(Reprodução/Reprodução)
Líder de segurança LatAm na Amazon Web Services
Publicado em 17 de dezembro de 2023 às 11h02.
Como qualquer outra tecnologia, a Inteligência Artificial (IA) pode ser usada para o bem e para o mal. Cabe a nós, profissionais de tecnologia, segurança e cibersegurança, identificarmos juntamente com as áreas de negócio como o uso da IA pode resolver problemas reais de forma ética, segura e responsável.
Porém, antes de falarmos do papel da cibersegurança nesse contexto, é importante entendermos que IA não é algo novo. Diversas empresas e negócios já usam a IA para resolver problemas há décadas. Por exemplo, quando você usa um aplicativo móvel de banco e esse pede para você para se autenticar usando a sua face, na verdade você está sendo autenticado por uma IA. Definimos tecnicamente esse procedimento como “prova de vida”, que valida se você é quem diz ser e se você é uma pessoa real e não uma foto.
Outro exemplo cotidiano: ao fazer uma compra online e receber uma recomendação de compra, existe também uma IA que foi treinada para gerar essa recomendação, utilizando dados históricos e comportamentos de compra. Outro caso de uso comum é quando você está sendo atendido por um bot (atendente ou assistente virtual), que nada mais é que uma IA treinada para atender e interagir com você.
Mesmo com a IA já sendo utilizada há décadas para resolver problemas de negócios, existe uma razão para o tema IA (generativa) estar tão aquecido. A IA tradicional, que poderíamos classificar como robôs, é treinada para responder perguntas ou realizar tarefas específicas.
Diferentemente, a IA generativa tem como principal objetivo criar conteúdo original, ou seja, novos dados com base em padrões já existentes. Para isso, são utilizados algoritmos alimentados com grandes quantidades de dados de diferentes tipos, como texto, imagem ou som, gerando em seguida novos dados que se assemelham a esses padrões. Poderíamos dizer aqui que a grande diferença está no volume de variáveis que são utilizadas pela IA tradicional e a IA generativa.
Agora que conceituamos IA tradicional e generativa vale entendermos quais são os seus benefícios e desafios para cibersegurança, além dos passos fundamentais para adotar essa tecnologia sem renunciar à segurança do seu negócio. E para título de simplificação, daqui em diante, sempre que falarmos de IA englobaremos ambas.
Não há dúvidas que a cibersegurança também é beneficiada com o uso da IA. O seu uso correto permite detectar comportamentos anômalos de usuários, dispositivos ou aplicações de forma proativa, a fim de mitigar riscos de incidentes de segurança como vazamento, roubo, sequestro de dados e impacto operacional aos negócios.
Além disso, o uso da IA permite também que os times de segurança sejam mais velozes, eficazes e eficientes quando ocorre um incidente, pois potencializam o trabalho, dando visibilidade ao que muitas vezes antes era um ponto cego, uma vez que os algoritmos conseguem avaliar uma quantidade enorme de variáveis simultaneamente.
O uso da IA também ajuda, por exemplo, desenvolvedores a criarem códigos e aplicações mais seguras e por consequência negócios digitais mais seguros.
No entanto, também existe o outro lado da moeda. A IA também já é usada para atacar empresas e usuários. Os usuários mal-intencionados, conhecidos como crackers ou popularmente chamados de hackers (incorretamente assim definidos, mas nesse artigo não abordaremos essa questão semântica), já usam esta tecnologia para criar ataques mais elaborados.
Os crackers utilizam a IA para que um e-mail falso pareça mais “autêntico”, para a criação de vídeos com rostos falsos (deep fake), para clonar vozes e criar códigos maliciosos ou ainda para encontrar e explorar vulnerabilidades.
Estamos falando de uma guerra virtual entre IAs que fatalmente já está em curso. Entretanto, como falamos no início do artigo, toda a tecnologia pode ser usada para o bem e para o mal. A boa notícia é que os profissionais de cibersegurança estão cada vez mais atentos a esse tipo de ameaça e é nosso papel criar o conhecimento necessário para mitigar o uso indevido dessa tecnologia.
Recomendo, se sua empresa ou você está adotando IA, que procure o profissional de cibersegurança para que a tecnologia seja adotada de forma segura e responsável desde o princípio dessa jornada. Caso sua empresa não tenha um profissional dedicado ao tema, procure ajuda com seus provedores de serviço para evitar impactos negativos a longo prazo.
