Implantar controles e políticas de acesso corretos é muito mais desafiador do que se pensa – e isso vai se tornar ainda mais difícil na medida em que os modelos de Inteligência Artificial estiverem cada vez integrados às soluções do dia a dia, aumentando o volume e abrangência dos dados criados e que precisam ser protegidos.
Carlos Rodrigues (*)
A maior novidade deste ano foi, sem dúvida, a Inteligência Artificial Generativa. Começando pelo ChatGPT, uma iniciativa da OpenAI, e passando por outros grandes players de tecnologia, como Google e Microsoft, esse modelo de IA criou um hype no mercado, deixando outras buzzwords, como Blockchain e Big Data, bem para trás.
Se olharmos somente os impactos positivos, os modelos de IA Generativa prometem uma revolução no trabalho, com mais eficiência e produtividade. Na área de Segurança da Informação, também vemos esse movimento, com as tecnologias de proteção ganhando em agilidade e aumentando a eficiência dos times no que tange à resposta às ameaças. Mas o outro lado da IA também traz riscos: o que é autoinfligido e o risco externo.
O risco autoinfligido ocorre quando os funcionários começam a usar IA para sugerir conteúdo, seja por meio de uma consulta ou no contexto do que estão criando. A menos que os dados sejam bloqueados, há pouco que impeça a IA de analisar seu patrimônio de dados e revelar seu roteiro secreto, informações financeiras ou outros dados preciosos para todas as pessoas erradas.
Para ajudar a mitigar esse risco, fabricantes – como a Microsoft, que lançou o seu assistente de IA dentro do Microsoft 365, o Copilot – recomendam que as empresas implementem controles e políticas de acesso corretos às informações.
Infelizmente, implantar controles e políticas de acesso corretos é muito mais desafiador do que se pensa – e isso vai se tornar ainda mais difícil na medida em que os modelos de IA estiverem cada vez integrados às soluções do dia a dia, aumentando o volume e abrangência dos dados criados e que precisam ser protegidos.
Sem os controles corretos, a IA não saberá quem deve ver o quê. As organizações ficarão expostas, assim como ficam quando ativam plataformas de pesquisa corporativa antes de bloquear as coisas – só que de modo muito pior. Se isso acontecer, os funcionários nem precisarão pesquisar o conteúdo que desejam roubar ou dar uma espiada: a IA terá prazer em expor isso para eles.
Como os invasores estão tirando proveito
O risco externo vai continuar a aumentar na medida em que os cibercriminosos aprendem a usar a IA. Infelizmente, eles já começaram. WormGPT e FraudGPT usam LLMs (em uma tradução livre, Grandes Modelos de Linguagem) para ajudar os invasores a criar e-mails de phishing convincentes e traduzi-los para outros idiomas.
Agora, os invasores também criam conjuntos de dados falsos com base em violações anteriores e outros dados disponíveis. Criminosos alegam que roubaram dados de empresas para reforçar sua reputação como invasores capazes, ou potencialmente capazes, de enganar essas empresas para que paguem um resgate. A IA Generativa pode aumentar o volume de dados e tornar mais difícil distinguir entre uma violação real e uma falsa.
Pesquisadores já usaram IA para criar um malware como uma prova de conceito, e devemos esperar ver mais malwares gerados por esta ferramenta sendo vetores de ataques. Infelizmente, o uso da IA continuará a reduzir as barreiras de entrada para todos os tipos de vilania cibernética.
Estes são apenas alguns dos riscos que a IA apresenta – e, ao ritmo que esta tecnologia avança, muitos mais virão. Em breve, a IA Generativa poderá criar novas ameaças cibernéticas por conta própria.
Benefícios para a segurança
Felizmente, a IA também apresenta enormes oportunidades para a segurança cibernética. Ela é excelente no reconhecimento de padrões. Ao analisar as coisas certas, a IA e o Aprendizado de Máquina podem fornecer insights sobre vulnerabilidades e comportamentos indesejados. Quando aliada à automação, a IA será capaz de cuidar de tarefas rotineiras, dando aos humanos mais tempo para tratar de atividades que exigem sua preciosa atenção.
Outro exemplo é o uso da IA para criação de dados sintéticos que podem servir de isca para os invasores, tornando mais difícil para eles saberem se roubaram algo valioso, ao mesmo tempo em que daria aos defensores e às tecnologias das quais eles dependem mais oportunidades de capturar cibercriminosos.
A preparação das empresas
Existem algumas ações que podem preparar a sua empresa de forma efetiva para a integração da IA ao ambiente de trabalho. A primeira delas é realizar uma avaliação efetiva de riscos de dados, identificando quais informações confidenciais estão excessivamente expostas – antes que sejam relevadas por uma IA “amigável” ou “hostil”.
O segundo passo é realizar o bloqueio de dados, principalmente as informações críticas ou confidenciais. Seus funcionários e parceiros devem ter apenas as informações necessárias para realizar seu trabalho e nada mais. Por último, é preciso contar com soluções efetivas de monitoramento de dados: nunca foi tão importante monitorar como os humanos e os aplicativos usam os dados para procurar atividades indesejadas.
Embora algumas tecnologias mais recentes e tendências cheguem ao auge e caiam na obsolescência, a IA quase certamente sobreviverá ao hype. Se seus dados não estiverem bloqueados, a IA (amigável ou não) poderá aumentar a probabilidade de violação de dados. Até onde sabemos, nem mesmo a IA pode desbloquear dados, portanto, proteja seus dados primeiro para garantir que a IA funcione a seu favor e não contra você.
(*) Vice-Presidente da Varonis para América Latina