Como será o futuro da segurança digital com o aumento cada vez mais rápido da Inteligência Artificial?
As ferramentas de inteligência artificial (IA) ganham cada vez mais espaço na vida e no trabalho dos brasileiros. É o que mostra uma pesquisa do Itaú Unibanco na qual o banco analisou os gastos dos clientes com cartão para saber quanto eles estavam gastando com IA.
O número surpreende: o valor transacionado em ferramentas pagas que utilizam essa tecnologia aumentou 322% no Brasil, enquanto os gastos expandiram 120%, em comparação ao mesmo período do ano anterior.
A geração Y, de 28 a 42 anos, é a principal consumidora de tecnologia, representando 52% de todas as transações realizadas. A geração X, de 43 a 57 anos, vem em seguida, com 28% de participação. Os homens lideram em utilização, sendo responsáveis por 80% das transações e com ticket médio de R$165.
Expandindo rapidamente em todo o mundo
Com um tamanho de mercado estimado em US$102 bilhões até 2032, não é segredo que a inteligência artificial (IA) está conquistando todos os setores. Todos conhecemos a ideia básica da IA – é como criar computadores realmente inteligentes, mostrando-lhes muitas imagens, dizendo-lhes o que há nas imagens e deixando-os aprender com essas imagens para que possam descobrir as coisas por si próprios.
“No entanto, a IA requer dados, e de onde vêm esses dados, como são processados e o que resulta desses processos exigirá um sentido de identidade e segurança. Compreensivelmente, muitas pessoas estão preocupadas com a segurança desses dados. Uma pesquisa de 2023 descobriu que 81% dos entrevistados estão preocupados com os riscos de segurança associados ao ChatGPT e à IA generativa, enquanto apenas 7% estavam otimistas de que as ferramentas de IA melhoraram a segurança na Internet. Assim, fortes medidas de segurança cibernética serão ainda mais críticas com as tecnologias de IA”, afirma Avesta Hojjati, chefe de P&D da DigiCert.
Mas também existem inúmeras oportunidades para aplicar IA na segurança cibernética para melhorar a detecção de ameaças, prevenção e resposta a incidentes. Assim, as empresas precisam compreender as oportunidades e as fraquezas da IA na segurança cibernética para se manterem à frente das ameaças futuras.
Usando a IA a seu favor
Pelo lado positivo, a IA pode ajudar a transformar a segurança cibernética com respostas mais eficazes, precisas e rápidas. Algumas das maneiras pelas quais a IA pode ser aplicada à segurança cibernética incluem:
- Reconhecimento de padrões para reduzir falsos positivos: a IA é excelente no reconhecimento de padrões, o que significa que pode detectar melhor anomalias e fornecer uma análise de comportamento e detectar ameaças em tempo real. Na verdade, um estudo do Ponemon Institute em 2022 descobriu que as organizações que utilizam sistemas de detecção de intrusão baseados em IA experimentaram uma redução de 43% nos falsos positivos, permitindo que as equipes de segurança se concentrassem em ameaças genuínas. Além disso, foi demonstrado que as soluções de segurança de e-mail baseadas em IA reduzem os falsos positivos em até 70%.
- Permita a escala melhorando as capacidades humanas: a IA pode ser usada para melhorar as capacidades humanas, fornecer um tempo de resposta mais rápido e oferecer escalabilidade. A única limitação à escala será a disponibilidade de dados. Além disso, os chatbots de IA podem ser usados como assistentes virtuais para oferecer suporte de segurança e aliviar parte da carga dos agentes humanos.
- Acelerar a resposta e a recuperação de incidentes: a IA pode automatizar ações e tarefas de rotina com base em treinamentos anteriores e na coleta de dados multiponto, oferecer tempos de resposta mais rápidos e lacunas de detecção reduzidas. A IA também pode automatizar relatórios, oferecendo insights por meio de consultas em linguagem natural, simplificando sistemas de segurança e fornecendo recomendações para aprimorar futuras estratégias de segurança cibernética.
- Treinamento de phishing em sandbox: a IA generativa pode criar cenários de phishing realistas para treinamento prático em segurança cibernética, promovendo uma cultura de vigilância entre os funcionários e preparando-os para ameaças do mundo real.
Alerta vermelho
Já estamos vendo invasores usarem IA em ataques. Por exemplo:
- Campanhas de malware automatizadas por IA: Os cibercriminosos podem empregar IA generativa para criar malware sofisticado que ajusta seu código ou comportamento para evitar a detecção. Essas variedades de malware “inteligentes” são mais difíceis de prever e controlar, aumentando o risco de interrupções generalizadas do sistema e violações massivas de dados.
- Ataques de phishing avançados: a IA generativa tem a capacidade de aprender e imitar o estilo de escrita e as informações pessoais de um usuário, tornando os ataques de phishing consideravelmente mais persuasivos. E-mails de phishing personalizados, que parecem originar-se de contatos confiáveis ou instituições respeitáveis, podem induzir os indivíduos a divulgar informações confidenciais, representando uma ameaça substancial à segurança cibernética pessoal e corporativa.
- Deepfakes realistas: graças à IA generativa, atores mal-intencionados agora podem criar deepfakes – falsificações altamente convincentes de imagens, áudio e vídeos. Deepfakes representam um risco significativo para campanhas de desinformação, atividades fraudulentas e falsificação de identidade. Imagine um vídeo incrivelmente realista de um CEO anunciando falência ou uma gravação de áudio fabricada de um líder mundial declarando guerra. Estes cenários já não estão confinados ao domínio da ficção científica e têm o potencial de causar perturbações significativas.
