Mindset de segurança na era da IA

O ditado “com grandes poderes, vêm grandes responsabilidades” nunca foi tão válido no contexto corporativo como agora. Se, de um lado, empresas do mundo todo estão buscando inovações com inteligência artificial (IA) para acelerar seus negócios, de outro, indivíduos mal intencionados estão usufruindo dessa tecnologia para acelerar e automatizar ataques cibernéticos.

Ocorre que criminosos também sabem que, em geral, a segurança é componente reativo nas implementações de soluções digitais.

Em um passado recente, para explorar uma falha de software, eles enfrentavam limitações em termos de capacidade computacional e de conhecimento de construção de códigos maliciosos, o que exigia maior intervenção humana e processamento para concluir um ataque. No entanto, com o advento da IA generativa, cibercriminosos têm acelerado os ataques por meio de ações autônomas, o que lhes permite descobrir rapidamente falhas no sistema, obter informações sigilosas e causar danos às organizações, como sequestro de dados e interrupção nas operações do negócio.

Nas mãos erradas, a IA é uma tecnologia que possibilita a realização de ataques, mesmo por quem tem pouco conhecimento técnico. Isso inclui a criação de programas maliciosos e e-mails falsos – também conhecidos como phishing – cada vez mais realistas. Isso sem falar no uso da tecnologia para criar deepfakes de pessoas reais e, assim, aplicar golpes. Esse fenômeno é conhecido como offensive AI (IA ofensiva, em livre tradução) e envolve o desenvolvimento de algoritmos de ataque cibernético para violar sistemas de segurança, criar bots para disseminar desinformação ou manipular opiniões públicas em redes sociais.

Outro termo relevante é o destructive AI (IA destrutiva, em livre tradução), que se refere aos sistemas de IA que têm o potencial de causar danos físicos, materiais ou sociais significativos. Podem ser projetados para destruir infraestruturas, comprometer sistemas críticos ou, até mesmo, causar danos às pessoas. Essa categoria de IA levanta preocupações éticas e de segurança, exigindo uma análise cuidadosa e regulações adequadas para mitigar riscos potenciais.

O tamanho do impacto para as indústrias

O cenário é alarmante: o estudo Cost of Data Breach de 2023, da IBM Security, estima que o crime cibernético custará à economia mundial US$10,5 trilhões por ano até 2025, diferente da estimativa de US$3 trilhões prevista em 2015. Só para se ter uma ideia, o custo médio de uma violação de dados em 2023 foi de US$4,45 milhões, um aumento de 15% ao longo de três anos.

Mas as vulnerabilidades em segurança vão além do impacto financeiro e trazem consequências que podem ser classificadas como externas e internas.

Da perspectiva interna, um dos maiores riscos reside no compartilhamento indevido de informações com IAs não seguras, podendo acarretar em vazamentos de dados.

O tratamento de dados pessoais pelas organizações – em observância à Lei Geral de Proteção de Dados (LGPD) – também demanda atenção redobrada, especialmente considerando o uso de dados de clientes em soluções de IA e o ecossistema formado por muitas parcerias entre empresas fornecedoras de tecnologia. A falta de zelo quando o assunto é privacidade e tratamento adequado de dados pessoais por terceiros pode incorrer em responsabilidades legais para as empresas envolvidas.

Em relação aos impactos externos, o principal risco consiste no uso da IA para facilitar que pessoas sem conhecimento avançado em programação sejam capazes de desenvolver aplicações maliciosas de forma mais fácil e rápida. Automatização de envios de phishing (não só por texto, mas também por ligação telefônica), cópia de conteúdo de sites de bancos e tentativas de se passar por outra pessoa por meio de recursos de foto, vídeo e cópia da voz são algumas das ameaças enfrentadas pelas empresas.

