Olen viimastel päevadel uurinud mõlema toote tehnilisi spetsifikatsioone, avalikku turvadokumentatsiooni ja tegelikke võimekusi. Selgub, et pilt on oluliselt nüansirikkam kui esmamulje võiks arvata.
Järgnev analüüs keskendub kaheksale turvalisuse aspektile, alates kasutajate haldusest ja lõpetades AI mudelite treenimise turvalisusega. Vaatame täpsemalt, milles seisnevad toodete erinevused, kuidas kumbki lahendus erinevaid riske maandab ja mis on need aspektid, millele iga ettevõte peaks oma valikut tehes tähelepanu pöörama.
TL;DR
Kui vaadata, milliseid meetmeid OpenAI on kasutusele võtnud, et tagada ChatGPT turvalisust, siis ei ole korrektne väita, et ChatGPT on ebaturvaline tööriist. Samas, kui küsida, kas Microsoft Copilot on turvalisem kui ChatGPT, siis vastus on pigem jah. Seda muidugi tingimusel, et ettevõte on hoolt kandnud kogu oma Azure’i instantsi kasutamise turvalisuse eest.
Mis on mis?
Enne kui süveneme kahe ettevõtetele mõeldud tehisintellekti assistendi turvalisuse analüüsi, peame selgeks tegema, millistest toodetest me siin artiklis üldse räägime. Ei Microsoft ega ka OpenAI ei ole oma toodete nimepoliitikas just eriti selgelt välja toonud, et mis on erakasutaja toode ja mis on mõeldud ettevõtetele. Seetõttu ongi hea siinkohal selgitada, et mida analüüsi kaasasime ehk siis mis on Microsoft Copilot ja mis on ChatGPT Team?
Microsoft Copilot (varem tuntud ka kui Bing Chat) ja ChatGPT Team on mõlemad AI assistendid, mis on loodud ettevõtete vajadusi silmas pidades.
Microsoft Copilot toimib kui üldotstarbeline AI-assistent, mis suhtleb värske veebiinfoga ja OpenAI viimaste keelemudelitega.
ChatGPT Team on ettevõtete suunatud AI abimeest, mis erineb ChatGPT Plusist selle poolest, et administraatorid saavad kontrollida kasutajaid ja seadeid ning meeskonnad saavad luua ja jagada kohandatud AI-tööriistu (GPT’sid) oma tööruumi (workspace) raames.
 ja rollipõhine ligipääsuhaldus.
Mitmeastmeline autentimine (MFA) võimalus on olemas.
Custom GPT’de tasemel on võimalik määrata, kes millistele GPT’dele ligi pääsevad.
Microsoft Entra ID põhine lahendus. Ei ole teada, kuivõrd rollipõhised on ligipääsud pluginatele.
NB! Me ei käsitle siin Copilot for MS365 kontekstis rollipõhiseid ligipääse ettevõtte failidele.
Ettevõtte-tasemel autentimine läbi SAML SSO
Ei ole toetatud (saadaval vaid ChatGPT Enterprise’il)2
On toetatud
Kokkuvõttes pakuvad mõlemad lahendused täiesti adekvaatseid autentimise turvafunktsioone, kuid erineval moel. ChatGPT Team on paindlikum erinevate identiteedipakkujate osas, samas kui Microsoft Copilot on tugevamalt integreeritud ettevõtte autentimissüsteemidega läbi SAML SSO toe. Valik sõltub suuresti sellest, kas organisatsioon eelistab paindlikkust või sügavamat Microsoft ökosüsteemi integratsiooni.
Andmete edastamine üle avaliku interneti
Üha enam ettevõtte andmevahetust toimub üle avaliku interneti. Seega on kriitiline mõista, kuidas tehisintellekti assistendid tagavad andmete turvalise liikumise kasutaja arvutist pilveteenusesse.
Aspekt
ChatGPT Team
Microsoft Copilot
Andmete krüpteerimine liikumisel
Kasutab TLS 1.2+ protokolli
Kasutab TLS 1.2+ krüpteerimist
Andmekeskuste turvalisus
Microsoft Azure ja Snowflake andmekeskuste turvalahendused.
Microsoft'i andmekeskuste turvalahendused.
Privaatse võrguühenduse võimalus
Toetub avalikule internetile ja krüpteerimisele. Võrguliikluse isoleerimist ei pakuta.
Toetub avalikule internetile, Azure ExpressRoute pole saadaval.
