ChatGPT נכנס לחיינו בסערה והפך לכלי שמיליוני בני אדם משתמשים בו מדי יום. רובנו נעזרים בו על מנת לקבל סיוע במטלות שונות בעבודה- מניסוח מיילים ועד כתיבת קוד. הטכנולוגיה נגישה וקלה מאוד לשימוש ומאפשרת לקצר תהליכים, ואפילו לייעל אותם באופן משמעותי, כך שלעיתים התוצאה תהיה טובה יותר מאשר ללא שימוש בצ׳אטבוט. לצד היתרונות הרבים והברורים של מודלי שפה כמו ChatGPT, Google Bard ואחרים, לטכנולוגיה החדשה יש גם לא מעט בעיות שעלולות להביא לסכנות כמו פגיעה בפרטיות ודליפות מידע רגיש וקריטי, לאנשים פרטיים או לארגונים. 

הסיבה שמובילה לדליפת מידע היא העובדה שברירת המחדל במרבית מודלי השפה השונים היא שכלל השיחות שאנו מנהלים עם הצ׳אטבוטים נשמרות על שרתי החברות המפתחות והן משתמשות בו על מנת להמשיך ולפתח ולאמן את הבינה המלאכותית. לכן, החשש הוא שאם אדם פרטי או עובד יזין מידע רגיש, מידע עסקי סודי, חלק מקוד או כל דבר אחר, המידע יוכל להגיע לעובדי OpenAI, גוגל או מייקרוסופט שיוכלו להשתמש בו. יתרה מכך, הבוט עצמו יוכל להדליף את המידע על ידי שיתופו עם משתמשים אחרים, ובכך לסכן פרטים אישיים, סודות עסקיים ומידע רגיש אחר. 

רק לאחרונה חברת סמסונג אסרה על עובדיה להשתמש ב-ChatGPT ודומיה לאחר שעובדי החברה שעשו שימוש במודל חשפו מידע רגיש הקשור לקוד של החברה, ועלול לפגוע בה באופן משמעותי. אחריה גם אפל החליטה להגביל את שימוש העובדים במודלי שפה מחשש לדליפת מידע למיקרוסופט המתחרה, שמשתפת פעולה עם OpenAI. אחרי חברות הענק, גם שורה של חברות נוספות בארץ ובעולם החליטו לאמץ את הגבלת השימוש כפתרון ראוי בעיניהן להתמודדות עם הבעיה. למרות מה שרבים חושבים, התעלמות מטכנולוגיה כה משמעותית, שכבר ידוע כי היא תשנה את העולם ומקצועות רבים בו, אינה הדרך לפתור את הבעיה. הסוגיה הביאה לכך שהשאלה המשמעותית בעולם הטכנולוגי בימים אלו היא איך משתמשים ביתרונות שמביאה עימה טכנולוגיית ה-GenAI מבלי להסתכן בדליפות מידע רגיש? 

בחודשים האחרונים מנהלי אבטחת מידע בארגונים עימם אנחנו עובדים שיתפו איתנו בדאגה כי זליגת מידע לצ׳אטבוט הפכה לבעיית האבטחה הגדולה ביותר עבורם בעת הנוכחית. כשהבנו את גודל הסוגייה, החלטנו לפתח תוסף לדפדפן שמונע את זליגת המידע הרגיש, ומצנזר שמות, כתובות מייל, פרטי אשראי ועוד. בכך אנחנו מאפשרים לארגונים להשתמש במודלים השונים בבטחה, וללא סכנה ממשית לארגון. מלבד הפתרון שפיתחנו בתוך הבית מתוך צורך שעלה, ישנם עוד מספר דברים שניתן לעשות בנושא, כאשר בראש ובראשונה הדבר הכי חשוב הוא להבין מול מה אנחנו מתמודדים. 

כאשר אנחנו מדברים על אבטחת מידע בארגונים וחברות, הדבר הראשון שניתן לעשות הוא להביא לידיעת העובדים את הבעיה והרגישות, לחנך את העובדים כיצד נכון להשתמש במודלי השפה השונים ולקבוע צעדים מוסכמים לשימוש בטוח בטכנולוגיה, למשל, באילו נושאים מותר להשתמש בצ׳אט ובאילו לא. כך אפשר להפחית או לצמצם את השימוש בטכנולוגיה במסמכים המכילים פרטים רגישים, אך לא לאסור אותו לגמרי. 

פתרון נוסף אליו לא מודעים כל המשתמשים הוא שימוש במודלים שונים בתשלום שמונעים את אחסון הדאטה המועבר בשיחה עם הצ׳אט. כך, לא יישמרו או ישמשו לאימון המודל, אבל לא כל המשתמשים מודעים לכך. בנוסף לכך, חלק מהחברות החליטו על פיתוח כלים פנימיים שישמשו כתחליף למודלי השפה שקיימים בציבור, או גישה למודלים המוכרים באמצעות חברות הענן, שמבטיחות כי המידע של הלקוחות לא ישמש לאימון הצ׳אטבוט. 

לסיכום, לא משנה במה תבחרו, העיקר שתכירו את המגבלות ואת הפתרונות העומדים לרשותכם. בתחום הסייבר ואבטחת המידע הדבר החשוב ביותר הוא להגן על המידע הרגיש הקיים בארגון, והימנעות משימוש במודלי הבינה המלאכותית השונים אינה הפתרון לכך. ככל שטכנולוגיות מהסוג יהפכו למתקדמות יותר, כך לא יהיה ניתן להתעלם מהן. על כל מנכ״ל, מנהל אבטחת מידע או ארגון שרוצה לאפשר לעובדים שלו לעבוד עם הטכנולוגיות המתקדמות ביותר ובו בזמן להגן על עצמו, ללמוד את הסוגייה ולחשוב כיצד ירצה לטפל בה, על מנת להביא לשגשוג והתייעלות של כלל העובדים, ושל הארגון כולו.   

מהן השפעות הבינה המלאכותית על מתקפות מניעת שירות מבוזרות (DDoS attacks)? קראו את הבלוג של