Článek přečtěte do 7 min.

V současné době se v prostoru umělé inteligence děje tolik zajímavých věcí.

Jedním z nich je integrace Microsoft Copilot, generativní umělé inteligence, s aplikacemi Microsoft 365. Tato fúze přináší schopnosti Copilotu do komplexních nástrojů kancelářské produktivity sady, které transformují každodenní pracovní zátěž a zvyšují efektivitu produktivity prostřednictvím automatizace každodenních úkolů a zároveň nabízejí přehledy a analyzují data.

Mezi klíčové vlastnosti patří:

  • Rychlé vytváření dokumentů a prezentací prostřednictvím chatu nebo pomocí firemních šablon a zdrojů.
  • Doporučení pro vzorce, výběry grafů a přehledy o datech tabulkového procesoru.
  • Zachyťte akční položky na schůzce Teams pro jiný kontext.
  • Shrnutí e-mailových vláken, které uživatelům pomáhá rychle pochopit podstatu diskusí.

Základní bezpečnostní problémy s Copilotem

Aplikace Microsoft 365 pracují s daty, což znamená, že musíte být schopni zajistit, aby data zůstala v bezpečí, a to je místo, kde se začínají objevovat bezpečnostní obavy Microsoft Copilot. Přestože Copilot neuvěřitelně usnadňuje vytváření obsahu, tento obsah může zahrnovat citlivá data, jako jsou osobní údaje jiných lidí. Jeho schopnost stručně shrnout obsah je působivá, přesto riskuje, že odhalí informace, které by měly zůstat důvěrné.

Dalším bezpečnostním rizikem Microsoft Copilot je bezproblémové načítání dat z integrovaných aplikací Copilotem, což může vést uživatele k nechtěnému ukládání citlivých informací na méně zabezpečená místa, jako jsou osobní účty OneDrive. Zatímco Copilot usnadňuje zachycení informací z integrovaných aplikací, uživatelé mohou snadno ukládat zachycená citlivá data v nezabezpečených oblastech, jako jsou osobní sdílené položky OneDrive. Pohodlí, které nabízí Copilot, nepopiratelně zvyšuje produktivitu, ale také zavádí složitost při udržování přísných bezpečnostních opatření. Například to, že uživatel vyzývající Copilot může mít přístup k souboru, neznamená, že všechna data v tomto souboru by měla být viditelně využita.

Považujte Copilot za podobného jakémukoli jinému uživateli ve vaší organizaci, což vyžaduje přísná bezpečnostní opatření. Stejným způsobem, jakým mohou být jednotlivé uživatelské účty zacíleny a potenciálně ohroženy aktéry hrozeb, mohou být také zneužita přístupová oprávnění Copilot. To znamená, že aktéři ohrožení by mohli získat přístup ke stejným datům a systémům, ke kterým má Copilot povolen přístup. V důsledku toho je nezbytné pečlivě monitorovat a kontrolovat přístupová práva Copilot a zajistit, aby byla omezena pouze na to, co je nezbytné pro jeho provoz. Tato praxe, známá jako zásada nejmenšího privilegia, minimalizuje riziko neoprávněného přístupu nebo narušení dat. Měly by být implementovány pravidelné audity a monitorování aktivit Copilot v reálném čase, protože se dozvídá více o vašem prostředí, což může pomoci odhalit a zmírnit potenciální bezpečnostní hrozby. Pokud budete s Copilotem zacházet se stejnou úrovní bezpečnostní ostražitosti jako s jakýmkoli jiným uživatelem, můžete lépe chránit digitální aktiva své organizace před zneužitím.

Specifické bezpečnostní chyby

Generativní AI IT schopnosti Copilot mohou výrazně zefektivnit vytváření originálního obsahu pomocí jednoduchých výzev. Jeho účinnost však přichází s problémy, zejména při plnění požadavků bez ohledu na zabezpečení dat. Pokud například uživatel požádá o shrnutí všeho, co souvisí s konkrétním projektem, Copilot zahrne vše bez ohledu na aspekty zabezpečení dat.

