.
A obsessão contínua com inteligência artificial (IA), e IA generativa especificamente, sinaliza a necessidade de as empresas se concentrarem na segurança – mas os fundamentos críticos da proteção de dados ainda estão faltando.
Estimulado em grande parte pelo ChatGPT da OpenAI, o crescente interesse na IA generativa levou as organizações a analisar como deveriam usar a tecnologia.
Também: Como usar o ChatGPT: tudo o que você precisa saber
Quase metade (43%) dos CEOs dizem que suas organizações já estão usando IA generativa para decisões estratégicas, enquanto 36% usam a tecnologia para facilitar as decisões operacionais. Metade está integrando-o a seus produtos e serviços, de acordo com um estudo da IBM divulgado esta semana. As descobertas são baseadas em entrevistas com 3.000 CEOs em 30 mercados globais, incluindo Cingapura e Estados Unidos.
Os CEOs, porém, estão atentos aos riscos potenciais da IA, como preconceito, ética e segurança. Cerca de 57% dizem estar preocupados com a segurança dos dados e 48% estão preocupados com a precisão ou viés dos dados. O estudo revela ainda que 76% acreditam que a segurança cibernética eficaz em seus ecossistemas de negócios requer padrões e governança consistentes.
Cerca de 56% dizem que estão retendo pelo menos um grande investimento devido à falta de padrões consistentes. Apenas 55% estão confiantes de que sua organização pode relatar informações precisas e abrangentes que as partes interessadas desejam sobre segurança e privacidade de dados.
Também: O ChatGPT e a nova IA estão causando estragos na segurança cibernética de maneiras emocionantes e assustadoras
Essa falta de confiança exige repensar como as empresas devem gerenciar as ameaças em potencial. Além de permitir ameaças de engenharia social e phishing mais avançadas, as ferramentas de IA generativas também facilitam a geração de códigos maliciosos pelos hackers, disse Avivah Litan, analista vice-presidente do Gartner, em um post discutindo vários riscos associados à IA.
E embora os fornecedores que oferecem modelos básicos de IA generativos digam que treinam seus modelos para rejeitar solicitações maliciosas de segurança cibernética, eles não fornecem aos clientes as ferramentas para auditar efetivamente os controles de segurança implementados, observou Litan.
Os funcionários também podem expor dados confidenciais e proprietários quando interagem com ferramentas generativas de chatbot de IA. “Esses aplicativos podem armazenar indefinidamente informações capturadas por meio de entradas do usuário e até usar informações para treinar outros modelos, comprometendo ainda mais a confidencialidade”, disse o analista. “Essas informações também podem cair em mãos erradas no caso de uma violação de segurança.”
Também: Por que o código aberto é essencial para acalmar os medos da IA, de acordo com o fundador da Stability.ai
Litan pediu às organizações que estabeleçam uma estratégia para gerenciar os riscos emergentes e os requisitos de segurança, com novas ferramentas necessárias para gerenciar fluxos de dados e processos entre usuários e empresas que hospedam modelos generativos de base de IA.
As empresas devem monitorar o uso não autorizado de ferramentas, como o ChatGPT, aproveitando os controles e painéis de segurança existentes para identificar violações de políticas, disse ela. Os firewalls, por exemplo, podem bloquear o acesso do usuário, enquanto as informações de segurança e os sistemas de gerenciamento de eventos podem monitorar os logs de eventos em busca de violações de políticas. Os gateways da Web de segurança também podem ser implantados para monitorar chamadas de interface de programação de aplicativo (API) não permitidas.
A maioria das organizações ainda carece do básico
Acima de tudo, no entanto, os fundamentos são importantes, de acordo com Terry Ray, vice-presidente sênior de segurança de dados e CTO de campo da Imperva.
O fornecedor de segurança agora tem uma equipe dedicada a monitorar os desenvolvimentos em IA generativa para identificar maneiras de aplicá-la à sua própria tecnologia. Esse grupo interno não existia há um ano, mas a Imperva usa aprendizado de máquina há muito tempo, disse Ray, observando o rápido aumento da IA generativa.
Também: Como funciona o ChatGPT?
A equipe de monitoramento também verifica o uso de aplicativos, como o ChatGPT, entre os funcionários para garantir que essas ferramentas sejam usadas de maneira adequada e dentro das políticas da empresa.
Ray disse que ainda é muito cedo para determinar como o modelo emergente de IA pode ser incorporado, acrescentando que algumas possibilidades podem surgir durante o hackathon anual de fim de ano do fornecedor, quando os funcionários provavelmente oferecerão algumas ideias sobre como a IA generativa pode ser aplicada.
