Inteligência artificial: riscos e oportunidades na segurança da informação

Escrito por: Carina Hernandes

9 de dezembro de 2024

A inteligência artificial (IA) está revolucionando a forma em que as empresas e os profissionais ocupam a cibersegurança, o que se traduz em grandes oportunidades, mas também em riscos. Enquanto por um lado temos a redução do tempo necessária para analisar e responder às ameaças, por outro lado os ataques tendem a ser ainda mais sofisticados com a IA

Para falar da IA ​​a partir da perspectiva do aumento da segurança, cabe mencionar o relatório da Agência de Cibersegurança da União Europeia (ENISA) titulado Cenário de ameaças à inteligência artificial (2023). De acordo com o documento, a automatização de tarefas, como a análise de registros e a detecção de anomalias, é uma das principais vendas da IA. Os algoritmos de aprendizagem automática (ML) podem identificar padrões de comportamento específicos e mitigar também as ameaças em tempo real. Isso é fundamental em um cenário em que o volume de dados aumenta exponencialmente e a velocidade de resposta é crítica para evitar falhas graves.

Outro ponto positivo é o uso da IA ​​preditiva para antecipar possíveis ataques. O relatório Principais tendências de segurança e gerenciamento de riscos (2024) O Gartner destaca que, por meio da análise de vastos conjuntos de dados históricos e contextuais, a IA pode antecipar possíveis vetores de ataque, o que permite que as organizações reforcem suas defesas de forma proativa. Além disso, as soluções de Orquestração de Segurança e Automatização de Resposta (SOAR) utilizam IA para responder aos incidentes de forma automatizada, reduzindo o tempo de reação e minimizando o impacto.

Riesgos associados ao uso da IA

Apesar das muitas vendas, o relatório da ENISA também sinalizou os riscos da IA, alertando sobre a possibilidade de que agentes maliciosos manipulem os algoritmos de IA para roubar os sistemas de segurança. Um exemplo são os ataques de envenenamento de dados,na medida em que os delinquentes manipulam ou corrompem os dados usados ​​para ensinar algoritmos de inteligência artificial, fazendo com que o modelo aprenda incorretamente. Isso pode corromper os conjuntos de dados, alterando os resultados dos algoritmos de detecção de ameaças e criando falsos negativos.

El Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos Estados Unidos, em seu relatório Estrutura de Gestão de Riscos de IA (2022), também sinalizou que com a integração crescente da IA ​​nas operações de segurança, a dependência excessiva desses sistemas pode se converter em um ponto fraco. Falhas nos modelos de IA, devido a erros de configuração ou manipulações malintencionadas, podem causar graves interrupções e uma falsa sensação de segurança.

Outro risco é o próprio uso da IA ​​por parte dos ciberdelinquentes para aumentar a eficácia de seus ataques. O relatório da ENISA também analisa a ameaça dos deepfakes (vídeos, imagens ou áudio manipulados por meio de inteligência artificial para criar representações falsas, mas realistas de pessoas ou acontecimentos) e outras formas de manipulação de conteúdos gerados por IA, que podem ser utilizadas para campanhas de desinformação e Phishing (ataques nos quais o caçador tenta obter dados do usuário, fazendo-o passar por uma autoridade de confiança).

Boas práticas e mitigação de riscos

Para equilibrar os riscos e oportunidades da IA, é crucial que as organizações adotem uma abordagem de Segurança por Design, que integra a segurança como parte fundamental desde o princípio do processo de criação de sistemas, software e produtos. Neste modelo, em vez de adotar medidas de proteção após o desenvolvimento, a segurança é incorporada em cada fase, garantindo que o sistema seja projetado para minimizar as vulnerabilidades e resistir às ameaças desde o princípio.

O NIST também recomenda aplicar controles rigorosos e auditorias contínuas aos sistemas de IA para garantir que seus algoritmos sejam transparentes e possam ser validados de forma independente. Além disso, a ENISA sugere que as empresas utilizem técnicas de defesa, como a diversificação de modelos e o treinamento de algoritmos em ambientes seguros e controlados.

O uso responsável pela IA também implica formar e capacitar os equipamentos de cibersegurança para fazer frente às novas ameaças que surgem com esta tecnologia. Os programas de consciência e formação contínua, como sugerir o relatório Principais tendências de segurança e gerenciamento de riscos (2024) do Gartner, são essenciais para que os profissionais se adaptem às mudanças e estejam preparados para enfrentar ataques cada vez mais sofisticados.

Conclusão

A inteligência artificial representa sem dúvida um ponto de inflexão na cibersegurança, que traz novas oportunidades para otimizar e reforçar os sistemas de proteção. Sem embargo, não há que subestimar seus riscos. Informa como Cenário de ameaças à inteligência artificial da ENISA (2023), Estrutura de gerenciamento de risco de IA do NIST (2022) e Principais tendências em segurança e gerenciamento de riscos de Gartner (2024) indica que o equilíbrio entre inovação e segurança depende de uma abordagem robusta e consciente, onde a implantação da IA ​​será acompanhada de práticas rigorosas de monitoramento, validação e formação contínua. Desta forma, é possível maximizar os benefícios da tecnologia, minimizando seus riscos e garantindo um ambiente digital mais seguro.

Carina Hernandes é uma profissional com mais de 20 anos de experiência em Segurança da Informação. Atualmente, como Gerente de Projetos de Segurança na Logicalis, sobrevenda em governança, riscos, cumprimento, gerenciamento de serviços de TI, SoD e auditoria de ITGC, contribuindo em projetos estratégicos para grandes multinacionais.
Se você está gostando de nosso conteúdo, por favor, compartilhe esta postagem com sua comunidade nas redes sociais.
Compartilhe Este