Jonathan Fischbein est le Directeur de la sécurité de l'information pour le fournisseur de cybersécurité Check Point Software. Il a plus de 25 ans d'expérience sur les marchés de la sécurité de haute technologie, façonnant des stratégies de sécurité et développant des solutions ad hoc pour aider les grandes entreprises à atténuer les menaces à la sécurité.
Dans cette interview passionnante et révélatrice, Jonathan Fishbein, RSSI mondial de Check Point, partage un trésor d'informations sur la façon dont votre organisation peut adopter de manière réfléchie la centrale technologique de pointe qu'est ChatGPT. Découvrez comment réaliser un potentiel inexploité tout en restant vigilant en matière de gestion des risques.
Avec une passion flamboyante pour l'innovation et une maîtrise dynamique de son métier, Fischbein éclaire l'intersection du ChatGPT, de l'IA, du risque et de la cybersécurité. Transformez votre approche afin d'obtenir de meilleurs résultats. Découvrez comment.
1. De manière générale, que devraient savoir les RSSI sur ChatGPT et la sécurité de l'entreprise?
Le sujet de l'IA était autrefois un domaine expérimental de niche qui ne concernait que des secteurs très spécifiques; ils utilisaient des agents ou des méthodologies d'IA pour améliorer les produits sur lesquels ils travaillaient. Mais maintenant, la boîte de Pandore est ouverte et est accessible à tous.
Cela signifie que nous avons sorti un jouet — qui peut être utilisé pour de bonnes et de moins bonnes choses — pour les masses gratuitement. Tout le monde veut jouer avec et même essayer ses limites. Les gentils cherchent à en tirer parti pour en faire bon usage, tandis que les méchants l'utilisent déjà pour développer une nouvelle génération de cyber-campagnes super sophistiquées.
…
Examinons le mandat des RSSI ou BISO, qui doivent permettre à l'entreprise de prospérer, d'innover et d'aller de l'avant. Si les responsables de la sécurité n'adoptent pas les outils disponibles (comme ChatGPT), les entreprises languiront et resteront en panne.
Vos concurrents veulent utiliser n'importe quelle technique ou outil disponible afin d'améliorer leur activité. Et c'est complètement Casher. Le problème est qu'avec chaque nouveau “jouet”, l'adoption de l'objet — dans ce cas ChatGPT, et dans les coulisses, c'est l'IA — est beaucoup plus perturbatrice que ce que nous avions tous anticipé.
Les RSSI et ceux qui sont en charge de la gestion des risques voient tous le risque, mais nous n'avons pas assez d'outils pour le contrôler. Par exemple, un employé, comme vous, pourrait prendre un fichier Excel et le saisir dans ChatGPT. Vous pourriez alors demander à ChatGPT: "Que pensez-vous de ce fichier Excel? Pouvez-vous exécuter une analyse de données sur ce fichier Excel?” C'est la même chose avec une base de données.
Nous avons tous vu des outils qui sont des modules complémentaires à ChatGPT qui autorisent les API. Disons que je crée une API avec ChatGPT et que je dis: "ChatGPT, permettez-moi de saisir ces données et de me donner votre avis...” Et nous savons que les données d'entrée peuvent contenir des Informations personnelles identifiables (PII), des données client et des actifs très critiques qui ne devraient pas être en dehors de certains endroits.
Je pense que nous devons utiliser la même approche conservatrice que pour d'autres aspects de la sécurité et être prudents, et enseigner à nos employés ce qu'ils peuvent faire et ce qu'ils ne peuvent pas faire lorsqu'ils utilisent ChatGPT ou d'autres solutions d'IA qui existent.là.
2. Comment ChatGPT peut-il soutenir activement les professionnels de la sécurité dans leurs tâches quotidiennes?
Politiques améliorées. Nous pouvons demander à ChatGPT de nous aider à améliorer nos politiques de sécurité. Et c'est incroyable. C'est juste stupéfiant. Et c'est très agréable. Par exemple, je pourrais demander “" Veuillez me donner une politique mise à jour pour la gouvernance des données” et boum, moins de cinq secondes plus tard, vous avez une politique de données complète, nouvelle et mise à jour.