Některé z primárních chyb zabezpečení zahrnují následující:

  • Nesprávná oprávnění: Copilot pracuje v souladu s oprávněními nastavenými v rámci Microsoft 365. Jakýkoli příliš široký přístup může vést k nekontrolovanému šíření citlivých dat, což zvyšuje riziko porušení a potenciální sankce za dodržování předpisů.
  • Nepřesná klasifikace dat: Implementace zabezpečení na Copilot závisí na přesném použití štítků citlivosti, které chrání data. Data zůstávají v ohrožení, pokud dojde k chybnému označení nebo pokud klasifikace dat postrádá konzistentnost. Ruční proces označování souborů a dat štítky citlivosti je náchylný k chybám, zatímco technologie označování společnosti Microsoft se nemusí rozšířit na všechny druhy souborů.
  • Obsah generovaný Copilotem: Dokumenty vytvořené Copilotem v reakci na požadavky uživatelů automaticky neaplikují štítky citlivosti ze svých zdrojových materiálů. V důsledku toho mohou být nově vytvořené dokumenty obsahující citlivé informace neúmyslně přístupné neoprávněným stranám.

Microsoft Copilot umožňuje uživatelům škálovat jejich pracovní zátěž bezprecedentními způsoby. Tato výhoda však může představovat i dvojsečný meč, protože potenciál pro nadměrné sdílení obsahu a nedostatečná správa dat může zvýšit riziko narušení dat a kybernetických útoků.

Vysvětlení zabezpečení dat druhého pilota

Nejprve se podívejme na vlastní zabezpečení Microsoft 365 Copilot. Microsoft klade velký důraz na zabezpečení a začleňuje řadu bezpečnostních protokolů a opatření na ochranu dat k zajištění bezpečnosti a soukromí dat v rámci Microsoft 365.

  • Copilot dodržuje většinu standardů zabezpečení a dodržování předpisů, včetně standardů GDPR a HIPAA.
  • Veškerá komunikace mezi tenantem uživatele a komponentami Copilot je šifrována, aby byl zajištěn důvěrný a bezpečný přenos dat. Naproti tomu data chatu jsou šifrována jak při přenosu, tak v klidu.
  • Copilot splňuje všechny požadavky na umístění dat, aby zajistil, že data budou uložena a zpracována v rámci specifikovaných geografických hranic.
  • Microsoft Entra ID se používá k ověřování, aby bylo zajištěno, že přístup je řízen přísnými kontrolami přístupu.
  • Protokoly manipulace s daty zajišťují, že výzvy a odpovědi nejsou ukládány a jsou zahozeny ihned po skončení relace, což zabraňuje jejich použití při trénování základních velkých jazykových modelů.
  • Z důvodu ochrany před neoprávněným šířením dat není povoleno výchozí sdílení třetí stranou.

Začněte s bezpečným základem: Klasifikace dat

Microsoft Copilot představuje nové paradigma počítačové inteligence. To znamená, že na toto paradigma musíte připravit své podnikové prostředí. Vzhledem k tomu, že Copilot používá při provozu vaše stávající oprávnění a zásady, musíte zajistit, aby vaše ustanovení o zabezpečení dat udržela Copilot v provozu v rámci zásady nejmenších oprávnění.

To začíná viditelností a zodpovězením základních otázek, jako jsou:

  • Jaký typ dat máte a kde jsou uloženy?
  • Jak jsou tato data sdílena a jak se k nim přistupuje?
  • Jak jsou tato data využívána?
  • Jak vaše společnost filtruje citlivé nebo zastaralé informace?