Uma vez determinado o desafio de negócio que será resolvido com o uso de IA, é preciso considerar pelo menos três passos fundamentais relacionados à segurança.
Primeiro passo: entenda onde estão os seus dados e como eles estão sendo usados para treinar ou interagir com as IAs. Muitos times de negócios, em virtude do desejo de rapidamente adotar a tecnologia para agilizar seus processos, acabam enviando dados e informações confidenciais para treinar ou customizar os modelos sem pensar na proteção e privacidade dos dados.
Sabemos que, em geral, quanto mais dados um modelo tiver que considerar, melhor será a previsão. Por exemplo, se você estiver solicitando insights (percepções, dicas) de vendas, quanto mais dados financeiros e de clientes você puder fornecer, mais precisos esses insights deverão ser.
Ao fornecer esses dados, valide se você está utilizando uma IA sua, privada, segura e controlada, ou se está utilizando um serviço público. Se estiver usando uma IA pública, valide se existem mecanismos para evitar que as suas informações sejam utilizadas para treinar modelos de outras empresas. Desse modo, é possível evitar que as suas informações estejam disponíveis para empresas e pessoas não autorizadas.
E vale destacar que já existem relatos de ocorrência de vazamentos de informações através do uso inadequado da IA. No entanto, os dados de treinamento não são o único conjunto de dados confidenciais com o qual você precisa se preocupar, por isso vamos entender o segundo passo a seguir.
Segundo passo: entenda o que acontece com as suas perguntas realizadas no prompt durante sua interação com a IA e o que acontece com dados associados a suas perguntas.
Os usuários aprendem rapidamente o que torna uma consulta eficaz quando começam a adotar IA generativa e LLMs (Large Language Models – Modelo de Linguagem grande, que nada mais são que os modelos de linguagem estatística que sustentam a IA generativa). Na medida que aprendem como utilizar melhor a tecnologia os usuários começam a adicionar mais detalhes e requisitos específicos na consulta, o que leva a melhores resultados.
A maneira como um serviço lida com esses dados e suas interações é uma pergunta que precisa ser respondida antes de usar a IA, afinal a consulta em si também pode ser confidencial e deve fazer parte do seu plano de proteção de dados, pois é possível inferir muito a partir da pergunta de um usuário.
Terceiro e último passo: valide se os resultados apresentados pelos modelos são confiáveis e melhoram de forma constante. Usando como exemplo um caso de uso focado em segurança, já existem aplicações de IA e LLMs com o objetivo de gerar códigos personalizados, permitindo a criação de aplicações de negócio de forma mais ágil, acelerando e apoiando o trabalho dos desenvolvedores. Nesse cenário é importante validar se esse código gerado segue boas práticas de segurança.
Para usar a IA de forma segura, em resumo, você (dono do dado) deve ser capaz de controlar como e quando o seu dado será usado, tanto o de entrada quanto o de saída (resposta) da IA. É de fundamental importância que eles estejam criptografados, seja durante o envio e recebimento do dado (em trânsito) ou quando armazenado (em repouso).
Preferencialmente, você deve criptografar usando suas próprias chaves, sob seu controle somente. Adicionalmente, garanta que os acessos sejam personalizados, limitando quem pode treinar o modelo, quem tem acesso aos dados e assim sucessivamente.
Inevitavelmente, a IA generativa é mais uma ferramenta que empresas e colaboradores utilizarão a fim de serem mais eficientes e eficazes em seu trabalho. Isso deve ser feito sem renunciar à segurança e à privacidade dos dados, pelo contrário, o uso da IA é uma excelente oportunidade para rever e adequar os controles de segurança.
E, aproveitando o ensejo, podemos dizer que a IA tem papel fundamental em uma estratégia de confiança zero. Se você não sabe o que é uma estratégia de confiança zero, confira no meu artigo anterior aqui na coluna da Exame.
Em tempo, deixo também a referência adicional mencionada no artigo: Como garantir a segurança da IA Generativa.
Esse anúncio da Mynt não foi escrito por uma Inteligência Artificial. Mas somos tecnológicos. Nossa segurança é de ponta e nossa curadoria, de excelência. O que falta para você investir em crypto com a Mynt?
Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok