baik tentang data apa saja yang perlu mereka lindungi, dan mereka harus menerapkan kebijakan untuk mencegah data tersebut dikirim ke aplikasi eksternal apa pun yang tidak disetujui dan diamankan dengan baik oleh organisasi. Dalam hal ini, ChatGPT benar-benar tidak berbeda dengan akun Dropbox pribadi. Organisasi Anda mungkin mengizinkan dan mentoleransi penggunaan Dropbox pribadi, tetapi mereka juga harus memastikan bahwa data yang paling penting tidak diunggah ke aplikasi yang tidak disetujui dan tidak aman ini. Dengan cara yang sama, organisasi dengan program keamanan data yang matang kemungkinan besar telah memiliki kebijakan untuk mencegah data sensitif disusupkan ke aplikasi yang tidak disetujui, yang secara alami akan meluas ke aplikasi seperti ChatGPT. Pelanggan Skyhigh Security telah menjadi yang terdepan dalam bidang ini karena mereka telah memanfaatkan mesin Data Loss Prevention (DLP ) yang matang dan sangat canggih dengan kemampuan yang tangguh, seperti Pencocokan Data Persis (EDM), Pencocokan Data Terindeks (IDM), Pengenalan Karakter Optik (OCR), dan banyak lagi.
Satu perkembangan terbaru dari OpenAI yang membawa harapan tambahan adalah kontrol baru untuk menonaktifkan riwayat percakapan ChatGPT dan pelatihan percakapan tersebut. Dengan membalik tombol sederhana pada UI, pengguna dapat menunjukkan bahwa mereka tidak ingin data mereka disimpan, dan tidak boleh digunakan untuk melatih ChatGPT. Pengguna harus mengaktifkan opsi ini secara manual, yang dinonaktifkan secara default, tetapi menawarkan lapisan keamanan ekstra untuk mencegah model ChatGPT dilatih pada data yang berpotensi sensitif. Skyhigh Security telah menguji kebijakan dalam solusi SWG kami yang memaksa opsi baru ini diaktifkan untuk semua perangkat terkelola yang melewati proxy kami terlepas dari akun mana pengguna masuk.
Memberi sanksi pada layanan
OpenAI juga telah mengumumkan rencana untuk langganan ChatGPT Business di masa mendatang. Dengan opsi langganan baru ini, organisasi akan dapat membuat akun bisnis untuk pengguna mereka dan secara terpusat mengelola bagaimana data mereka ditangani. Hal ini dapat, secara potensial, membawa beberapa kemampuan lain dari platform Skyhigh Security SSE ke dalam permainan. Yang pertama adalah apa yang kami sebut "pembatasan penyewa" yang memungkinkan Anda untuk mengizinkan login hanya untuk penyewa yang telah disetujui, atau contoh, dari sebuah aplikasi sambil memblokir akun pribadi dan pihak ketiga. Ini akan sangat penting jika organisasi ingin menggunakan ChatGPT Business untuk menerapkan kebijakan penanganan data di seluruh perusahaan. Melakukan hal itu akan sia-sia jika Anda tidak dapat mencegah pengguna masuk ke akun ChatGPT pribadi yang tidak terkendali.
Skyhigh SecurityTim teknik kami telah berhasil melakukan proof of concept yang berinteraksi dengan API OpenAI untuk memeriksa file yang diunggah ke platform OpenAI menggunakan bagian cloud access security broker (CASB ) dari portofolio kami. Meskipun API OpenAI belum mendukung semua kasus penggunaan, kami akan terus mencari peluang untuk memindai dan memulihkan data sensitif di penyewa perusahaan dalam proses out-of-band menggunakan kemampuan API CASB kami.
Demikian pula, jika ChatGPT menawarkan kemampuan untuk menggunakan sistem masuk tunggal (SSO) dari penyedia identitas pihak ketiga, maka teknologi CASB dari Skyhigh Securityakan dapat memberikan nilai tambah. Dengan menghubungkan ke proses hand-off SAML antara ChatGPT dan penyedia identitas pihak ketiga, CASB dapat terhubung dengan perangkat apa pun di dunia yang mengautentikasi ke penyewa ChatGPT Anda dan melakukan kontrol akses perangkat. Dengan cara ini, kami dapat membatasi akses ke ChatGPT organisasi Anda sehingga hanya perangkat tepercaya yang mendapatkan akses. Hingga tulisan ini dibuat, belum ada konfirmasi bahwa OpenAI berencana untuk menawarkan SSO, tetapi sangat mungkin karena ini adalah pendekatan umum untuk otentikasi dan manajemen akun.
Bagi rekan-rekan saya di Skyhigh Security, apa yang baru saja kita bahas akan terdengar seperti ringkasan singkat dari percakapan harian kami dengan pelanggan. Inilah yang kami lakukan. Chatbot AI, dan khususnya ChatGPT, mungkin membawa sentuhan baru pada risiko kehilangan data, tetapi bagi para profesional keamanan data, ini masih merupakan pekerjaan yang sama yang membutuhkan alat yang sama dan dengan taruhan yang sama. Kemungkinan besar Anda sudah siap dengan banyak dari alat ini, tetapi jika Anda merasa kontrol keamanan Anda masih kurang, beri kami kesempatan untuk menunjukkan kepada Anda bagaimana kami dapat membantu. Hal ini sesuai dengan keahlian kami karena melindungi data pelanggan adalah hal yang kami lakukan setiap hari.
Untuk mempelajari lebih lanjut tentang bagaimana Skyhigh Security dapat membantu Anda, hubungi kami hari ini.
Kembali ke Blog