Cloud Blog – Obawy dotyczące bezpieczeństwa Copilota — rozwiązane: Czy Copilot jest bezpieczny w użyciu?

Microsoft 31.07.2024

Obawy dotyczące bezpieczeństwa Copilota — rozwiązane: Czy Copilot jest bezpieczny w użyciu?

Jaki jest przepływ?
Obawy dotyczące bezpieczeństwa Copilot: jak Microsoft 365 chroni Twoje dane

Miejsce przechowywania danych

Według Harvard Gazette, prywatność danych już w 2020 r. była jedną z najczęściej wyrażanych obaw związanych ze sztuczną inteligencją. Wraz z pojawieniem się i późniejszym napływem dużych modeli językowych i generatywnej sztucznej inteligencji w ciągu ostatnich dwóch lat poziom wdrożenia gwałtownie wzrósł w firmach z różnych sektorów, a nadzór korporacyjny również znalazł się na liście. Inne pilne kwestie w tym kontekście obejmowały możliwość kradzieży własności intelektualnej i wycieku poufnych danych.

Ponieważ ramy regulacyjne dotyczące sztucznej inteligencji i jej wykorzystania w wielu jurysdykcjach są dość słabo rozwinięte lub nie istnieją, giganci IT stojący za wiodącymi na rynku platformami musieli wziąć sprawy w swoje ręce i wyjaśnić swoje zasady. Ten artykuł ma na celu odpowiedzieć na obawy związane z bezpieczeństwem Copilot korzystanie z informacji publicznych firmy Microsoft.

Jaki jest przepływ?

Microsoft Copilot wprowadza pomoc AI bezpośrednio do pakietu Microsoft 365. Odsuńmy warstwy i zobaczmy, jak będzie wyglądać jego praca krok po kroku.

Microsoft Copilot może więc uzyskać dostęp do zawartości Twojej organizacji tylko wtedy, gdy zezwolisz jej na dostęp podczas czatu. Może się to zdarzyć na trzy sposoby:

Bezpośrednio wpisujesz lub wklejasz informacje na czacie.
Przesyłasz plik za pośrednictwem okna czatu, korzystając z ikony spinacza (przeciąganie i upuszczanie jest również dostępne w podglądzie).
Z Copilot w Edge korzystasz z ustawieniem „Zezwól na dostęp do dowolnej strony internetowej lub pliku PDF” i masz otwartą stronę intranetową. Copilot może wykorzystać zawartość tej strony, aby odpowiedzieć na Twoje pytania.

Po pierwsze: bezpieczny dostęp. Logujesz się przy użyciu swojego Entra ID, weryfikując swoją tożsamość i licencję. Po uwierzytelnieniu komunikacja staje się bezpieczna. Kiedy wchodzisz w interakcję z Copilotem, dane sesji czatu przechodzą istotną transformację. Wszelkie informacje, które mogłyby zidentyfikować Ciebie lub Twoją organizację, są starannie usuwane. Te zanonimizowane dane są następnie bezpiecznie przesyłane do Copilot Orchestrator, centralnego węzła zarządzającego komunikacją w systemie. Po bezpiecznej transmisji Copilot Orchestrator kieruje Twoje monity i pożądane działania (żądania) do Copilot, znanego wcześniej jako Bing Chat. Należy pamiętać, że Copilot działa jako połączone środowisko niezależne od Microsoft 365, co zwiększa jego zasięg i potencjał.

Teraz dzieje się prawdziwa magia. Za kulisami kryje się potężna maszyna — prywatna instancja Azure OpenAI. To potężne urządzenie jest wyposażone w najnowocześniejsze modele, takie jak GPT-4 i DALL-E 3, specjalnie przeszkolone do zadań takich jak generowanie tekstu, tłumaczenie języków i tworzenie obrazów. Co ważne, samo OpenAI nie ma dostępu do tych prywatnych modeli ani przetwarzanych przez nie danych.

Aby mieć pewność, że odpowiedzi Copilot są dokładne i trafne, w grę wchodzą wyszukiwane hasła. Zapytania te starannie opierają Twoje monity i odpowiedzi na najnowszych danych z ogromnego indeksu wyszukiwania Bing, dzięki czemu otrzymywane informacje są dostosowane do Twoich potrzeb i odzwierciedlają najnowsze osiągnięcia. Aby zwiększyć zaufanie i przejrzystość, cytaty są automatycznie uwzględniane w odpowiedziach Copilot, wyraźnie ujawniając źródła użyte do wygenerowania informacji i umożliwiając sprawdzenie ich dokładności (i dalsze badanie, jeśli to konieczne).

