Kemajuan pesat dalam model bahasa berskala besar (LLMs) dan kecerdasan buatan generatif telah membawa tantangan baru bagi tim keamanan. Kecerdasan buatan generatif, yang memperkenalkan cara-cara baru untuk mengakses data, tidak sesuai dengan paradigma keamanan tradisional yang utamanya berfokus pada mencegah akses data oleh individu yang tidak berwenang.
Untuk memungkinkan organisasi merangkul kecerdasan buatan generatif dengan efektif tanpa risiko yang tidak perlu, penyedia layanan keamanan harus merevisi program mereka untuk mempertimbangkan jenis risiko baru ini dan tekanan yang ditimbulkan pada program yang sudah ada.
Perantara yang tidak dapat dipercaya: Sumber baru shadow IT
Sebuah industri baru saat ini sedang muncul dan berkembang berdasarkan LLMs yang dihosting oleh layanan seperti OpenAI, Hugging Face, dan Anthropic. Selain itu, beberapa model terbuka, seperti LLaMA dari Meta dan GPT-2 dari OpenAI, dapat diakses dengan mudah. Akses ke model-model ini dapat membantu karyawan dalam mengatasi tantangan bisnis dalam organisasi. Namun, tidak semua orang dapat mengakses model-model ini secara langsung karena berbagai alasan. Oleh karena itu, karyawan sering mencari alat, seperti ekstensi peramban, aplikasi produktivitas SaaS, aplikasi Slack, dan API berbayar, yang menjanjikan akses yang mudah ke model-model ini.
Perantara-perantara ini dengan cepat menjadi sumber baru untuk TI bayangan. Menggunakan ekstensi Chrome untuk membuat email penjualan yang lebih baik mungkin terasa lebih seperti peningkatan produktivitas daripada berurusan dengan vendor. Bagi banyak karyawan, mungkin tidak terlihat bahwa dengan berbagi semua ini dengan pihak ketiga, mereka secara tidak sengaja mengungkapkan data sensitif yang sangat penting.
Pelatihan melintasi batas keamanan
Jenis risiko ini relatif baru bagi sebagian besar organisasi. Ada tiga batasan potensial terkait dengan risiko ini:
- Batasan antara pengguna model yang mendasar.
- Batasan antara pelanggan perusahaan yang menyempurnakan model berdasarkan model yang mendasar.
- Batasan antara pengguna dalam organisasi dengan hak akses data yang berbeda yang digunakan untuk menyempurnakan model.
Dalam setiap kasus ini, isu penting adalah memahami data yang masuk ke dalam model. Hanya individu yang memiliki akses ke data pelatihan atau data untuk penyempurnaan yang seharusnya memiliki akses ke model yang dihasilkan. Misalnya, jika sebuah organisasi menggunakan produk yang menyempurnakan LLM menggunakan konten dari rangkaian produktivitasnya, bagaimana alat tersebut dapat memastikan bahwa saya tidak dapat menggunakan model tersebut untuk mengambil informasi dari dokumen yang tidak saya miliki aksesnya? Selain itu, bagaimana cara alat ini akan memperbarui mekanisme ini jika hak akses saya dicabut? Ini adalah masalah yang dapat dikelola tetapi memerlukan pertimbangan khusus.
Pelanggaran privasi: Penggunaan Kecerdasan Buatan dan PII
Meskipun pertimbangan privasi bukan hal baru, penggunaan kecerdasan buatan generatif dengan informasi pribadi dapat membuat masalah ini menjadi lebih kompleks. Di banyak yurisdiksi, pemrosesan otomatis informasi pribadi untuk menganalisis atau memprediksi aspek tertentu dari individu diatur. Penggunaan alat kecerdasan buatan dapat menambahkan nuansa pada proses ini dan membuat kepatuhan terhadap persyaratan seperti menawarkan opsi pengecualian menjadi lebih rumit. Pertimbangan lain adalah bagaimana pelatihan atau penyempurnaan model pada informasi pribadi dapat memengaruhi kemampuan untuk mematuhi permintaan penghapusan, pembatasan penggunaan ulang data, tempat tinggal data, dan persyaratan privasi serta peraturan lain yang ketat.
Menyesuaikan program keamanan dengan risiko kecerdasan buatan
Keamanan vendor, keamanan perusahaan, dan keamanan produk sangat dipengaruhi oleh jenis risiko baru yang diperkenalkan oleh kecerdasan buatan generatif. Masing-masing program ini perlu beradaptasi secara efektif untuk mengelola risiko-risiko ini ke depan. Berikut adalah caranya:
Keamanan vendor: Perlakukan alat kecerdasan buatan seperti vendor lainnya
Titik awal untuk keamanan vendor dalam hal alat kecerdasan buatan generatif adalah memperlakukan alat-alat ini serupa dengan alat-alat dari vendor lainnya. Pastikan bahwa mereka memenuhi persyaratan standar keamanan dan privasi Anda. Tujuannya adalah untuk memastikan bahwa mereka akan bertindak sebagai pengelola data yang dapat dipercaya. Mengingat kebaruan alat-alat ini, banyak vendor mungkin menggunakan alat-alat ini dengan cara yang kurang bertanggung jawab. Oleh karena itu, disarankan untuk menambahkan pertimbangan tambahan dalam proses evaluasi Anda. Misalnya, Anda dapat mempertimbangkan untuk menambahkan pertanyaan ke dalam kuesioner standar Anda yang terkait dengan penggunaan data, hosting model, pengendalian akses, dan pendekatan untuk mengatasi halusinasi dalam model kecerdasan buatan. Evaluasi Anda dapat mengambil berbagai bentuk, dan kerangka kerja kepatuhan standar seperti SOC 2 dan ISO 27001 kemungkinan akan menggabungkan kontrol yang relevan dalam versi-versi mendatang.
Keamanan perusahaan: Tetapkan ekspektasi yang sesuai
Menyeimbangkan antara gesekan dan kemanfaatan bervariasi dari satu organisasi ke organisasi lainnya. Organisasi Anda mungkin sudah memiliki kontrol yang ketat terkait ekstensi peramban dan aplikasi OAuth dalam lingkungan SaaS Anda. Sekarang adalah waktu yang baik untuk mengevaluasi kembali pendekatan Anda untuk memastikan bahwa Anda mencapai keseimbangan yang tepat. Aplikasi perantara yang tidak dapat dipercaya sering kali berbentuk ekstensi peramban yang mudah dipasang atau aplikasi OAuth yang terhubung ke aplikasi SaaS yang sudah ada. Ini adalah vektor yang dapat diamati dan dikendalikan. Risiko karyawan menggunakan alat yang mengirimkan data pelanggan
Sumber : https://venturebeat.com/security/generative-ai-a-pragmatic-blueprint-for-data-security/