ה- (Generative Pre ChatGPT trained Transform) שהושק בנובמבר 2022 הוא צ'אטבוט מתקדם שפותח על ידי חברת Open AI. הצ'אטבוט הוא תוכנת מחשב מבוססת בינה מלאכותית, שיכולה לשוחח עם בני אדם, או ליתר דיוק לאפשר לבני אדם לשאול שאלות ולקבל תשובות. הצ'אטבוט אומן באמצעות מאגר מידע וכמויות עצומות של דפי רשת, מאמרים וספרים ובהתאם לכך מאפשר לקבל תוצאות מקיפות (אם כי לא תמיד מדויקות). שיטות האימון התבססו על טכניקה של למידה מפוקחת (Supervised Learning) שבמסגרתה אומן הצ'אטבוט בשיחות וקיבל חיזוקים אנושיים (Reinforcement Learning from human feedback). שיטה נוספת לאימון התבססה על טכניקה שנקראת למידה לא מפוקחת (Unsupervised Learning). בשיטה זו, מזינים למודל של בינה מלאכותית מידע לא מתויג, והוא מפיק ממנו תובנות בכוחות עצמו.
כמו בלא מעט תחומים בהם הוכיח השימוש בפלטפורמה זו ערך מוסף, כך הוא גם יכול לשפר ביצועים בעולם האבטחה על תחומיו השונים ע"י שימוש נכון כבר בשלב הרעיון ובהמשך פיתוחו. שימושים אלו באים לידי ביטוי במימד הפיזי כדוגמת בניית תוכנית אבטחה, לו"ז וגאנט לשדה תעופה, כלא, נמל ימי, תשתית קריטית או לכל מתקן מאובטח. ברור ששימוש בכלי זה הנשען על מידעים עצומים מאפשר תוכנית מפורטת, אך באותה הנשימה הוא עשוי לשמש גם את התוקף בשאילתות ההפוכות; איסוף מודיעין או איסוף של מסמכים ומפרטים שכבר עובדו באמצעות הפלטפורמה. על כן, אופן השימוש והשאילתות צריך להתבצע באופן מושכל תוך מימוש הגדרות ייעודיות. גם במימד הסייבר קיימים לא מעט שימושים אפשריים כדוגמת תאימות בקרות בין תקני אבטחה, עיון ובדיקת קוד מקור, הורדת מקטעי קוד מאובטחים, המלצות אבטחה ועוד.
הגדילה הדרמטית במספר המשתמשים בפלטפורמה מייצרת לא מעט שימושים אפשריים לרבות שימושים לצרכים ומטרות עוינות כדוגמת הונאות באמצעות כלים ייעודים (FraudGPT), בניית כלי תקיפה לגניבת מידע ונתונים, קמפיין פישינג המיוצר באמצעות ChatGPT לצורכי בניית אמון גבוהה יותר אל מול המשתמשים המותקפים, עובר במיפוי וניצול פרצות אבטחה וחולשות ועוד.
תרחישים של זליגת מידע – מחקר של :CyberHaven במחקר שביצעה החברה הוצגו מגמות של עובדים בעיבוד קלט של מידע ארגוני כדוגמת קוד מקור, מידע של לקוחות, מסמכים ונתונים פנימיים ל ChatGPT.
כך בדוגמאות הבאות: רופא המעלה מידע רפואי ושם של מטופל ל-ChatGPT לצורך קבלת מכתב חוו"ד לחברת הביטוח עבור אותו המטופל. במקרה אחר, אחד מבכירי החברה המעלה ל-ChatGPT מידע מתוך תוכנית אסטרטגית שנתית ומבקש לקבל מצגת עסקית הכוללים את הנתונים שהועלו. קל להבין את המשמעות של זליגת שאילתות הקשורות בפרויקט; תכנון, אפיון ובינוי ביטחוני (של שדה תעופה לדוגמא), הן בפן הביטחוני והן בפן העסקי. במרץ 2023 דווח על באג, שטופל, שאיפשר למשתמשים אחרים גישה להיסטוריית הצ'אטים וכותרות השאילתות.
כאמור, השימוש ב-ChatGPT חושף את הארגון לסכנות. כך, באחד מהקונצרנים הגדולים נעזרו בפלטפורמת ה-ChatGPT לשימושים שונים, ביניהם; המרת הקלטת פגישה למסמך לצורך הכנת מצגת ובמקרה אחר שימוש בפלטפורמה לצורך בדיקת קוד המקור, תוך שילוב המלצות והערות מתוך מפגשים פנימיים ביחס לנתונים, תפוקה ודרישות. שימוש זה מסכן מידע חסוי ורגיש של החברה בהוצאתו לעיבוד בפלטפורמות ושרתים חיצוניים לחברה באופן החשוף לזליגות ולסיכוני צד שלישי. יכולת לגניבה והשפעה על נתוני הצ'אט (שאילתות ותשובות ב-ChatGPT) באמצעות prompt injection 4:attack הוכחת יכולת (מורכבת באופן יחסי) של התקפה המתבססת על הזרקת פקודה לשינוי פנייה וניתוב הפעולות והשאילתות לשרת התוקף, על ידי כך מתבצעת גניבה של השאילתות וכן השפעה אפשרית של התוקף על התשובות לצורך מניפולציה, הטעיה וכד'. בהוכחת יכולת שבוצעה השפיע התוקף באמצעות הוספת פקודות עויינות בתהליך העתק והדבק שבוצע ע"י המשתמש. בתהליך ההדבקה בוצעה תוספת של מקטע עוין המנתב את התוקף לשרת זדוני באמצעותו מתבצעת המניפולציה על המשתמש.