Pak potřebujete přehled o svém prostředí, abyste věděli, jaký typ dat máte a kdo k nim již má přístup. Nemůžete totiž zabezpečit to, co nevidíte. Zde mohou být neocenitelné nástroje jako Netwrix Data Classification nebo Netwrix Enterprise Auditor. Tyto produkty provádějí automatické zjišťování citlivých a regulovaných dat v rámci aplikace Microsoft 365. Tím je zajištěno, že Copilot přistupuje pouze k konkrétně určeným údajům, které předepisujete. Dále zvyšuje viditelnost aplikací označení klasifikace dat na všechna data, prosazováním zásad správy a snižováním rizika incidentů zabezpečení dat. Tento pečlivý přístup zajišťuje, že Copilot neúmyslně nezpřístupní nebo nevystaví citlivé informace. Po dokončení počáteční fáze zjišťování a klasifikace budou Netwrix Data Classification a Netwrix Enterprise Auditor trvale monitorovat a klasifikovat jakýkoli nový obsah vytvořený Copilotem na základě těchto stanovených kritérií. Tato nepřetržitá ochrana zajišťuje udržování bezpečnostních opatření v průběhu času, poskytuje trvalý dohled a ochranu proti potenciálním rizikům.

Zarovnání oprávnění pro nejmenší oprávnění

Po naskenování a označení každého souboru je čas implementovat přístup s nejmenšími oprávněními nebo přijmout zásadu nulové důvěry pro vaše citlivá data. Zpráva Microsoft 2023 State of Cloud Permissions Risks Report zdůrazňuje znepokojivý problém, že mnoho identit má nadměrné oprávnění a představuje pro organizace značné riziko. Vzhledem k tomu, že více než 50 % uživatelů bylo povýšeno do stavu superadministrátora a méně než 2 % těchto oprávnění jsou aktivně využívána, musí organizace upravit oprávnění superadministrátora, aby zmírnily riziko zneužití oprávnění. Zpráva dále odhaluje, že více než 50 % cloudových dat je spojeno s vysoce rizikovými oprávněními, což umožňuje široký přístup k velkým skupinám uživatelů, které zahrnují každého. To podtrhuje důležitost pečlivé správy přístupových práv pro efektivní zabezpečení citlivých informací.

Netwrix Auditor a Netwrix Data Classification společně zvyšují zabezpečení vašich nejkritičtějších aktiv, ať jsou kdekoli. Usnadňují procesy identifikace citlivých dat v celém vašem IT ekosystému a mohou poskytnout podrobné vyhodnocení rizik, upozornit na přeexponované soubory a odhalit rizikové účty kvůli nadměrným oprávněním. Můžete je použít k analýze a kontrole vašich datových oprávnění a určení, kdo má přístup k jakým datům (včetně Copilota), jak tento přístup získal a zda jsou úrovně přístupu vhodné. To pomůže zabránit neoprávněnému vystavení dat ze strany Copilot.

Netwrix Enterprise Auditor pomáhá snižovat riziko narušení dat tím, že odhaluje citlivá data, včetně obsahu generovaného umělou inteligencí, a udržuje k nim přístup na nejnižší úrovni oprávnění. Zdůrazňuje rizika související s citlivými daty a pomáhá napravit hrozby tím, že opravuje podmínky, které ohrožují vaše citlivá data, například zrušením nadměrných oprávnění k datům, deaktivací uživatelů, úpravou členství ve skupině a mnoha dalšími. Ochrana po nasazení

Zabezpečení vašeho počátečního prostředí je zásadní pro zmírnění rizika, že se Copilot stane vektorem zranitelností zabezpečení. Úkol bezpečnostní analýzy však přesahuje počáteční nastavení. Jakmile je Copilot nasazen, musíte své prostředí neustále monitorovat, protože aktéři ohrožení potřebují ke spuštění exploitu pouze výpadek zahrnující Copilota. Netwrix Enterprise Auditor sleduje, kdo a v jakém rozsahu přistupuje ke kterým datům, a poté pomáhá zrušit nepotřebná práva. Netwrix Auditor může nepřetržitě monitorovat všechny dotyky dat, požadavky na ověření, použití oprávnění a změny objektů ve vašem prostředí Microsoft 365. Nepřetržité monitorování pomůže zkrátit dobu do detekce (TTD) a zkrátit dobu odezvy (TTR), takže bezpečnostní kompromisy jsou pod kontrolou dříve, než se mohou rozšířit do oblastí citlivých dat. Po identifikaci nových zranitelných vzorců pracovních postupů lze zásady automaticky aktualizovat a aplikovat za účelem zvýšení jejich zabezpečení. Nyní jsme ve věku, kdy je audit pro generativní umělou inteligenci stejně zásadní jako pro jednotlivé uživatele.

