A rápida adoção de GenAI cria desafios de segurança

As equipas de cibersegurança estão a ficar para trás no ritmo de adoção de ferramentas de inteligência artificial generativa (GenAI) de uma forma que torna provável que o número de incidentes de violação de dados aumente acentuadamente nas próximas semanas e meses, especialmente à medida que o uso de serviços de IA sombra continua a aumentar.

Uma pesquisa da ManageEngine revela que 70% dos decisores de TI (ITDMs) identificaram o uso não autorizado de IA nas suas organizações e 60% dos funcionários estão a usar ferramentas de IA não aprovadas mais do que há um ano. Um total de 91% implementaram políticas, mas apenas 54% implementaram políticas de governança de IA claras e aplicadas e monitorizam ativamente o uso não autorizado de ferramentas de IA generativa.

85% também relatam que os colaboradores estão a adotar ferramentas de IA mais rapidamente do que as suas equipas de TI conseguem avaliá-las, com 32% dos colaboradores a introduzir dados confidenciais de clientes em ferramentas de IA sem confirmar a aprovação da empresa. Bem mais de dois terços (37%) introduziram dados privados e internos da empresa. Mais de metade (53%) afirmou que a utilização de dispositivos pessoais para tarefas de IA relacionadas com o trabalho está a criar um ponto cego na postura de segurança da sua organização.

Um relatório separado da Harmonic Security conclui que 8,5% das solicitações dos funcionários para ferramentas generativas incluem dados corporativos sensíveis. Quase metade dos dados inseridos (48%) eram dados de clientes, em comparação com 27% que inseriram dados sensíveis de funcionários.

A lista de potenciais problemas de cibersegurança além do vazamento de dados que devem ser abordados inclui ataques de injeção de prompt que geram saídas maliciosas ou extraem dados confidenciais; envenenamento deliberado dos dados usados para treinar modelos de IA; ciberataques direcionados especificamente à infraestrutura de IA e à cadeia de fornecimento de software usada para construir modelos de IA; e o roubo de modelos de IA em si.

Neste momento, não é viável proibir o uso de ferramentas de IA generativa, por isso, em vez de esperar pela inevitável violação, muitas equipas de cibersegurança estão a mover-se proativamente para detetar, auditar e monitorizar o uso de IA generativa. Munidos desses insights, torna-se então viável definir um conjunto de políticas de governança em torno de um conjunto de ferramentas e fluxos de trabalho de IA generativa sancionados que as equipas de cibersegurança tenham validado.

Pode não ser possível prevenir todos os incidentes que surgirão à medida que as ferramentas e plataformas de IA generativa se tornem mais amplamente utilizadas, mas com um pouco de treino adicional, espera-se que o número de violações graves possa ser dramaticamente contido.

Claro, esta não é a primeira vez que os profissionais de cibersegurança se veem a perseguir uma tecnologia emergente depois de a porta do celeiro proverbial ter sido fechada. De muitas maneiras, a adoção de ferramentas e plataformas de IA generativa é simplesmente a mais recente instância de serviços de computação em nuvem sombra. A única diferença é a quantidade de dados sensíveis que está a ser partilhada, o que sugere que muitos funcionários ainda não aprenderam quaisquer lições dos incidentes de segurança na nuvem anteriores que envolveram, por exemplo, inúmeras aplicações de software como serviço (SaaS).

As equipas de cibersegurança precisarão mais uma vez de exercer alguma paciência enquanto lidam com incidentes de segurança relacionados com IA generativa, mas também poderão haver momentos de aprendizagem. Afinal, como Winston Churchill uma vez observou, uma boa crise nunca deve ser desperdiçada.