Andmefailide kaasa panemise võimalused
Üles laetud failid talletatakse OpenAI infrastruktuuris.
Üleslaetud failid talletatakse kasutaja Onedrive's3.
Kokkuvõttes kasutavad mõlemad lahendused sarnast lähenemist - tugevat krüpteerimist üle avaliku interneti, mitte eraldatud võrguühendusi.
See tähendab, et turvalisus tagatakse läbi krüpteerimise, mitte füüsilise eraldatuse. Oluline on märkida, et see on tänapäeval levinud praktika ning vastab enamiku ettevõtete turvanõuetele.
Erinevused seisnevad üles laetud failide talletamises. ChatGPT failid laetakse üles OpenAI infrastruktuuri ja sellele kohalduvad siis vastavalt äriklientide üldtingimused ja privaatsustingimused. Copilot’i üleslaetud failid talletatakse kasutaja Onedrive’s ja sellele kohalduvad siis vastavad Microsofti kasutus- ja privaatsustingimused, kuid üldistatult võib vöelda, et Copilotisse üles laetud fail jääb ettevõtte või organisatsiooni “instantsi” või infrastruktuuri.
, CCPA
GDPR, EL-i andmete piir tagatud (EU Data Boundary)
Sertifikaadid
CSA STAR Level 1, SOC 2, SOC 36
Toetub Azure'i platvormile, mis omab mitmeid tipp sertifikaate sh ISO 27001 ja 27018 (infoturbe juhtimise standard), ISO 27017 (pilveteenuste turvanõuded), ISO 27701 (privaatsuse juhtimise standard), SOC 1, 2, 3 (teenusepakkuja kontrollimehhanismide audit), CSA STAR sertifikaat (pilveteenuste turvalisuse hindamine) jne7
Välised auditid
Läbib kolmandate osapoolte auditeid ja sertifitseerimisi
Haavatavuse hindamise raport saadaval Service Trust Portal'is
Euroopa ettevõtete jaoks on eriti oluline märgata, et mõlemad lahendused on GDPR-iga vastavuses, kuid Microsoft pakub lisaks ka EU Data Boundary garantiid - see tähendab, et kõik andmed püsivad füüsiliselt Euroopa Liidu piires.
Sertifikaatide vaatenurgast paistab ChatGPT Teams silma spetsiifiliste sertifikaatidega nagu CSA STAR ja SOC. Microsoft Copilot ise eraldi sertifikaate ei oma, kuid see tuleneb asjaolust, et ta on osa suuremast Azure platvormist, millel on juba üle saja erineva sertifikaadi ja vastavushindamise.
Lihtsustatult võib öelda - mõlemad täidavad kõiki olulisi regulatiivseid nõudeid, aga teevad seda erinevalt. ChatGPT Teams tõestab seda läbi spetsiifiliste sertifikaatide, Microsoft Copilot läbi Azure platvormi üldise vastavuse.
Andmete säilitamine, kasutamine ja privaatsuspoliitikad
Tehisintellekti assistentide puhul on oluline mõista, kuidas säilitatakse nii vestlusajalugu kui ka üles laetud faile ning millistel tingimustel neid andmeid kustutatakse. Mõlemad teenusepakkujad on siin loonud selged põhimõtted.
Aspekt
ChatGPT Team
Microsoft Copilot
Andmete säilitamine
Vaikimisi andmete säilitamise perioodi ei ole määratud. Kasutajatel on võimalus vestluseid kustutada.8
Järgib Microsoft 365 andmete säilitamise standardeid. Vestlusesse lisatud failid säilitatakse kasutaja OneDrive'is.
Andmete kasutamine
Andmeid (sh faile) ei kasutata mudelite treenimiseks või arendamiseks.
Andmeid ei kasutata põhimudelite (LLM) treenimiseks. Vestlused ja failid käsitletakse nagu tavalist Microsoft 365 sisu.
Ligipääs andmetele
Piiratud ainult volitatud personalile.
Ligipääs vastavalt Microsoft 365 õigustele ja poliitikatele.
Andmete omand
Andmete omandiõigus ja kontroll jäävad kasutajale/ettevõttele.
Failid ja vestlused jäävad ettevõtte kontrolli alla Microsoft 365 keskkonnas.
Kokkuvõttes pakuvad mõlemad lahendused ettevõtetele sobivaid andmete säilitamise ja privaatsuse põhimõtteid.
