É hora de as organizações protegerem seus ambientes de IA

Desde a popularização do Chat GPT, a partir do final de 2022, o uso da Inteligência Artificial Generativa tem aumentado exponencialmente. Segundo um estudo, recém divulgado da NTT Data e Harvard Business Review, 53% das empresas da América Latina utilizam soluções baseadas em IA Generativa e 44%, em outros tipos de IA. As empresas têm se beneficiado do aumento de produtividade a partir do uso dessa tecnologia em diversos setores. Não por acaso, a procura por novos casos de uso é imensa.

Um ponto preocupante, porém, é que as empresas ainda não se deram conta de que o uso massivo da IA abre mais uma vulnerabilidade na segurança cibernética e poucas têm feito algo para minimizar os riscos.
Por um lado, essa falha é compreensível. É normal que ao surgimento de uma tecnologia as empresas foquem em desenvolver casos de uso e, só posteriormente, atentem para outras questões. Até pouco tempo atrás, nem
havia no mercado soluções de cibersegurança voltadas especificamente para IA.

Mas essa negligência impõe um risco imenso às organizações. Atualmente, há duas vulnerabilidades relacionadas à IA Generativa: o uso por parte dos profissionais e invasão ao Data Lake.

O primeiro é o que chamamos de “shadow AI” e diz respeito a forma como os profissionais utilizam a IA Generativa no dia a dia, geralmente por meio de aplicativos externos – em que o Chat GPT é o mais conhecido. A verdade é
que as empresas não têm ideia sobre quais e como as aplicações são usadas.

O risco está na forma como essas plataformas externas utilizam os Dados imputados pelos profissionais. Algumas plataformas admitem no contrato que os Dados inseridos pelos usuários se tornam sua propriedade e podem ser
utilizados livremente por eles.

Imagine o caso de um profissional que insira numa plataforma a base de clientes para a geração de um e-mail marketing. Ou insira dados sigilosos de negócios e finanças da empresa e peça um planejamento estratégico. Para
onde irão esses dados? No pior cenário, a empresa perde os direitos da exclusividade do uso dos Dados, que passam a ser disponibilizados pela plataforma de IA Generativa. Nesse caso, qualquer pessoa pode acessá-los
livremente, inclusive um concorrente. Qual o tamanho do impacto do vazamento de uma nova campanha ou Dados sigilosos de negócios?

Imensurável
Mas essa nem é a maior vulnerabilidade do uso de IA. O risco pode ser maior no caso das IAs desenvolvidas pela empresa para uso interno. Como se sabe, a IA depende de uma imensa quantidade de Dados que são usados para treinamento e esses dados são armazenados em Data Lakes. Aqui, além do risco de sequestro dos Dados, há a chance de hackers invadirem o sistema e adulterarem o treinamento da IA. Nesse caso, toda estratégia da empresa será sabotada e, até que se descubra o problema, pode ser tarde demais.

Para os dois casos existem ferramentas para minimizar o risco de invasões. Diversos estudos mostram que boa parte das empresas já sofreram invasões em seus sistemas e a maioria só investe em cibersegurança após serem
vítimas de ataques. Claramente, agir após o dano não é a melhor estratégia. E, no caso da IA, as empresas devem se proteger o quanto antes.

Por Thales Cyrino, diretor de Vendas de Cybersecurity.