Au lieu que les entrepreneurs investissent des heures dans la rédaction de politiques et le polissage de choses, ce moteur d'IA vous donne la solution. Nous comprenons que ChatGPT n'a pas réinventé la roue; l'outil ne fait que baser les réponses sur une énorme quantité d'autres informations. En d'autres termes, ce que les autres utilisent comme meilleures pratiques est simplement condensé et reproduit les informations de manière très agréable et organisée.
Communications. Je peux demander à ChatGPT ‘Aidez-moi à écrire une communication à nos utilisateurs, en expliquant X, Y et Z". Je peux même demander à ChatGPT de l'expliquer d'une manière qu'un garçon de 12 ans comprendrait. Et ChatGPT le fera. Ou si je veux essayer d'expliquer la dernière campagne de phishing à ma mère, ChatGPT mettra le bon langage ensemble. Vous voyez l'idée.
Ce genre de choses — ces domaines où ChatGPT peut nous aider — ne présente aucun risque.
3. Où suggéreriez-vous que les professionnels de la cybersécurité réfléchissent à deux fois avant d'utiliser ChatGPT?
Pour le moment, je pense qu'il n'y a pas assez de garanties au sein de ChatGPT pour contrôler les risques.
Nous voyons déjà des équipes de développement essayer de créer des API pour permettre à ces solutions d'IA de nous aider en tant qu'aide tierce. Par exemple, ma base de règles, pour la liste d'accès, contient plus de 5 000 règles. Mais nous convenons tous que toutes ces règles ne sont pas nécessaires. Ainsi, j'ai pu connecter ma base de règles, qui est quelque chose d'extrêmement confidentiel, à ChatGPT. Cependant, dois-je le connecter à ChatGPT pour lui demander d'être analysé?
Je n'ai pas assez confiance en ces solutions pour partager des informations aussi confidentielles. En sécurité, on revient toujours à la confiance. La confiance est le défi #1. Si nous n'avons pas une confiance totale, il nous est difficile de passer à la deuxième ou à la troisième étape avec cette technologie.
4. Il existe plusieurs risques spécifiques associés à l'utilisation de modèles de langage tels que ChatGPT et certains éléments clés à garder à l'esprit:
Fuites de données: Des informations sensibles telles que des informations commerciales confidentielles, du code, des données client et des informations personnelles peuvent être divulguées.
Atteintes à la vie privée: Des informations personnelles peuvent être divulguées si des modèles de langage tels que ChatGPT ne sont pas correctement configurés pour protéger la confidentialité. Cela peut entraîner des violations des lois et règlements sur la protection de la vie privée et nuire à la réputation d'une entreprise.
Biais et équité: Les modèles de langage comme ChatGPT peuvent être formés sur des données biaisées, ce qui peut entraîner des résultats biaisés. Cela peut avoir une incidence sur la prise de décision et entraîner de la discrimination et d'autres résultats injustes.
Désinformation: Les modèles de langage comme ChatGPT peuvent produire des informations incorrectes ou trompeuses, ce qui peut avoir des conséquences négatives, telles que la diffusion de fausses informations, la prise de décisions incorrectes et l'atteinte à la réputation d'une entreprise.
Lorsque vous utilisez ChatGPT ou d'autres outils similaires, veillez à utiliser l'anonymisation des données et à supprimer ou masquer les informations sensibles telles que les informations commerciales confidentielles, le code confidentiel, les données client, les coordonnées des employés, les adresses et autres informations personnelles. Cela réduira le risque de fuites de données et d'atteintes à la vie privée.
5. Qu'en est-il des aspects politiques et réglementaires de ChatGPT et de l'IA?
Je pense que ces outils d'IA devraient être réglementés et qu'ils devraient être surveillés. En ce qui concerne ces outils d'IA, personne ne sait ce qui se cache derrière eux, qui se cache derrière eux, où vont les données et cela me rappelle un peu l'affaire Cambridge Analytica.
Dans cette situation, le problème n'était pas que les collecteurs de données prenaient les données et les redistribuaient. Le problème était que les collecteurs de données savait qu'ils l'utilisaient pour influencer la politique.