Závěr

S využitím schopností velkých jazykových modelů (LLM) a generativní umělé inteligence může Microsoft Copilot nepochybně zvýšit produktivitu vašich zaměstnanců a zvýšit hodnotu rozsáhlých archivů obsahu, které váš tým za ta léta nashromáždil. Tato výkonná technologie však přináší i značná rizika. Bez dodržení pokynů a osvědčených postupů zde uvedených by generativní nástroje a služby umělé inteligence mohly potenciálně odhalit citlivá data a vytvářet zranitelnosti. Tím se vaše organizace vystavuje riziku ztráty dat, krádeže a zneužití, které si nemůžete dovolit.

Často kladené otázky

Je bezpečné používat Microsoft Copilot?

Microsoft Copilot je navržen s přísnými bezpečnostními protokoly, aby bylo zajištěno jeho bezpečné používání v prostředí Microsoft 365. Dodržuje přísné standardy ochrany soukromí a zabezpečení, zajišťuje důvěrnost dat prostřednictvím integrovaného šifrování a zahrnuje solidní autentizační a autorizační opatření.

Jaké je riziko Copilota?

Integrace jakékoli nové technologie, včetně Copilota, s sebou nese vlastní rizika. Schopnost Copilota načítat a generovat data může vést k nadměrnému rozšíření oprávnění. Vzhledem k jeho přístupu k širokému spektru organizačních dat existuje potenciální riziko, že neoprávněné osoby neúmyslně odhalí nebo zpřístupní citlivé informace. Díky tomu je zabezpečení Microsoft 365 a prostředí úložiště dat kritické před implementací Copilota.

Je Microsoft Copilot soukromý?

Microsoft Copilot upřednostňuje soukromí uživatelů a zabezpečení dat a využívá Microsoft Entra ID pro ověřování, aby bylo zajištěno, že přístup je omezen na oprávněné uživatele prostřednictvím jejich pracovních účtů. Neukládá žádné uživatelské výzvy ani odpovědi, ani nevyužívá žádná data k trénování podpůrného velkého jazykového modelu. Kromě toho jsou všechna data chatu zašifrována jak při přenosu, tak v klidu, což zajišťuje, že v nich není zabudován žádný spyware nebo sledovací zařízení.

Jak můžeme zabránit používání Copilota bez komerční ochrany dat?

Organizace musí upřednostňovat ochranu komerčních dat, a přestože Microsoft Copilot přináší nové potenciální problémy, jejich řešení začíná stanovením jasných pokynů pro přijatelné použití Copilot ve vaší organizaci. Tyto pokyny by měly podrobně uvádět typy dat, ke kterým má Copilot přístup a za jakých okolností. To vyžaduje klasifikaci vašich dat a implementaci řízení přístupu, aby bylo zaručeno, že Copilot mohou používat pouze oprávnění pracovníci. Nepřetržité monitorování přístupu k datům je nezbytné i po nasazení Copilota.

Je Copilot kompatibilní s HIPAA?

Microsoft Copilot je v souladu se zákonem Health Insurance Portability and Accountability Act (HIPAA) a dalšími významnými regulačními standardy, včetně obecného nařízení o ochraně osobních údajů (GDPR).

Používá Microsoft Copilot vaše data?

Společnost Microsoft nesdílí vaše data s žádnými třetími stranami bez souhlasu. Veškerá data obsažená v uživatelských interakcích s Copilotem, jako jsou výzvy a odpovědi, jsou uložena v rámci cloudové důvěryhodnosti společnosti Microsoft. Žádné z těchto dat se navíc nepoužívá k trénování modelu AI.

Jsou moje data s Copilotem v bezpečí?

Riziko je vlastní jakékoli formě dat. Vestavěné bezpečnostní funkce společnosti Microsoft, pečlivé plánování politik, klasifikace dat, audity, vzdělávání uživatelů a přísné dodržování zásady nejmenších oprávnění ve vaší organizaci však mohou toto riziko výrazně snížit.

Zdroj: Netwrix