Riscos de cibersegurança na era da IA e LLMs: como lidar?

0

As discussões sobre os riscos intrínsecos à implantação de novas tecnologias de inteligência artificial nas organizações estão cada vez mais evidentes. O advento da IA generativa e dos LLMs (Modelos de Linguagem de Grande Escala) não é excepcionalmente perigoso por si só, pois todas as inovações demandam uma avaliação cuidadosa dos riscos, exposições e exploração de dados.

Os avanços na ferramenta são rápidos e abrangentes em sua capacidade, e representam um desafio adicional às equipes de segurança. Os diretores de segurança da informação, chamados de CISOs, devem orientar a adoção responsável das inovações para a melhoria e eficiência das organizações. Essa é uma preocupação imediata, pois o uso da IA deve ser compreendido não somente pelo time técnico, mas por toda a organização.

É crucial que todos entendam o que é a IA e como utilizá-la de forma segura e eficiente. Os CISOs devem assegurar que a inovação seja acessível e benéfica para a empresa, enquanto limitam os riscos de comprometer dados sensíveis e enfrentar regulações, ou mesmo sujeitar a danos de imagem causados pelo mau uso ou falta de conhecimentos e boas práticas.

LLMs internos protegidos

A IA permite que as empresas construam modelos robustos e alinhados às suas necessidades. Porém, nem todas contam com a estrutura necessária para suprir a escalabilidade em ambientes seguros.

Manter os LLMs no perímetro de segurança é uma prática recomendada, mas gera outros desafios, como a necessidade de estruturas complexas e a confiança em fontes de dados e softwares de código aberto. Configurações incorretas e outros erros humanos ainda podem tornar essas ferramentas vulneráveis, já que não há muita experiência sobre como proteger esses modelos.

Outro ponto importante é o risco de envenenamento de dados, especialmente se introduzidos deliberadamente por um adversário. Portanto, a avaliação adequada do melhor modelo é crucial para que as equipes de segurança homologuem a IA de forma competente, mudando a postura e a visão dos CISOs.

Ataques aos dados na IA

Avaliar realisticamente o risco de vulnerabilidade é fundamental, especialmente contra adversários que injetam dados falsos ou tendenciosos em modelos de LLMs. Embora os maiores golpes cibernéticos envolvam dinheiro e esse tipo de ataque não ofereça retorno financeiro imediato, as empresas precisam de mecanismos de detecção, proteção e resposta a incidentes.

Grande parte dos controles e práticas de segurança existentes se aplica à IA, mas é necessário examinar as atividades dos fornecedores para melhorar a postura de segurança, mapeando e identificando vetores de ataques com uma resposta rápida baseada em comportamento e contexto.

A importância do Shift Left e a IA

Esteiras de segurança e práticas de desenvolvimento seguras já fazem parte do cotidiano das organizações. DevSecOps é essencial, pois incorpora testes e correções durante o ciclo de vida da otimização de software. Melhores quality gates e métricas no processo de automação e validação minimizam os impactos causados por erros humanos.

O desenvolvimento é, por natureza, caótico e experimental. É necessário compreender o que é normal ou anormal neste ambiente e utilizar a inteligência artificial para possibilitar otimizações eficazes. A IA deve ser vista como uma ferramenta de aceleração para o processo, permitindo que desenvolvedores criem de forma eficiente.

Governança de riscos de segurança de IA

Recentemente, em uma pesquisa da PWC, mais de 67% dos CEOs entrevistados relataram falta de confiança na inteligência artificial, considerando os riscos de violação de segurança cibernética. No entanto, a disponibilidade de frameworks e boas práticas está ajudando a orientar a adoção da ferramenta no contexto corporativo. Esses frameworks melhoram a capacidade de incorporar considerações de confiabilidade no design, desenvolvimento, uso e avaliação de produtos, serviços e sistemas de IA.

O desenvolvimento e a utilização da funcionalidade exigem medições e avaliações rigorosas das tecnologias e de sua aplicação. Um dos frameworks que se destaca é o NIST (Instituto Nacional de Padrões e Tecnologia, EUA), que contribui para a produção de métricas e promove a adoção de guias e melhores práticas para medir e avaliar tecnologias de IA à medida que amadurecem nas organizações.

O OWASP (Projeto Aberto de Segurança em Aplicações Web), por sua vez, adota uma abordagem educativa para desenvolvedores, designers, arquitetos, gerentes e organizações sobre os riscos potenciais de segurança ao implantar e gerenciar LLMs. O projeto fornece uma lista das 10 vulnerabilidades mais críticas frequentemente encontradas nestas aplicações, destacando seu impacto potencial, facilidade de exploração e prevalência em aplicações do mundo real.

Em suma, é crucial: implementar estratégias robustas de proteção de dados; promover transparência e responsabilidade na criação e uso dessas tecnologias; e garantir a constante atualização dos protocolos de segurança para enfrentar novas ameaças. Além disso, a colaboração entre empresas e reguladores é essencial para desenvolver normas que assegurem a integridade das infraestruturas digitais. Somente com um esforço conjunto será possível maximizar os benefícios da IA e dos LLMs, minimizando riscos e protegendo a privacidade dos usuários.

Rogério Athayde,CTO da consultoria de tecnologia keeggo.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.