Peamine erinevus seisneb failide säilitamise (füüsilises) asukohas - Microsoft Copilot hoiab faile ettevõtte enda Microsoft 365 keskkonnas, samas kui ChatGPT Team säilitab neid OpenAI taristus, järgides äriklientide tingimusi.
 3 Report on OpenAI OpCo, LLC’s ChatGPT and API Services Relevant to Security and Confidentiality, June 2024
Andmelekete ennetamine (DLP)
Andmelekete ennetamine on üks kriitilisemaid aspekte tehisintellekti assistentide kasutamisel ettevõtte keskkonnas. See on eriti oluline, sest töötajad võivad tahtmatult sisestada tundlikku informatsiooni vestlustes tehisintellektiga. Lihtsas keeles öeldes on siinkohal peamine mure see, kuidas kontrollida ja takistada, et töötajad ei sisestaks tehisintellektiga vesteldes liiga kergekäeliselt tundlikku infot - olgu selleks ärisaladused, klientide andmed või sisemised dokumendid.
Aspekt
ChatGPT Team
Microsoft Copilot
Sisseehitatud DLP lahendused
Puuduvad integreeritud DLP tööriistad ja peab tuginema kolmandate osapoolte rakendustele.
Integreeritud Microsoft 365 DLP võimekustega nagu nt Microsoft Purview.9
Samas tuleb meeles pidada, et see tuleneb kasutajale üldiselt määratud ligipääsudest failidele ja üleslaadimise lubamisest või keelamisest Microsofti DLP lahenduste abil ja ei ole otseselt seotud Microsoft Copilotiga.
Tundliku info tuvastamine
Toetub töötajate konfidentsiaalsuskohustuste järgimisele
MS Purview tuvastab tundlikku infot automaatselt
Täiendavad võimalused
Võimalik kasutada kolmandate osapoolte DLP lahendusi (näiteks Strac)
Kasutab olemasolevaid Microsoft 365 DLP võimekusi üle platvormide
Microsoft Copilot ja ChatGPT Teams lahendavad selle väljakutse erinevalt.
Microsoft lähtub põhimõttest, et kui sul on juba Microsoft 365 keskkonnas seadistatud andmekaitse reeglid (näiteks, et teatud tüüpi dokumente ei tohi jagada), siis need samad reeglid kehtivad automaatselt ka Copiloti kasutamisel. Pole vaja midagi täiendavalt seadistada - näiteks, kui dokument on märgitud konfidentsiaalseks, siis seda ei saa ka Copilotile edastada.
ChatGPT Teams seevastu nõuab rohkem käsitööd. Lahendus toetub peamiselt sellele, et töötajad on koolitatud ja teavad, mida võib ja mida ei või jagada. Kui soovite täiendavat kaitset, saab sisse osta eraldi tööriista (näiteks Strac), mis aitab tuvastada ja blokeerida tundliku info jagamist.
Lihtsustatult võib öelda - kui teie ettevõttes on juba Microsoft 365 keskkond ja seal on turvaseaded paigas, siis Copilot "pärib" need automaatselt. ChatGPT Teams puhul peate turvameetmed eraldi üles ehitama.
Kasutajakoolitus ja õppematerjalid
Tehisintellekti assistentide turvaline kasutamine eeldab head ettevalmistust kahel tasandil: esiteks, teenusepakkuja enda töötajad peavad järgima rangeid turvanõudeid ning teiseks, ka lõppkasutajad vajavad selgeid juhiseid turvaliseks kasutamiseks.
Aspekt
ChatGPT Team
Microsoft Copilot
Kasutajate tugi
OpenAI Trust Portal pakub infot ja juhendeid ettevõtte klientidele. Piiratud ressursid turvalise kasutamise praktikate osas
Microsoft pakub laialdast Copiloti dokumentatsiooni ja turvalise kasutamise juhiseid.
Teenusepakkuja personal
Viib läbi regulaarseid turvalisuse koolitusi oma töötajatele. Ranged konfidentsiaalsuse nõuded
Microsofti üldised turvakoolitused ja -nõuded personalile
Teadlikkuse tõstmine
Keskendub andmete konfidentsiaalsuse ja turvapoliitikate järgimisele
Rõhutab vastutustundliku AI kasutamise olulisust
Kokkuvõttes pakuvad mõlemad lahendused põhilisi juhendmaterjale, kuid kummalgi pole siin märkimisväärset eelist. Turvalisuse seisukohalt on see valdkond mõõduka mõjuga - edu sõltub suuresti sellest, kuidas:
- Organisatsioon ise korraldab oma töötajate koolituse
- Kui hästi suudavad kasutajad järgida turvalise kasutamise põhimõtteid
- Milliseid täiendavaid koolitusmaterjale ja -programme organisatsioon välja töötab
Tehisintellekti mudelite turvalisus
Oluline on mõista, et nii Microsoft Copilot kui ka ChatGPT Teams kasutavad samu OpenAI mudeleid ehk siis mõlemal on sama “mootor”. Erinevus tuleb sisse selles, milliseid täiendavaid turvasüsteeme kumbki neile "mootoritele" ümber ehitab.