Ponieważ w centrum uwagi znajdują się kwestie bezpieczeństwa Copilot, zabezpieczenia pozostają niezbędne na każdym etapie. Wszystkie dane są szyfrowane podczas przesyłania przy użyciu solidnego protokołu TLS 1.2+, gwarantującego bezpieczną komunikację między Tobą a systemem. Ponadto, aby chronić Twoją prywatność, sesje czatu są tymczasowe. Te tymczasowe dane są szyfrowane w stanie spoczynku przy użyciu standardu AES-128. Po zakończeniu sesji czatu zarówno monity, jak i odpowiedzi są odrzucane, co gwarantuje, że nie pozostanie żaden ślad Twojej interakcji, chyba że wyraźnie ją zapiszesz.

Piękno Copilot leży w jego dostępności. Można z nim wchodzić w interakcję z różnych platform, w tym z dedykowanej strony internetowej (copilot.microsoft.com), bezpośrednio poprzez silnik Bing w dowolnej nowoczesnej przeglądarce (zarówno stacjonarnej, jak i mobilnej), w ramach Microsoft Edge, a nawet samego środowiska Windows. Ta elastyczność pozwala Copilotowi płynnie zintegrować się z Twoim przepływem pracy, niezależnie od tego, gdzie pracujesz (jak korzystać z Microsoft Copilot?).

Nie jesteś pewien, czy jesteś już gotowy na sztuczną inteligencję? Nie ma problemu. Poproś o weryfikację koncepcji, aby sprawdzić, czy Copilot może ulepszyć Twoje doświadczenie Microsoft 365. Zamów teraz →

Obawy dotyczące bezpieczeństwa Copilot: jak Microsoft 365 chroni Twoje dane

Oto zestawienie kroków firmy trwa aby zapewnić prywatność i bezpieczeństwo usługi Microsoft Copilot.

Wykorzystanie istniejących uprawnień

Microsoft Copilot nie działa w silosie. Opiera się na modelach uprawnień już ustalonych w ramach Twojej dzierżawy Microsoft 365, co oznacza, że Copilot może uzyskiwać dostęp i wykorzystywać tylko te dane, do których przeglądania Ty jako użytkownik masz już uprawnienia. Takie podejście zapewnia ścisłe egzekwowanie istniejących mechanizmów kontroli dostępu do danych, zapobiegając niezamierzonym wyciekom między użytkownikami, grupami, a nawet różnymi dzierżawcami w ekosystemie Microsoft 365.

Przestrzeganie granic tożsamości użytkownika

Microsoft Copilot wykorzystuje technologię zwaną indeksem semantycznym. Odgrywa kluczową rolę w osadzaniu podpowiedzi i odpowiedzi w odpowiednich danych; jednakże nawet w tym procesie tożsamość użytkownika pozostaje najważniejsza. Indeks semantyczny ściśle przestrzega granic dostępu opartych na tożsamości użytkownika. Mówiąc prościej, uzyskuje dostęp tylko do treści, do przeglądania których Ty, jako bieżący użytkownik, masz uprawnienia, co jeszcze bardziej zwiększa prywatność danych Microsoft Copilot i zapobiega nieautoryzowanemu dostępowi do poufnych informacji.

Honorowanie szyfrowania danych

Wiele organizacji korzysta z usługi Microsoft Purview Information Protection do szyfrowania danych, co można zastosować za pomocą etykiet poufności lub ograniczonych uprawnień w aplikacjach korzystających z zarządzania prawami do informacji (IRM). Oto dobra wiadomość: Microsoft Copilot w pełni szanuje prawa użytkowania przyznane użytkownikowi w przypadku napotkania danych zaszyfrowanych przez Microsoft Purview. Biorąc to pod uwagę, nawet zaszyfrowane dane pozostają bezpieczne i nie można uzyskać do nich dostępu poza autoryzowanymi uprawnieniami użytkownika.

Wielowarstwowa infrastruktura bezpieczeństwa

Firma Microsoft rozumie znaczenie bezpieczeństwa danych, a rozwiązanie Copilot korzysta z solidnej infrastruktury już istniejącej w ramach platformy Microsoft 365. Oto kilka kluczowych aspektów tego wielowarstwowego podejścia, które mogą złagodzić wiele problemów związanych z bezpieczeństwem rozwiązania Copilot:

Treści klientów w ramach każdego dzierżawcy Microsoft 365 są logicznie izolowane za pomocą autoryzacji Microsoft Entra i kontroli dostępu opartej na rolach (RBAC), co oznacza, że dane nie będą przypadkowo mieszane między różnymi użytkownikami lub organizacjami.
Firma Microsoft stosuje rygorystyczne środki bezpieczeństwa fizycznego, sprawdza personel w tle i wielopoziomowe szyfrowanie, chroniąc poufność i integralność treści klientów przez cały cykl ich życia.
Microsoft 365 wykorzystuje technologie po stronie usług do szyfrowania treści klientów przechowywanych i przesyłanych. Obejmuje to technologie takie jak funkcja BitLocker, szyfrowanie poszczególnych plików, zabezpieczenia TLS (Transport Layer Security), o których mówiliśmy wcześniej, oraz zabezpieczenia protokołu internetowego (IPsec).