De acordo com a IBM Security, os segmentos de mercado com maiores custos provocados por vulnerabilidades no acesso aos dados são:

– Healthcare O setor de saúde é frequentemente alvo de ataques cibernéticos devido à urgência em resolver bloqueios, adulteração e recuperação de informações, sendo classificado como o setor mais afetado, segundo pesquisa da IBM. Muitos equipamentos médicos desatualizados e com sistemas legados são vulneráveis, tornando-se alvos atrativos para criminosos em busca de dados confidenciais e sistemas críticos de saúde.

– Financeiro O volume massivo de dados pessoais e sensíveis armazenados pelas instituições financeiras, combinado com a busca incessante por lucro através da aplicação de golpes, são os principais fatores que atraem os cibercriminosos para esse setor crucial da economia. A offensive AI e a destructive AI apresentam uma ameaça ainda maior nesse contexto, que já é altamente sensível.

– Farmacêutico No setor farmacêutico, cibercriminosos visam adquirir informações confidenciais e de propriedade intelectual relacionadas a pesquisas médicas, devido aos benefícios econômicos potenciais associados a vacinas e medicamentos. É comum que ataques motivados por espionagem sejam perpetrados por invasores patrocinados pelo cibercrime e partes interessadas.

– Energia Já no setor de energia (como petróleo, usinas nucleares, de carvão e de álcool) as ameaças acontecem por meio de dispositivos de internet das coisas (IoT). Utilizados para automatizar processos com sensores, tais dispositivos recebem poucas atualizações de seus softwares de segurança, abrindo brechas para ataques que podem interromper operações e impactar vidas. As consequências vão desde danos à reputação da organização e prejuízo financeiro por pagamento de multas a indenizações aos clientes que forem lesados.

Como a IA pode potencializar medidas de segurança

Embora a segurança deva fazer parte da estratégia de qualquer negócio, muitas empresas primeiro avançam em seus projetos de aplicação de IA e deixam a segurança a reboque.

Alguns gargalos que dificultam a adoção de medidas de proteção efetivas na implementação de soluções de IA são a falta de investimento em tecnologias de segurança, a baixa prioridade atribuída ao tema, a falta de processos e pessoas e a falta de profissionais de segurança qualificados no mercado.

Nesse desafio, a própria IA é um recurso valioso para resolver o gargalo de falta de profissionais qualificados, pois ajuda a preencher lacunas de capacidades técnicas, atuando como copiloto para que pessoas com menos conhecimento em arquitetura e programação sejam empoderadas a criar soluções mais seguras. Basta entender o processo de construção de uma solução e quais frameworks de segurança se aplicam para realizar correções de código, evitar vulnerabilidades e elaborar uma arquitetura segura de informações, entre outras medidas de segurança de forma mais rápida e segura.

A IA generativa é uma forma de equilibrar o conhecimento das pessoas desenvolvedoras de forma segura, explorando as boas práticas, do nível júnior ao sênior.

A IA aplicada na automação de segurança também demonstra ser um importante investimento para reduzir custos e minimizar o tempo de mitigação de vazamento de dados. Ainda segundo o estudo da IBM, organizações que usaram extensivamente AI security (IA de segurança, em livre tradução) foram, em média, 108 dias mais rápidas para identificar e conter violações e despenderam US$ 1,76 milhão a menos com custos de violação de dados que organizações que não lançaram mão desse recurso e de recursos de automação.

Isso demonstra que construir aplicações com baixo risco de violabilidade não só é possível, mas também não implica perda de agilidade. Ao contrário, com o apoio de recursos de IA integrados às tecnologias de segurança de software, podemos observar uma melhoria significativa na eficiência dos times envolvidos.

A lição que fica é que, nessa realidade falsa que está ficando cada vez mais avançada e parecendo confiável, não basta apenas criar mecanismos de defesa, é necessário adotar tecnologias emergentes para estar sempre um passo à frente de criminosos.

Artigo assinado por Leonardo Horvath dos Reis, head de Cybersecurity na CI&T, organização associada à Brasscom