Quem vigia os vigilantes? Os impactos da inteligência artificial na segurança digital
IA pode ser usada para apoiar a criação de um mundo digital mais seguro, mas exige cuidados
Redação Exame
Publicado em 26 de maio de 2024 às 13h00.
*Por Marcello Zillo Neto
Na semana de 6 a 9 de maio ocorreu em São Francisco, nos Estados Unidos, uma das maiores conferências de Cibersegurança do mundo, a RSA Conference 2024. E nesse ano o tema principal do evento foi a “Arte do possível”.
Com esse lema em mente a conferência abordou os mais diversos assuntos, como segurança na nuvem, análise de riscos em cibersegurança, proteção de dados, regulação, desafios da segurança, a importância de colaboração contínua entre outros. No entanto, as palavras que mais ouvimos no evento foi “ inteligência artificial ”.
Tive a oportunidade de falar sobre o tema com diversos colegas, clientes e até mesmo outros pesquisadores e fornecedores de tecnologia. Sendo assim, no artigo de hoje trago dois cenários apresentados no evento, onde a IA é usada para nos apoiar na criação de um mundo digital mais seguro.
Cenário 1 – IA x IA para nos proteger do Deepfake
Durante o evento ocorre um torneio chamado RSA Sandbox, em que startups de cibersegurança apresentam seus produtos, serviços e ideias para a comunidade de segurança presente, sendo avaliados e julgados por uma banca de especialistas. Cada participante tem três minutos para apresentar suas soluções.
O projeto vencedor deste ano usa a própria Inteligência Artificial para nos proteger dela mesma. A solução (Reality Defender) usa inteligência artificial para detectar se uma imagem, vídeo ou voz foram criados artificialmente com IA. Já existem atualmente diversas soluções de baixo custo que permitem a criação de um vídeo com a voz e a imagem de quem você quiser, falando qualquer coisa que você desejar.
Isso pode ser usado tanto para agradar o seu filho ou filha, gravando um vídeo do artista favorito dele ou dela mandando uma mensagem especial, como pode ser usado para tirar um sarro daquele seu amigo que torce para o Corinthians, falando em um vídeo que está mudando de time.
No entanto, essa técnica conhecida como Deepfake , também pode ser usada para criar vídeos falsos e perfeitos (ao menos para os olhos puramente humanos) a fim de aplicar golpes ou se autenticar em plataformas eletrônicas.
Esse tipo de fraude não é mais uma possibilidade, ou algo de ficção, o Deepfake já é uma realidade. Existem casos recentes relatados de fraudes de milhões (muitos milhões) onde fraudadores criam um vídeo clonando a voz e imagem de um executivo, utilizando uma foto e áudio disponíveis na internet, seja através de uma entrevista, podcast ou afins, pedindo transferência de muitos milhões para determinadas contas para os responsáveis por esse tipo de transação.
Nos casos conhecidos de Deepfake e fraude as pessoas responsáveis estavam acostumadas a fazer esse tipo de operação usando exatamente uma chamada de vídeo e voz para validar quem estava pedindo a transferência, e executaram a transação entendendo que o vídeo era válido, afinal estavam vendo a pessoa e ouvindo a voz dela.
Além disso, a pessoa estava pedindo para fazer uma transação corriqueira, por isso sem dúvidas “autenticaram” o executivo e executaram as transações.
No entanto, depois da suposta transação “autorizada” o dinheiro some em minutos das contas destinos que eram contas de fraudadores.
Caro leitor, a que conclusão podemos chegar aqui? A inteligência artificial, assim como qualquer outra ferramenta, pode ser usada para o bem ou para o mal. Cabe a nós conhecermos esses novos riscos e a partir daí pensar em como usar a própria tecnologia para nos proteger.
Meu conselho nesse momento, caso você tenha esse tipo de transação validada somente por uma chamada de vídeo / voz e seja uma transação financeira tenha cuidado. Na era da IA não podemos mais garantir que o que estamos vendo e ouvindo é a pura realidade. Nesse cenário, o uso da IA para nos proteger da própria IA é fundamental, como no caso de Deepfake anteriormente apresentado.
Outra recomendação é pensar em adotar mais de um fator de autenticação para transações críticas. A voz ou vídeo apesar de ser um fator historicamente “confiável” pois provava algo que você é (sua voz e ou sua imagem) não pode mais ser usada de forma isolada na era da IA. Além de voz e imagem é preciso pensar em validar a autenticidade da transação através de um token, ou MFA (múltiplo fator de autenticação).
- O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual.Clique aqui para abrir sua conta gratuita.
Cenário-2 – IA diminuindo a pressão e burnout de profissionais de segurança
Um relatório da Gartner de 2023 afirmou que, nos próximos dois anos, até metade dos líderes de segurança cibernética provavelmente irá mudar de emprego. Além disso, antecipar ataques cibernéticos cada vez mais sofisticados é um desafio crescente.
As equipes de segurança cibernética têm dificuldade para se atualizar e ficar por dentro das novidades e planejar melhores mecanismos de proteção.
Também é cada vez mais comum vermos colaboradores de Cibersegurança esgotados, o que leva a maior probabilidade de perder pistas óbvias e cometer erros que permitem que invasores cibernéticos penetrem nas empresas. Em pesquisa recente da McKinsey 66% dos profissionais de cibersegurança sentem pressão no trabalho.
Também de acordo com estudo da Deep Instinct, 51% dos profissionais de cibersegurança devem deixar seus trabalhos nos próximos anos em virtude do stress.
Durante a RSA 2024, foram apresentadas diversas soluções (inclusive no torneio intitulado RSA Sandbox) que utilizam a inteligência artificial para auxiliar e aumentar a capacidade dos profissionais de cibersegurança na detecção de ataques, vulnerabilidades e na resposta de possíveis incidentes.
Pude presenciar a apresentação de diversas soluções que basicamente se tornam um consultor particular dos profissionais de cibersegurança, diminuindo a pressão sobre eles e auxiliando na análise, priorização e tratamento de eventos e incidentes críticos.
Ou seja, o uso de IA é um caminho sem volta, e ela como qualquer ferramenta, poderá ser usada para o bem e para o mal. Cabe a nós nos apropriarmos da IA para nos proteger da própria IA. Afinal de contas, nós, seres humanos, sozinhos, não conseguiremos mais tratar os novos problemas de cibersegurança na velocidade e na escala necessária sem o uso da IA.
Para finalizar, recomendo as seguintes reflexões:
- Como estou usando a IA para proteger o meu negócio?
- Conheço os riscos de cibersegurança no caso de adoção de IA para o meu negócio?
- Como estou liberando o uso de IA na minha empresa?
- Como evitar o Shadow IA (uso de IA por uma área sem conhecimento prévio)?
- Como evitar vazamentos de informações quando estiver usando soluções de IA?
Lembrem-se que IA e segurança são gêmeos inseparáveis. Não é possível começar um projeto de IA sem pensar em segurança, assim como não é possível começar um projeto de cibersegurança sem considerar o uso de IA.
Marcello Zillo Neto é Líder de segurança LATAM para a Equipe de Aceleração de nuvem na Amazon Web Services (AWS). O executivo tem mais de 20 anos de experiência na área de segurança e também teve passagem por bancos famosos como o Safra e Santander. Com formação em universidades como MIT, Insper e USP, Zillo foi professor na FIA Business School e MBA USP/Esalq onde lecionou sobre computação em nuvem e segurança.