Zobowiązanie do przestrzegania przepisów dotyczących prywatności

Firma zdaje sobie sprawę ze znaczenia kwestii związanych z prywatnością danych Microsoft Copilot i przestrzega rygorystycznego zestawu przepisów i standardów. Takie zaangażowanie obejmuje zgodność z szeroko obowiązującymi przepisami, takimi jak RODO, oraz standardami branżowymi, takimi jak ISO/IEC 27018, wiodący na świecie pozbawiony granic kodeks dotyczący prywatności w chmurze.

Kontrola dostępu poprzez wtyczkę

Dostęp do Microsoft Copilot można uzyskać za pośrednictwem wtyczek w ramach Microsoft 365. Tutaj również istnieje dodatkowa warstwa zabezpieczeń. Można zastosować szyfrowanie, aby wykluczyć programowy dostęp do tych wtyczek. Innymi słowy, wtyczki nie mogą uzyskać dostępu do treści, do których czytania nie są przeznaczone, co jeszcze bardziej ogranicza ryzyko nieautoryzowanego dostępu.

Ochrona przed jailbreakiem

Interfejs API Prompt Shields działa jako tarcza bezpieczeństwa podczas interakcji z dużymi modelami językowymi. Wykrywa wiele taktyk atakujących, których celem jest manipulowanie zachowaniem sztucznej inteligencji i potencjalne zagrożenie bezpieczeństwa lub prywatności. Taktyki te mogą obejmować omijanie ustalonych zasad i podawanie wprowadzających w błąd instrukcji, a także podszywanie się pod inny system lub kodowanie nieautoryzowanych poleceń. Zwodnicza manipulacja danymi przesyłanymi do sztucznej inteligencji to kolejny problem związany z bezpieczeństwem Copilot łagodzony przez Prompt Shields, wraz z próbami włamania się do samego systemu i kradzieży lub zakłócenia danych. Interfejs API posuwa się nawet do ochrony użytkowników przed atakującymi próbującymi nakłonić ich do podania danych finansowych lub nawet rozsyłania złośliwego oprogramowania.

Miejsce przechowywania danych

Po włączeniu ochrony danych komercyjnych dane czatu są buforowane tymczasowo tylko przez krótki czas podczas sesji, aby poprawić wydajność. Te zapisane w pamięci podręcznej dane są następnie usuwane po zamknięciu przeglądarki, zresetowaniu tematu czatu lub przekroczeniu limitu czasu sesji.

Od 1 marca 2024 r. firma Microsoft oferuje zobowiązania dotyczące miejsca przechowywania danych dla oprogramowania Copilot dla klientów Microsoft 365 w ramach ofert Advanced Data Residency (ADR) i Multi-Geo Capabilities. W przypadku użytkowników z Unii Europejskiej funkcja Copilot dla pakietu Microsoft 365 korzysta z usługi EU Data Boundary (EUDB), co oznacza, że ich dane są przetwarzane w obrębie UE. Jednak w przypadku klientów spoza UE zapytania Copilot mogą być przetwarzane w Stanach Zjednoczonych, Unii Europejskiej, a nawet w innych regionach.

Istnieją pewne ograniczenia dotyczące gwarancji zgodności z opcjonalnymi funkcjami opartymi na technologii Bing w ramach oprogramowania Copilot. Funkcje te niekoniecznie są zgodne z umowami firmy Microsoft w sprawie granic danych UE (EUDB) lub Dodatkiem o ochronie danych (DPA).

Aby zapewnić sobie większy spokój ducha, pamiętaj, że Copilot nie może uzyskać dostępu do danych Twojej organizacji przechowywanych w granicach Twoich dzierżawców. Ponadto rozmowy na czacie nigdy nie są wykorzystywane do uczenia podstawowych modeli sztucznej inteligencji, na których opiera się Copilot.

Mamy nadzieję, że udało nam się rozwiązać wszystkie (lub przynajmniej większość) Twoich problemów związanych z bezpieczeństwem Copilot! Cloudfresh jest uznanym Partnerem Microsoftu. Jeśli chcesz ogólnie rozpocząć korzystanie z Microsoft 365 lub w szczególności z Microsoft Copilot, skontaktuj się z nami za pomocą poniższego formularza.

Skontaktuj się z Сloudfresh

Czytaj więcej

29.06.2024

Wkraczaj w przyszłość pracy dzięki Microsoft Modern Workplace

16.06.2024

Google Workspace vs Microsoft 365

26.03.2024

Duet AI dla Google Cloud (teraz Gemini): Wspomagany rozwój dla lepszych przepływów pracy i współpracy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Always Enabled

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Performance

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.

Others

Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.