Aspekt
ChatGPT Team
Microsoft Copilot
Rakenduskihi kaitse
Preparedness Framework katastroofiriskide vastu. Välised red-teaming testid haavatavuste tuvastamiseks
Azure AI Content Safety ja metaprompting nö prompt-rünnakute vastu. Keskendub rünnete tuvastamisele ja blokeerimisele
Mudeli käitumise kontroll
Baasmudeli piirangud
Täiendavad piirangud läbi Azure AI Content Safety
Microsoft on valinud tee, kus nad kasutavad Azure AI Content Safety süsteemi, mis on nagu täiendav turvakiht. See jälgib pidevalt, kuidas keegi üritab tehisintellektiga suhelda ja blokeerib automaatselt katsed süsteemi ära petta (näiteks kui keegi üritab tehisintellekti "veenda" tegema midagi, mida ta ei tohiks).
ChatGPT Teams läheneb asjale teise nurga alt. Neil on laiem raamistik (Preparedness Framework), mis keskendub suurte riskide ennetamisele. Nad viivad regulaarselt läbi nn "punase meeskonna" teste - see tähendab, et spetsiaalsed eksperdid üritavad süsteemist turvaauke leida, et need siis kiiresti parandada.
Lihtsustatult võib öelda - Microsoft panustab automaatsele kaitsele, mis reaalajas blokeerib kahtlast käitumist. ChatGPT Teams seevastu panustab rohkem ennetavale kaitsele ja pidevale testimisele. Mõlemad lähenemised on põhjalikud, aga filosoofia on veidi erinev.
Lõplik tõde peitub detailides
Turvalisuse müüdid tehnoloogiamaailmas on sageli mustvalged - üks lahendus on "parem" või "turvalisem" kui teine. Tegelik pilt, nagu meie analüüs näitas, on märksa nüansirikkam.
Microsoft Copilot ja ChatGPT Team lähenevad ettevõtte andmete turvalisusele erinevalt, kuid mõlemad teevad seda läbimõeldult. Microsofti lähenemine põhineb olemasoleva turvaökosüsteemi kasutamisel ja edasi arendamise, samas kui OpenAI on ehitanud eraldiseisva, kuid sama põhjaliku turvaraamistiku.
Tähelepanuväärne on see, et paljudes kriitilistes valdkondades - krüpteerimine, ligipääsu kontroll, regulatiivne vastavus - pakuvad mõlemad lahendused võrreldavat kaitset. Erinevused tulevad esile pigem selles, kuidas need kaitsemeetmed on implementeeritud ja dokumenteeritud.
Lõppkokkuvõttes ei ole küsimus selles, kumb lahendus on "turvalisem", vaid selles, milline turvaarhitektuur sobib paremini teie organisatsiooni nõuetele ja töövoogudele. See on otsus, mis nõuab igas ettevõttes ja organisatsioonis põhjalikku analüüsi ja oma vajaduste selget kaardistamist, mitte pelgalt turundusmaterjalide või levinud arvamuste usaldamist.
Allikad
- https://learn.microsoft.com/en-us/copilot/overview
- https://openai.com/enterprise-privacy/
- https://learn.microsoft.com/en-us/copilot/privacy-and-protections
- https://openai.com/enterprise-privacy/
- https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-ai-security
- https://trust.openai.com/
- https://learn.microsoft.com/en-us/compliance/regulatory/offering-cis-benchmark
- https://openai.com/enterprise-privacy/
- https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-ai-security
Lisaks
https://www.strac.io/blog/chatgpt-security-risk-and-concerns-in-enterprise
https://fortune.com/2023/05/19/chatgpt-banned-workplace-apple-goldman-risk-privacy/
https://www.secureworld.io/industry-news/security-concerns-businesses-chatgpt
https://www.softkraft.co/chatgpt-enterprise/