Como a Inteligência Artificial Generativa pode ser aliada dos crimes digitais?
A Inteligência Artificial Generativa trouxe grandes avanços para a tecnologia e o cotidiano das pessoas e das empresas.
Contudo, como toda tecnologia emergente, ela representa várias ameaças à segurança de dados.
Os aplicativos de Inteligência Artificial Generativa (vamos nomeá-la agora simplesmente como IA Generativa), como o ChatGPT e Bard, são LLMs (Large Language Model – modelos de aprendizado de máquina) que aprendem com as informações que os usuários inserem.
Vamos pensar em alguns cenários práticos para identificarmos o risco:
- Imagine uma empresa que está passando por um processo de aquisição ou fusão que ainda não foi tornada pública. Pesquisas subsequentes de outros usuários podem revelar essas informações.
- Ou imagine se um engenheiro de software usasse IA generativa para depurar código de software proprietário, essa propriedade intelectual estaria em risco de se tornar de domínio público — ou pior, acabar em posse de um concorrente.
- Da mesma forma, se o engenheiro usasse a IA generativa para escrever código, ele talvez pudesse conter malware que forneceria a um invasor uma backdoor para o sistema de uma empresa, o que poderia ocasionar violações de dados pessoais ou de propriedade intelectual ou comercial.
As leis de privacidade de dados (como a LGPD e GDPR), obrigam as organizações a proteger rigorosamente os dados pessoais. O uso de IA generativa para qualquer tipo de tratamento de dados pessoais também poderia colocar a empresa em risco de não conformidade, pois ao submeter dados para análise eles poderiam vazar ou ser usadas incorretamente em uma simples consulta.
1. Alguns exemplos da IA generativa sendo usada de forma maliciosa
A IA generativa também pode ser usada para escrever malware e outros códigos maliciosos. Mas pera aí. O Chat GPT não bloqueia a criação de código malicioso?
De forma básica, sim. Mas um atacante com maiores conhecimentos e perseverança, pode ser mais objetivo em sua solicitação e solicitar código para determinadas tarefas que fazem parte de um malware.
Veja o exemplo abaixo em solicitamos a criação de um código para criptografar uma pasta em Python:
Com mais alguns passos, poderíamos criar um Ransomware com a ajuda do ChatGPT. Isto é um enorme problema!
Agora vou simular a criação de um Keylogger (um tipo de malware que captura as teclas digitadas de um usuário). Este tipo de ameaça é muito usada para golpistas para descobrir senhas bancárias.
Veja que em um primeiro momento, não obtive resultados:
Mas eu melhorei meu pedido:
Observe que ele me trouxe o código. Com um pouco de conhecimento de programação, basta remover o trecho do código que pede a permissão do usuário.
Outros exemplos em que a IA generativa pode ser aliada dos crimes digitais:
- Criação de Fakenews
- Ataques de Phishing
- Roubo de Identidade
- Automação de processos ofensivos
2. Como a IA generativa aumenta o cenário de ameaças?
O cenário de ameaças de segurança digital está em constante evolução e a IA representa uma nova superfície para ataques.
A IA generativa corre o maior risco de ser outro caminho para um vazamento de dados ou violação de dados — não muito diferente de qualquer um dos outros aplicativos SaaS que as empresas usam diariamente.
Se os funcionários estiverem trabalhando com IA generativa com dados confidenciais, uma violação de dados ou uso indevido desses dados pode afetar a postura de segurança da empresa.
Para nos protegermos precisamos aplicar controles proibitivos. Precisamos definir quem deve poder usar os aplicativos e criar políticas que permitam que esses grupos acessem as ferramentas — impedindo aqueles que não devem. Além disso, temos que habilitar rastreabilidade para podermos rastrear incidentes e violações.
3. Como proteger os dados confidenciais da IA generativa?
A segurança de dados de IA generativa requer controle de acesso em tempo real e controles de dados robustos.
Em uma plataforma de DLP (Proteção de Vazamento de Dados), as organizações podem fornecer acesso a ferramentas de IA generativa para grupos limitados de funcionários que foram aprovados para usá-las. Essas políticas podem ser implementadas em dispositivos gerenciados e não gerenciados, dando às empresas uma ampla gama de controle.
Com uma solução de DLP corretamente implantada, os usuários do ChatGPT e Bard ficarão limitados em quais informações podem compartilhar com as plataformas para evitar um vazamento de dados acidental. Isso inclui impedir a colagem de informações confidenciais, como CPFs e Dados Financeiros no aplicativo.
O ideal é estender essa proteção à todos os discos, transferência de arquivos de rede, e-mails, comunicadores instantâneos (Whatsapp, Skype, Teams, Telegram, etc), SSL / HTTPS, impressoras, Bluetooth, leitores de CD / DVD / BluRay e também os discos na nuvem (One Drive, Google Drive, Dropbox, etc).
4. Precisamos de novas políticas de segurança de dados específicas para o uso de IA generativa?
5. A IA generativa pode ajudar também a combater os crimes cibernéticos e as fraudes?
Sim. E muito! Na verdade isso já acontece no mínimo há uns 10 anos. Mas é assunto para um outro post! 🙂
Para saber mais:
A NETDEEP TECNOLOGIA possui um portfólio completo de soluções de proteção de dados. Estamos desde 2009 protegendo empresas contra incidentes com hackers, vazamento de dados, malwares, negação de serviços e outros tipos de ameaças cibernéticas.
Entre em contato conosco e agende uma consultoria gratuita com um de nossos especialistas.
Este artigo foi lido 583 vezes!
Deixe o seu comentário