– בניית תרבות עבודה ומודעות עובדים ביחס לשימוש נאות ואתי – תהליך שמומלץ לבצע בתחילתו בהדרכה ייעודית (פרונטאלית או לומדה המשלבת דוגמאות ותרגולים) ובהמשך תיחזוק מודעות העובדים. כל אלו לצד יכולות אכיפה ארגוניות כדוגמת מנגנוני Data Loss Prevention) DLP) מנגנון למניעת זליגת מידע וכדומה – במטרה לייצר מודעות ומחויבות, יש לבחון גם חתימה והצהרה על סעיפים משפטיים רלוונטיים בתהליך ההצהרה המשפטית. ככל שקיימות מורכבויות רגישות נוספות, ניתן לקבוע נאמן שימוש ייעודי לכל חטיבה או מחלקה במטרה להבטיח אכיפה וצמצום סיכונים והשלכות על המידע הארגוני.
– גידור סיכונים משפטיים, זכויות יוצרים, קניין רוחני – סיכון זה מתחלק ל-2. הראשון נשען על כך שנוכח העובדה שהפלט שהופק מתבסס, ממילא, על תוצאות ממאגר שאומן ע"י מאמרים, ספרים, מחקרים וכד' שעליהם קיימים זכויות יוצרים ועל כן הוא חושף את המשתמשים לסיכוני זכויות יוצרים. סיכון נוסף הקשור בזכויות יוצרים נובע מהתנהגות והרגלי שימוש ועיבוד אפשריים של חומרים ותוצרים ארגוניים (כדוגמת מסמך אסטרטגיה ארגונית, תוכנית תקציבית או קוד מקור). על כן, מומלץ כי הארגון, בהובלת היועץ המשפטי, מנהל אבטחת המידע בארגון וגורמי ההנהלה יבחנו את משמעויות השימוש ב- ChatGPT ביחס לכל מקרה לגופו. ומכאן, הנחיות ייעודיות להמשך ואופן השימוש ותהליכי העיבוד. כך לדוגמא קלספיקציה למידעים אותם ניתן לעלות או להוריד וכן בקרות ייעודיות לצמצום חשיפות וסיכונים. המלצה נוספת היא פעולה בלתי תלויה במידע שהושג על מנת לוודא כי לא קיימים הגבלות יוצרים וקניין רוחני ביחס אליו.
– הגנה על חשבונות המשתמשים – לאחרונה פורסמו מספר אירועים של מכירת חשבונות משתמשים. לרוב, יכולות גניבה אלו מתאפשרות בשל אי הקפדה ורשלנות של המשתמשים. כך לדוגמא, פורסמו בדארקנט למעלה מ-100000 חשבונות משתמשי ChatGPT גנובים. בראיית התוקף למידע שכזה שימושים רבים החל משימוש בפועל בחשבונות גנובים, התחקות לאחור אחר השאילתות והשימושים שבוצעו וע"י כך איסוף מידע ערכי ועוד. על כן, ככל שיש שימוש בחשבונות אלו לנושאים הקשורים בארגון, נדרש להקשיח את הגישה באמצעות מנגנוני 2FA (אימות דו שלבי) במטרה לסכל עוד יותר את היכולת לגנוב נתונים אלו. בהקשרים של זליגת מידע ארגוני נהוג להזכיר תמיד את השימוש במנגנוני DLP (כפי שיצוין בהמשך) אך כדאי לממש גם כאן אבטחה אקטיבית ואיתור זליגת מידע ע"י מימוש בקרה שמטרתה לנטר מזהים ארגוניים, מידעים וחשבונות ארגוניים באינטרנט ובדארקנט עצמו (כאות לזליגה אפשרית). כיום קיימים כלים המאפשרים לבצע תהליכים אלו באופן מאובטח ובאוטומציה מלאה.
– מימוש הגדרות אבטחה ופרטיות – הצ'אטבוט בנוי באופן כזה שהוא משתמש גם בשיחות המשתמשים כחלק מתהליך הלמידה. אופן זה, חושף את המשתמשים לסיכוני פרטיות. על כן, נדרש לגדר סיכונים אלו גם בתהליכי המודעות שהזכרנו מעלה אך גם באמצעות מימוש הגדרות פרטיות כפי שהפלטפורמה מאפשרת. מימוש הגדרות אלו יאפשרו שליטה טובה יותר על מחיקת הנתונים והשאילתות ואופן החשיפה והשימוש.
– מימוש מנגנוני Data Loss Prevention (DLP) – ניתן למימוש באמצעים ושיטות שונות כדוגמת מימוש ChatGPT Chrome Extension המאפשר ניטור ועיון במידעים הארגוניים המעובדים במנגנון ה- ChatGPT.
– הגבלת תווים כחלק מגידור סיכונים הקשורים על קוד מקור ומסמכים – זאת, במטרה למנוע הכנסת מקטעים ארוכים וכחלק מבקרה ייעודית נוספת. כך, לדוגמא, מימשה חברת סמסונג הגבלת תווי הקלט ל- ChatGPT ל-1024 בתים. אופן זה, מקטע את הסיכון (מקטע מקוד המקור) או תוכנות פשוטות יחסית ולא תוכנות שלמות. כמובן שגם כאן, נכון יהיה לשלב את מנגנון ה-DLP תוך הזנת ערכים ומונחים להגבלה ומניעת עיבודם ברשת האינטרנט בכלל ובמקרה זה באמצעות ה-ChatGPT.
– ככל שקיימת רגישות ניתן לבצע התקנה offline (פועל בגרסת ChatGPT 3.5) באופן המבדל מרשת האינטרנט. כמובן שלהתקנה באופן זה ישנן משמעויות תחזוקה ובהתאם לכך נדרשים גם עדכונים עיתיים.
הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה, חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר.
אתר מונגש
אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.
סייגי נגישות
למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר
רכיב נגישות
באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.