Também é importante afirmar que, até agora, a disponibilidade de IA generativa não levou a nenhuma mudança significativa na forma como as organizações são atacadas, com os agentes de ameaças ainda se atendo principalmente aos frutos mais fáceis e vasculhando sistemas que permanecem sem correção contra explorações conhecidas .
Questionado sobre como ele achava que os agentes de ameaças poderiam usar IA generativa, Ray sugeriu que ela poderia ser implantada juntamente com outras ferramentas para inspecionar e identificar erros de codificação ou vulnerabilidades.
As APIs, em particular, são alvos importantes, pois são amplamente usadas hoje e geralmente carregam vulnerabilidades. A autorização de nível de objeto quebrada (BOLA), por exemplo, está entre as principais ameaças de segurança de API identificadas pelo Open Worldwide Application Security Project. Nos incidentes BOLA, os invasores exploram os pontos fracos de como os usuários são autenticados e conseguem obter solicitações de API para acessar objetos de dados.
Esses descuidos ressaltam a necessidade de as organizações entenderem os dados que fluem por cada API, disse Ray, acrescentando que essa área é um desafio comum para as empresas. A maioria nem sabe onde ou quantas APIs tem em execução na organização, observou ele.
Também: As pessoas estão recorrendo ao ChatGPT para solucionar seus problemas técnicos agora
É provável que haja uma API para cada aplicativo que entra no negócio, e o número aumenta ainda mais em meio a exigências para que as organizações compartilhem dados, como informações financeiras e de saúde. Alguns governos estão reconhecendo esses riscos e introduziram regulamentos para garantir que as APIs sejam implantadas com as salvaguardas de segurança necessárias, disse ele.
E no que diz respeito à segurança de dados, as organizações precisam acertar os fundamentos. O impacto da perda de dados é significativo para a maioria das empresas. Como guardiões dos dados, as empresas devem saber o que precisa ser feito para protegê-los.
Em outro estudo global da IBM que entrevistou 3.000 diretores de dados, 61% acreditam que seus dados corporativos estão seguros e protegidos. Questionados sobre os desafios com o gerenciamento de dados, 47% apontam para confiabilidade, enquanto 36% citam propriedade de dados pouco clara e 33% dizem silos de dados ou falta de integração de dados.
A crescente popularidade da IA generativa pode ter colocado os holofotes nos dados, mas também destaca a necessidade de as empresas acertarem o básico primeiro.
Também: Com GPT-4, OpenAI opta por sigilo versus divulgação
Muitos ainda precisam estabelecer as etapas iniciais, disse Ray, observando que a maioria das empresas normalmente monitora apenas um terço de seus armazenamentos e data lakes.
“Segurança é sobre [having] visibilidade. Os hackers seguirão o caminho de menor resistência”, disse ele.
Também: IA generativa pode tornar alguns trabalhadores muito mais produtivos, de acordo com este estudo
Um estudo da Gigamon divulgado no mês passado descobriu que 31% das violações foram identificadas após o fato, quando dados comprometidos apareceram na dark web, ou quando os arquivos se tornaram inacessíveis, ou os usuários experimentaram um desempenho lento do aplicativo. Essa proporção foi maior, de 52%, para entrevistados na Austrália e 48% nos EUA, de acordo com o relatório de junho, que entrevistou mais de 1.000 líderes de TI e segurança em Cingapura, Austrália, EMEA e EUA
Esses números ocorreram apesar de 94% dos entrevistados dizerem que suas ferramentas e processos de segurança ofereciam visibilidade e insights sobre sua infraestrutura de TI. Cerca de 90% disseram ter sofrido uma violação nos últimos 18 meses.
Questionados sobre suas maiores preocupações, 56% apontaram pontos cegos inesperados. Cerca de 70% admitiram que não tinham visibilidade dos dados criptografados, enquanto 35% disseram que tinham informações limitadas sobre os contêineres. Metade não tinha confiança em saber onde seus dados mais confidenciais estavam armazenados e como as informações eram protegidas.
“Essas descobertas destacam uma tendência de lacunas críticas na visibilidade do local para a nuvem, cujo perigo é aparentemente incompreendido pelos líderes de TI e segurança em todo o mundo”, disse o CTO de segurança da Gigamon, Ian Farquhar.
“Muitos não reconhecem esses pontos cegos como uma ameaça… Considerando que mais de 50% dos CISOs globais ficam acordados à noite pensando na exploração de pontos cegos inesperados, aparentemente não há ação suficiente sendo tomada para remediar lacunas críticas de visibilidade.”
.