Além disso, a IA requer muitos dados e as empresas precisam limitar exatamente o que é compartilhado, pois isso cria terceiros onde os dados podem ser violados. Até o próprio ChatGPT sofreu uma violação de dados devido a uma vulnerabilidade na biblioteca de código aberto Redis, permitindo aos usuários acessar o histórico de bate-papo de outras pessoas. A OpenAI resolveu rapidamente o problema, mas destaca riscos potenciais para chatbots e usuários. Algumas empresas começaram a proibir totalmente o uso do ChatGPT para proteger dados confidenciais, enquanto outras estão implementando políticas de IA para limitar quais dados podem ser compartilhados com a IA.
“A lição aqui é que, embora os agentes de ameaças estejam a evoluir para utilizar IA em novos ataques, as empresas precisam de se familiarizar com as potenciais ameaças de comprometimento para se protegerem contra elas”, conclui Avesta Hojjati.
E quanto às considerações éticas?
Seria negligente falar sobre a adoção da IA na segurança cibernética sem mencionar as considerações éticas. É importante usar práticas responsáveis de IA e supervisão humana para garantir a segurança e a privacidade. A IA só pode replicar o que aprendeu, e falta parte do que aprendeu. Assim, antes de adotar soluções de IA, as empresas devem considerar as considerações éticas, incluindo as seguintes:
- Amplificação de preconceitos de dados: os algoritmos de IA aprendem com dados históricos e, se os dados utilizados para treino contiverem preconceitos, os algoritmos podem inadvertidamente perpetuar e amplificar esses preconceitos. Isto pode resultar em resultados injustos ou discriminatórios quando os algoritmos tomam decisões ou previsões com base em dados tendenciosos.
- Discriminação não intencional: os algoritmos de IA podem discriminar determinados grupos ou indivíduos devido a preconceitos nos dados de treinamento ou nas características que os algoritmos consideram. Isto pode levar a um tratamento injusto em áreas como contratação, empréstimos ou aplicação da lei, onde as decisões têm impacto na vida das pessoas com base em fatores fora do seu controle.
- Transparência e responsabilidade: Muitos algoritmos de IA, especialmente os complexos, como redes neurais profundas, podem ser difíceis de interpretar e compreender. A falta de transparência torna difícil identificar como os preconceitos são introduzidos e as decisões são tomadas, levando a preocupações sobre a responsabilização quando ocorrem resultados tendenciosos ou injustos.
Embora neste momento a IA seja um pouco selvagem, veremos regulamentos emergentes que exigem transparência e responsabilização para compensar algumas destas considerações éticas e de privacidade. Por exemplo, a Comissão Europeia já apelou às grandes empresas tecnológicas, como a Google, o Facebook e o TikTok, para que tomem medidas no sentido de rotular os conteúdos gerados pela IA como parte dos seus esforços para combater a proliferação da desinformação na Internet. De acordo com a Lei dos Serviços Digitais da UE, as plataformas serão em breve obrigadas a marcar claramente as falsificações profundas com indicadores visíveis.
“Dadas as limitações da IA, os seres humanos devem ser sempre os decisores finais, ao mesmo tempo que utilizam a IA para acelerar o processo. As empresas podem usar a IA para apresentar múltiplas opções e então os principais tomadores de decisão podem agir rapidamente, assim a IA complementará, mas não substituirá, a tomada de decisão humana. Juntos, a IA e os humanos podem realizar mais do que sozinhos”, afirma Avesta.
Como construir confiança digital em IA com PKI?
A utilização de tecnologias como a Infraestrutura de Chave Pública (PKI) pode desempenhar um papel fundamental na proteção contra ameaças emergentes relacionadas com a IA, como as falsificações profundas, e na manutenção da integridade das comunicações digitais.
Por exemplo, um consórcio de participantes líderes do setor, incluindo Adobe, Microsoft e DigiCert, está trabalhando em um padrão conhecido como Coalition for Content Provenance and Authenticity (C2PA). Esta iniciativa introduziu um padrão aberto concebido para enfrentar o desafio de verificar e confirmar a legitimidade dos arquivos digitais.
A C2PA aproveita a PKI para gerar um rastro indiscutível, capacitando os usuários a discernir entre mídia genuína e falsificada. Esta especificação fornece aos usuários a capacidade de determinar a fonte, o criador, a data de criação, o local e quaisquer modificações em um arquivo digital. O principal objetivo desta norma é promover a transparência e a confiabilidade nos arquivos de mídia digital, especialmente dada a crescente dificuldade em distinguir o conteúdo gerado pela IA da realidade no ambiente atual.
“Em suma, a IA irá desenvolver muitas oportunidades na segurança cibernética e acabámos de dar uma ideia do que ela pode fazer. A IA será usada como ferramenta ofensiva e defensiva para prevenir ataques cibernéticos e também para causá-los. Mas o segredo é que as empresas estejam conscientes dos riscos e comecem a implementar soluções agora, tendo em mente que a IA não pode substituir totalmente os humanos”, conclui Avesta.
Sobre a DigiCert, Inc.: A DigiCert é fornecedora líder mundial de soluções escalonáveis TLS/SSL e PKI para identidade e criptografia. As empresas mais inovadoras, incluindo 89% das empresas listadas na Fortune 500 e 97 dos 100 maiores bancos globais, escolhem a DigiCert por sua experiência em identidade e criptografia para servidores web e dispositivos de Internet das Coisas. A DigiCert oferece suporte a TLS/SSL e outros certificados digitais para implantações de PKI em qualquer escala por meio de sua plataforma de gerenciamento do ciclo de vida de certificados, CertCentral®. A empresa é reconhecida por sua plataforma de gerenciamento de certificados de nível empresarial, suporte ao cliente rápido e experiente e soluções de segurança líderes de mercado. Para obter as últimas notícias e atualizações da DigiCert, visite digicert.com ou follow@digicert.