Quais os riscos do uso da Inteligência Artificial Generativa para a segurança das informações?

Quais os riscos do uso da Inteligência Artificial Generativa para a segurança das informações?

A Inteligência Artificial Generativa trouxe grandes avanços para a tecnologia e o cotidiano das pessoas e das empresas. Contudo, como toda tecnologia emergente, ela representa várias ameaças à segurança de dados.
Essas ameaças incluem riscos de vazamento de dados, violação de dados e não conformidade com as leis de privacidade de dados, como por exemplo a LGPD (Lei Geral de Proteção de Dados).

Os aplicativos de Inteligência Artificial Generativa (vamos nomeá-la agora simplesmente como IA Generativa), como o ChatGPT e Bard, são LLMs (Large Language Model – modelos de aprendizado de máquina) que aprendem com as informações que os usuários inserem.

Vamos pensar em alguns cenários práticos para identificarmos o risco.

Imagine uma empresa que está passando por um processo de aquisição ou fusão que ainda não foi tornada pública. Pesquisas subsequentes de outros usuários podem revelar essas informações.

Ou imagine se um engenheiro de software usasse IA generativa para depurar código de software proprietário, essa propriedade intelectual estaria em risco de se tornar de domínio público — ou pior, acabar em posse de um concorrente.

Da mesma forma, se o engenheiro usasse a IA generativa para escrever código, ele talvez pudesse conter malware que forneceria a um invasor uma backdoor para o sistema de uma empresa.

Por fim, as leis de privacidade de dados (como a LGPD e GDPR), obrigam as organizações a proteger rigorosamente os dados pessoais. O uso de IA generativa para qualquer tipo de tratamento de dados pessoais poderia colocar a empresa em risco de não conformidade, pois essas informações poderiam vazar ou ser usadas incorretamente. Além disso, dados de propriedade intelectual, comercial e industrial podem ser vazados em uma simples consulta.

 

A IA generativa também pode ser usada para escrever malware e outros códigos maliciosos. Mas pera aí. O Chat GPT não bloqueia a criação de código malicioso?

De forma básica, sim. Mas um atacante com maiores conhecimentos e perseverança, pode ser mais objetivo em sua solicitação e solicitar código para determinadas tarefas que fazem parte de um malware.

Veja o exemplo abaixo em solicitamos a criação de um código para criptografar uma pasta em Python:

Com mais alguns passos, poderíamos criar um Ransomware com a ajuda do ChatGPT. Isto é um enorme problema!

Agora vou simular a criação de um Keylogger (um tipo de malware que captura as teclas digitadas de um usuário). Este tipo de ameaça é muito usada para golpistas para descobrir senhas bancárias.

Veja que em um primeiro momento, não obtive resultados:

Mas eu melhorei meu pedido:

Observe que ele me trouxe o código. Com um pouco de conhecimento de programação, basta remover o trecho do código que pede a permissão do usuário.

Outros exemplos em que a IA generativa pode ser aliada dos crimes digitais:

  • Criação de Fakenews
  • Ataques de Phishing
  • Roubo de Identidade
  • Automação de processos ofensivos

O cenário de ameaças de segurança digital está em constante evolução e a IA representa uma nova superfície para ataques.

A IA generativa corre o maior risco de ser outro caminho para um vazamento de dados ou violação de dados — não muito diferente de qualquer um dos outros aplicativos SaaS que as empresas usam diariamente.

Se os funcionários estiverem trabalhando com IA generativa com dados confidenciais, uma violação de dados ou uso indevido desses dados pode afetar a postura de segurança da empresa.

Para nos protegermos precisamos aplicar controles proibitivos. Precisamos definir quem deve poder usar os aplicativos e criar políticas que permitam que esses grupos acessem as ferramentas — impedindo aqueles que não devem. Além disso, temos que habilitar rastreabilidade para podermos rastrear incidentes e violações.

A segurança de dados de IA generativa requer controle de acesso em tempo real e controles de dados robustos.

Em uma plataforma de DLP (Proteção de Vazamento de Dados), as organizações podem fornecer acesso a ferramentas de IA generativa para grupos limitados de funcionários que foram aprovados para usá-las. Essas políticas podem ser implementadas em dispositivos gerenciados e não gerenciados, dando às empresas uma ampla gama de controle.

Com uma solução de DLP corretamente implantada, os usuários do ChatGPT e Bard ficarão limitados em quais informações podem compartilhar com as plataformas para evitar um vazamento de dados acidental. Isso inclui impedir a colagem de informações confidenciais, como CPFs e Dados Financeiros no aplicativo.

O ideal é estender essa proteção à todos os discos, transferência de arquivos de rede, e-mails, comunicadores instantâneos (Whatsapp, Skype, Teams, Telegram, etc), SSL / HTTPS, impressoras, Bluetooth, leitores de CD / DVD / BluRay e também os discos na nuvem (One Drive, Google Drive, Dropbox, etc).

Sim! Todas as empresas devem analisar como seus funcionários já interagiram ou podem interagir com a IA generativa, que tipos de riscos essas interações representam e como a organização pode impedir que usuários inelegíveis acessem e compartilhem informações confidenciais com a IA generativa.

Como qualquer outro aplicativo SaaS, as empresas devem certificar-se de ter visibilidade completa sobre os usuários que acessam a IA generativa e controle sobre os dados com os quais interagem.

Na maioria dos casos, isso envolverá a filtragem de URL por função, dispositivo ou local da tarefa, inspeção de arquivos recebidos e enviados, além das políticas de segurança de dados para evitar quaisquer violações de conformidade.

A NETDEEP TECNOLOGIA possui um portfólio completo de soluções de proteção de dados. Estamos desde 2009 protegendo empresas contra incidentes com hackers, vazamento de dados, malwares, negação de serviços e outros tipos de ameaças cibernéticas.

Entre em contato conosco e agende uma consultoria gratuita com um de nossos especialistas.

Este artigo foi lido 143 vezes!

Deixe o seu comentário

netdeep