OpenAI выпустила свое приложение ChatGPT для iPad и iPhone всего неделю назад, но оно уже стало одним из самых популярных приложений за последние два года: за первые шесть дней было загружено более полумиллиона раз. Это настоящее достижение, но также и вызов — это полмиллиона потенциальных уязвимостей данных.
Чтобы не останавливаться на достигнутом, любимый умный помощник этого года (пока что) теперь также доступен в 41 стране. Нет никаких сомнений в том, что это было одно из самых успешных внедрений программного обеспечения/услуг за все время, но это не меняет присущий этим технологиям риск.
Поднимите красный флаг
Популярность приложения должна стать тревожным сигналом для ИТ-руководителей, которые должны удвоить усилия, чтобы предостеречь персонал от ввода ценных личных или корпоративных данных в службу. Опасность при этом заключается в том, что данные, собранные OpenAI, уже однажды подвергались атаке, и это только вопрос времени, когда кто-то получит эту информацию.
В конце концов, цифровая безопасность сегодня — это не только если инцидент случается, но когда.
Придумав фразу из сборника пьес Apple, лучший способ защитить данные в Интернете — это не размещать информацию там на первом месте. Вот почему iPhone и другие продукты из Купертино (через Китай, Индию и Вьетнам) работают по принципу минимизации данных, уменьшая количество собираемой информации и прилагая все усилия, чтобы уменьшить необходимость отправки ее на серверы для обработки.
Это отличный подход не только потому, что он уменьшает количество информации, которая может ускользнуть, но и потому, что он, в первую очередь, снижает вероятность того, что люди совершат ошибку.
Люди идут
У нас нет такой защиты с приложениями ChatGPT. Помимо полного запрета на использование службы и приложения на управляемых устройствах, ИТ-администраторы почти полностью полагаются на доверие, когда речь идет о том, чтобы их сотрудники не делились конфиденциальными данными с ботом.
Тем не менее, люди есть люди, поэтому неизбежно, что — независимо от того, насколько суровы увещевания против такого использования — мы можем быть уверены, что некоторые люди случайно поделятся конфиденциальными данными через приложение. Они могут даже не осознавать, что делают это, просто рассматривая это как эквивалент поиска в Интернете.
Это та же угроза, что и теневые ИТ, когда люди случайно делятся конфиденциальной информацией в обмен на то, что кажется удобным.
Частный танцор
ИТ-отдел должен учитывать этикетку конфиденциальности приложений, которую OpenAI прикрепил к своему продукту в App Store. Этот ярлык дает понять, что при использовании приложения к пользователю привязываются следующие данные:
- Контактная информация — электронная почта, имя, номер телефона.
- Пользовательский контент — «другой» пользовательский контент.
- Идентификаторы — ID пользователя.
- Данные об использовании — взаимодействие с продуктом.
- Диагностика — сбой, производительность, другие диагностические данные.
Следует также изучить собственную Политику конфиденциальности OpenAI, доступную в Интернете, хотя компания не раскрыла обучающие данные, которые она использует для своих последних ботов.
Проблема здесь в том, что ИТ должны учитывать ограничения последних наряду с неизбежностью человеческой природы. Регуляторы уже обеспокоены последствиями для конфиденциальности. В Канаде регуляторы конфиденциальности расследуют практику конфиденциальности компании, аналогичная деятельность ведется в Европе. (Похоже, OpenAI очень обеспокоена этими расследованиями и предупредила, что может закрыть или не закрыть магазин в Европе, если закон будет слишком строгим.)
Фиолетовый туман
Поток активности вокруг генеративного ИИ в целом и ChatGPT в частности не должен скрывать масштабные последствия этих технологий, которые предлагают огромные преимущества в производительности, но угрожают безопасности рабочих мест в массовом масштабе.
По крайней мере, в краткосрочной перспективе ИТ-администраторы должны сделать все возможное, чтобы эти простые потребительские продукты не угрожали конфиденциальным бизнес-данным. А чтобы это произошло, пользователи должны быть предупреждены о том, что они не должны делиться данными с этими службами, пока это не будет одобрено политикой безопасности и конфиденциальности компании.
Пожалуйста, следуйте за мной на Mastodon или присоединяйтесь ко мне в баре и гриле AppleHolic и Яблоко Обсуждения группы на MeWe.
Авторское право © 2023 IDG Communications, Inc.