Ce fut une grande surprise pour certains et c'était illégal. Je pense qu'il ne serait pas surprenant que certaines de ces solutions d'IA soient utilisées pour obtenir un avantage ultérieurement.
6. Comment les cyberattaquants utilisent-ils ChatGPT?
Nous voyons des cyberattaquants améliorer leurs techniques de phishing à l'aide de ChatGPT. La composition est beaucoup plus approfondie et beaucoup plus crédible qu'auparavant. Nous voyons des logiciels malveillants provenant de ChatGPT. Les humains peuvent lui demander d'écrire des scripts Python...etc. Il est possible de développer un jour zéro via ChatGPT. Rien de tout cela n'est bon. Il existe des sauvegardes/contrôles dans ChatGPT, mais pour le moment, ils peuvent être facilement contournés.
7. OpenAI, la société mère de ChatGPT, fera-t-elle quelque chose à ce sujet?
Ouais. Définitivement. Parce qu'ils comprennent les risques. Même si ChatGPT est un bon 90% du temps, ils doivent encore tout mettre en œuvre pour atténuer les vecteurs connus d'utilisation abusive de la plate-forme.
Il y a eu de bonnes améliorations et je pense que c'est un sujet passionnant.
8. Passer de ChatGPT à l'IA: Comment l'IA est-elle infusée dans la cybersécurité aujourd'hui?
Au sein de Check Point, nous utilisons l'IA depuis quelques années pour améliorer nos mécanismes de prévention des menaces et obtenir des verdicts plus précis. Nous utilisons plusieurs moteurs d'IA. L'IA, en général, est en cours d'examen pour être utilisée dans divers domaines de la R&D.
De plus, l'IA est utilisée dans d'autres départements et rôles. Pensez aux analystes qui s'occupent des campagnes ou aux centres d'assistance utilisant des solutions tierces qui utilisent déjà l'IA.
…
En général, bien que les organisations aient constaté que l'IA est sexy, cela ne signifie pas que nous devons l'utiliser partout. Nous devons être prudents. Nous devons l'utiliser quand c'est pertinent, et non quand ce n'est pas pertinent.
Voici un exemple de surutilisation de l'IA. Au cours des 5 dernières années, nous avons vu le modèle où 60 à 70% des entreprises de haute technologie utilisent des chatbots alimentés par l'IA pour le support client. Habituellement, lorsque vous avez besoin d'assistance client, vous avez besoin de quelque chose qui ne figure pas dans le menu du chatbot. Et donc, lorsque vous avez besoin d'une aide réelle, il est plus que difficile de faire appel à une personne réelle au téléphone pour vous aider. À mon avis, c'est le mauvais côté de la technologie.
9. Il y a quelques semaines, les dirigeants mondiaux ont signé une lettre disant qu'il devrait y avoir une pause de 6 mois sur le développement de l'IA en raison des " risques profonds pour notre société."Tes pensées?
Je pense que pas un seul développeur d'IA n'a cessé de travailler. Je pense le contraire. Les développeurs prennent leur travail plus au sérieux.
Mais cette lettre, à mon avis, est un signal d'alarme disant: "les gars, nous devons être prudents avec cette technologie."Je veux dire, on a tous adoré, c'est cool, mais c'est aussi une boîte de Pandore.
Ça a commencé et maintenant il faut voir où ça va. Espérons que cela ne mettra pas des vies en danger et que personne ne connectera quoi que ce soit à l'IA sans réfléchir à toutes les implications.
10. D'autres idées pour les chefs d'entreprise sur les sujets de ChatGPT et/ ou de l'IA?
Pour les chefs d'entreprise, adoptez une approche par petits pas. Ne vous précipitez pas sans dicter une politique et des garanties à la suite d'un processus d'évaluation des risques.
Nous sommes sûrs d'en savoir plus sur ChatGPT dans les semaines et les mois à venir. Restez à l'écoute pour d'autres développements sur le sujet.
La poste Naviguer dans la boîte de Pandore qu'est ChatGPT: Les idées d'un CISO mondial apparu en premier sur CyberTalk.